Ajouter un authentificateur
Vous ajoutez des authentificateurs afin de pouvoir les ajouter aux stratégies d‘authentification. L‘authentificateur définit généralement une méthode d‘authentification, telle qu‘un mot de passe (par exemple, un mot de passe de console
Cylance
) ou une connexion à un tiers pour une authentification telle que Active
Directory
, Okta
, ou Ping Identity
. Vous les ajoutez aux stratégies d‘authentification pour spécifier les types d‘authentification que les administrateurs doivent effectuer pour se connecter à la console Cylance
et que les utilisateurs doivent effectuer pour activer des applications ou des agents Cylance Endpoint Security
( par exemple, l‘application CylancePROTECT Mobile
ou CylanceGATEWAY
). Vous pouvez combiner plusieurs authentificateurs dans une stratégie d‘authentification pour fournir plusieurs étapes d‘authentification. Par exemple, vous pouvez combiner l‘authentificateur Enterprise avec une invite de mot de passe à usage unique dans une stratégie pour obliger les utilisateurs à s‘authentifier à la fois avec leur mot de passe de console Cylance
ou de poste et un mot de passe à usage unique.- Vérifiez que vous avez examiné et effectué les étapes appropriées pour l‘Authentification améliorée pour la connexion sur la consoleCylanceavant de configurer votre authentificateur SAML IDP. Si les étapes requises ne sont pas effectuées, l‘authentificateur tiers ne pourra pas communiquer avec Cylance Endpoint Security. Pour en savoir plus, consultez les sections suivantes :
- Pour savoir comment configurer un IDP pour une authentification améliorée et un accès initié par IDP à la consoleCylance, reportez-vous à la section Authentification améliorée pour la connexion.
- Pour obtenir des instructions détaillées sur la configuration d‘un nouveau SAML IDP, reportez-vous à la section Comment configurer des fichiers SAML IDP pour une authentification améliorée et un accès initié par IDP à la consoleCylance.
- Pour obtenir des instructions détaillées sur les étapes permettant d‘activer l‘accès initié par IDP à la console pour un SAML IDP existant créé avant décembre 2023, reportez-vous à la section Comment mettre à jour les authentificateurs IDP externes (SAML) pour SSO afin d‘accéder à la console Cylance.
- Si vous ajoutez un authentificateur SAML, téléchargez un exemplaire du certificat de signature de votre IDP.
- Sur la barre de menus, cliquez surParamètres > Authentification.
- Cliquez surAjouter un authentificateur.
- Dans la liste déroulanteType d‘authentificateur, sélectionnez l‘un des authentificateurs suivants :ÉlémentDescriptionEntra(SAML)Sélectionnez cette option si vous souhaitez que les utilisateurs saisissent leurs informations d‘identificationEntrasur la page d‘ouverture de session principale et activent l‘accès initié par IDP à la consoleCylance.Pour connaître les étapes de configuration de votreEntra(SAML), reportez-vous aux sections suivantes :
- Configurer un nouveauEntra(SAML) : Configurer l‘authentificateurEntra(SAML) pour une authentification améliorée
- Activer l‘accès initié parEntrapour unEntra(SAML) existant : Mettre à jour l‘authentificateurEntra(SAML) pour activer l‘accès initié par IDP à la consoleCylance
L‘URL de rappel SSO au format https://login.eid.blackberry.com/_/resume/saml20/hash> est générée lorsque vous enregistrez l‘authentificateur.Procédez comme suit :- Saisissez un nom pour l‘authentificateur.
- Si vous souhaitez que les utilisateurs valident leur adresse e-mail avec un code à usage unique lors de leur première connexion, activezValidation requise. Le code est envoyé à l‘adresse e-mail associée à l‘utilisateur dans votre locataire.
- Dans le champURL de demande de connexion, saisissez l‘URL de connexion spécifiée dans les paramètres d‘authentification unique d‘enregistrement de l‘application correspondant à votre fournisseur d‘identité. Par exemple, sur le portailEntra, accédez à Application d‘entreprise >Name of the newly created application> > section Configuration deapplication name> URL de connexion.
- Dans le champCertificat de signature IDP, collez le corps du certificat de signature que vous avez téléchargé, y compris les lignes Début du certificat et Fin du certificat.Lorsque vous copiez et collez le corps du certificat, veillez à ne pas modifier les sauts de ligne ou le format des informations du certificat.
- Dans le champID d‘entité SP, saisissez l‘Identifiant (ID d‘entité)utilisé dans la configuration SAML sur le portailEntra. Ce champ est requis. La valeur « ID d‘entité SP » doit correspondre à la valeur « Identifiant (ID d‘entité) » que vous avez enregistrée dans la console IDP.
- Activez l‘optionAfficher les paramètres avancés, dans le champRevendication d‘e-mail, collez la valeur du « Nom de la revendication » que vous avez enregistré sur le portailEntra(par exemple, http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress).
- Spécifiez tout autre paramètre facultatif.
- Cliquez surEnregistrer.
- Ouvrez l‘authentificateur que vous avez ajouté. Enregistrez l‘URL de rappel SSO. Cette URL sera requise dans le champ PortailEntra> Configuration SAML de base > URL de réponse (URL de l‘abonné d‘assertions).
Personnalisé (SAML)Sélectionnez cette option si vous souhaitez que les utilisateurs saisissent des informations d‘identification personnalisées sur la page d‘ouverture de session principale et activent l‘accès initié par IDP à la consoleCylance.Pour obtenir une description détaillée des étapes de configuration de votre Personnalisé (SAML), reportez-vous aux sections suivantes :- Configurer un nouveau Personnalisé (SAML) : Configurer l‘authentificateur Personnalisé (SAML) pour une authentification améliorée
- Activer l‘accès initié par personnalisé pour un Personnalisé (SAML) : Mettre à jour l‘authentificateur Personnalisé (SAML) pour activer l‘accès initié par IDP à la consoleCylance
L‘URL de rappel SSO au format https://login.eid.blackberry.com/_/resume/saml20/hash> est générée lorsque vous enregistrez l‘authentificateur.- Saisissez un nom pour l‘authentificateur.
- Si vous souhaitez que les utilisateurs valident leur adresse e-mail avec un code à usage unique lors de leur première connexion, activezValidation requise.
- Dans le champURL de demande de connexion, saisissez l‘URL d‘authentification unique du fournisseur d‘identité.
- Dans le champCertificat de signature IDP, collez le corps du certificat de signature que vous avez téléchargé, y compris les lignes Début du certificat et Fin du certificat.Lorsque vous copiez et collez le corps du certificat, veillez à ne pas modifier les sauts de ligne ou le format des informations du certificat.
- Dans le champID d‘entité SP, saisissez l‘« URI d‘audience (ID d‘entité SP) » que vous avez enregistrée dans le portail IDP personnalisé. Ce champ est requis. La valeur « ID d‘entité SP » doit correspondre à la valeur « URI d‘audience (ID d‘entité SP) » que vous avez enregistrée dans la console IDP.
- Dans le champformat de l‘ID de nom, spécifiez le format de l‘identifiant de nom à demander à l‘IDP (par exemple, urn:oasis:names:tc:SAML:1,1:nameid-format:emailAddress).
- Dans le champRevendication d‘e-mail, saisissezNameID. Cette valeur doit correspondre au « format NameID » que vous avez spécifié dans la console IDP. L‘adresse e-mail garantit que le bon utilisateur se connecte à la console de gestion.
- Spécifiez tout autre paramètre facultatif.
- Cliquez surEnregistrer.
- Ouvrez l‘authentificateur que vous avez ajouté. Enregistrez l‘URL d‘authentification unique. Cette URL sera ajoutée à l‘IDP personnalisé.
Mot de passe administrateur CylanceSélectionnez cette option si vous souhaitez que les utilisateurs saisissent leurs informations d‘identification de consoleCylance. Procédez comme suit :- Saisissez un nom pour l‘authentificateur.
- Cliquez surEnregistrer.
Refuser l‘authentificationSélectionnez cette option si vous souhaitez utiliser une stratégie d‘authentification pour empêcher les utilisateurs ou les groupes d‘utilisateurs d‘accéder à la consoleCylanceou à un autre service. Vous pouvez ajouter une autre stratégie ou une exception d‘application pour autoriser l‘accès à un sous-ensemble d‘utilisateurs.- Saisissez un nom pour l‘authentificateur.
- Cliquez surEnregistrer.
DuoMFASélectionnez cette option si vous souhaitez que les utilisateurs s‘authentifient à l‘aide de l‘authentification multifactorielleDuo.Avant d‘ajouterDuoen tant qu‘authentificateur, vous devez créer une application d‘API d‘authentification. Pour obtenir des instructions, consultez les informations deDuo.Procédez comme suit :- Saisissez un nom pour l‘authentificateur.
- Dans la sectionConfiguration DUO MFA, saisissez le nom d‘hôte de l‘API, la clé d‘intégration et la clé secrète. Vous trouverez ces informations dans l‘onglet Applications du compteDuode votre organisation. Pour plus d‘informations, consultez la documentation Duo.
EnterpriseSélectionnez cette option si vous souhaitez que les utilisateurs s‘authentifient à l‘aide de leurs informations d‘identification pourActive Directory, LDAP ou. Les informations d‘identification qu‘un utilisateur utilisera dépendent du type de compte qui est la source de son compte utilisateur dans la console. Procédez comme suit :myAccount- Saisissez un nom pour l‘authentificateur.
- Cliquez surEnregistrer.
FIDOSélectionnez cette option si vous souhaitez que les utilisateurs enregistrent un terminalFIDO2et l‘utilisent pour vérifier leur identité. Les types de terminaux pris en charge incluent les smartphones, les clés de sécurité USB ouWindows Hello.- Saisissez un nom pour l‘authentificateur.
- Cliquez surEnregistrer.
LorsqueFIDOest le premier facteur d‘authentification et qu‘un utilisateur enregistre un terminal pour la première fois, un mot de passe à usage unique est également envoyé à l‘adresse e-mail qu‘il utilise pour se connecter. LorsqueFIDOest utilisé comme deuxième facteur dans une stratégie, un mot de passe à usage unique n‘est pas requis lorsqu‘un utilisateur enregistre un terminal pour la première fois.Pour plus d‘informations sur la suppression des terminaux enregistrés d‘un compte d‘utilisateur, reportez-vous à la section Supprimer un terminalFIDOenregistré pour un compte utilisateur dans le contenu relatif à l‘administration.Annuaire intégré (Active Directory/Entra ID/LDAP)Sélectionnez cette option si vous souhaitez que les utilisateurs saisissent leur mot de passeActive Directory. Si vous sélectionnez cette option, votre locataireCylance Endpoint Securitydoit disposer d‘une connexion à l‘instance de l‘annuaire de l‘entreprise. Pour plus d‘informations, reportez-vous à Association à votre annuaire d‘entreprise. Procédez comme suit :- Saisissez un nom pour l‘authentificateur.
- Cliquez surEnregistrer.
Adresse IPSélectionnez cette option si vous souhaitez restreindre l‘accès des utilisateurs en fonction de leur adresse IP. Vous pouvez créer plusieurs authentificateurs d‘adresses IP et les utiliser pour gérer l‘accès de différents groupes, mais vous ne pouvez attribuer qu‘un seul authentificateur d‘adresses IP par stratégie.Pour obtenir des instructions détaillées sur les étapes pour ajouter ou supprimer des restrictions d‘adresses IP pour la console, reportez-vous à la section Ajouter un authentificateur de restriction d‘adresse IP pour la console Cylance.- Saisissez un nom pour l‘authentificateur.
- Dans le champPlages d‘adresses IP, spécifiez une ou plusieurs adresses IP, plages IP ou CIDR. Séparez les entrées par une virgule. Par exemple, plage d‘adresses IP : 192.168.0.100-192.168.1.255 ou CIDR : 192.168.0.10/24.
- Cliquez surEnregistrer.
Compte localSélectionnez cette option si vous souhaitez que les utilisateurs saisissent leurs informations d‘identificationBlackBerry Online Account(). Procédez comme suit :myAccount- Saisissez un nom pour l‘authentificateur.
- Cliquez surEnregistrer.
OktaMFASélectionnez cette option si vous souhaitez que les utilisateurs s‘authentifient à l‘aide deOkta. Procédez comme suit :- Saisissez un nom pour l‘authentificateur.
- Dans la sectionConfiguration Okta MFA, saisissez la clé d‘API d‘authentification et le domaine d‘authentification.
- Cliquez surEnregistrer.
Okta(OIDC)Sélectionnez cette option si vous souhaitez que les utilisateurs s‘authentifient à l‘aide deOkta. Procédez comme suit :- Dans la liste déroulante située sousOkta, sélectionnezOIDC.
- Saisissez un nom pour l‘authentificateur.
- Dans la sectionClient du fournisseur d‘identité, saisissez l‘URL du document de découverte OIDC, l‘ID du client et la clé privée JWKS.
- Cliquez surEnregistrer.
Okta(SAML)Sélectionnez cette option si vous souhaitez que les utilisateurs saisissent leurs informations d‘identificationOktasur la page d‘ouverture de session principale et activent l‘accès initié par IDP à la consoleCylance.Pour connaître les étapes de configuration de votreOkta(SAML), reportez-vous aux sections suivantes :- Configurer un nouveauOkta(SAML) : Configurer l‘authentificateurOkta(SAML) pour une authentification améliorée
- Activer l‘accès initié parOktapour unOktaexistant (SAML) : Mettre à jour l‘authentificateurOkta(SAML) pour activer l‘accès initié par IDP à la consoleCylance
L‘URL de rappel SSO au format https://login.eid.blackberry.com/_/resume/saml20/hash> est générée lorsque vous enregistrez l‘authentificateur.- Dans la liste déroulante située sousOkta, sélectionnezSAML.
- Saisissez un nom pour l‘authentificateur.
- Si vous souhaitez que les utilisateurs valident leur adresse e-mail avec un code à usage unique lors de leur première connexion, activezValidation requise.
- Dans le champURL de demande de connexion, saisissez l‘URL d‘authentification unique du fournisseur d‘identité.
- Dans le champCertificat de signature IDP, collez le corps du certificat de signature que vous avez téléchargé, y compris les lignes Début du certificat et Fin du certificat.Lorsque vous copiez et collez le corps du certificat, veillez à ne pas modifier les sauts de ligne ou le format des informations du certificat.
- Dans le champID d‘entité SP, saisissez l‘« URI d‘audience (ID d‘entité SP) » que vous avez enregistrée sur le portailOkta. Ce champ est requis. La valeur « ID d‘entité SP » doit correspondre à la valeur « URI d‘audience (ID d‘entité SP) » que vous avez enregistrée dans la console IDP.
- Dans le champID d‘entité IDP, collez l‘« émetteur du fournisseur d‘identité » que vous avez enregistré à partir deOkta.
- Dans le champFormat de l‘identifiant de nom, sélectionnez le format NameID que vous avez spécifié dans le systèmeOkta(par exemple, urn:oasis:names:tc:SAML:2,0:nameID-format:persistent).
- Dans le champRevendication d‘e-mail, saisissezEmail. Cela doit correspondre au nom « Attribut » que vous avez configuré dans la console Okta. L‘adresse e-mail garantit que le bon utilisateur se connecte à la console de gestion.
- Spécifiez tout autre paramètre facultatif.
- Cliquez surEnregistrer.
- Ouvrez l‘authentificateur que vous avez ajouté. Enregistrez l‘URL d‘authentification unique. Cette URL sera ajoutée aux champs suivants dans la consoleOkta> écran Paramètres SAML.
- URL d‘authentification unique
- URL SSO à demander
OneLogin(OIDC)Sélectionnez cette option si vous souhaitez que les utilisateurs s‘authentifient à l‘aide deOneLogin. Procédez comme suit :- Dans la liste déroulante située sousOneLogin, sélectionnezOIDC.
- Saisissez un nom pour l‘authentificateur.
- Si vous souhaitez que les utilisateurs valident leur adresse e-mail avec un code à usage unique lors de leur première connexion, activezValidation requise.
- Dans la sectionConfiguration OneLogin, saisissez l‘URL du document de découverte OIDC, l‘ID client, le secret de client et la méthode d‘authentification.
- Cliquez surEnregistrer.
OneLogin(SAML)Sélectionnez cette option si vous souhaitez que les utilisateurs saisissent leurs informations d‘identificationOneLoginsur la page d‘ouverture de session principale et activent l‘accès initié par IDP à la consoleCylance.Pour connaître les étapes de configuration de votreOneLogin(SAML), reportez-vous aux sections suivantes :- Configurer un nouveauOneLogin(SAML) : Configurer l‘authentificateurOneLogin(SAML) pour une authentification améliorée
- Activer l‘accès initié parOneLoginpour unOneLoginexistant (SAML) : Mettre à jour l‘authentificateurOneLogin(SAML) pour activer l‘accès initié par IDP à la consoleCylance
L‘URL de rappel SSO au format https://login.eid.blackberry.com/_/resume/saml20/hash> est générée lorsque vous enregistrez l‘authentificateur.- Saisissez un nom pour l‘authentificateur.
- Si vous souhaitez que les utilisateurs valident leur adresse e-mail avec un code à usage unique lors de leur première connexion, activezValidation requise.
- Dans le champURL de demande de connexion, saisissez l‘URL d‘authentification unique du fournisseur d‘identité.
- Dans le champCertificat de signature IDP, collez le corps du certificat de signature que vous avez téléchargé, y compris les lignes Début du certificat et Fin du certificat.Lorsque vous copiez et collez le corps du certificat, veillez à ne pas modifier les sauts de ligne ou le format des informations du certificat.
- Dans le champID d‘entité SP, saisissez l‘« Identifiant (ID d‘entité) » enregistré dans la console OneLogin. Ce champ est requis. La valeur « ID d‘entité SP » doit correspondre à la valeur « Identifiant (ID d‘entité) » que vous avez enregistrée dans la console IDP.
- Spécifiez tout autre paramètre facultatif.
- Cliquez surEnregistrer.
- Ouvrez l‘authentificateur que vous avez ajouté. Enregistrez l‘URL d‘authentification unique. Cette URL sera ajoutée aux champs suivants dans la console OneLogin :
- Validateur d‘URL ACS (abonné)*
- URL ACS (abonné)*
- URL de déconnexion unique
Password à usage uniqueSélectionnez cette option si vous souhaitez que les utilisateurs saisissent un mot de passe à usage unique en plus d‘un autre type d‘authentification.Si vous sélectionnez cette option, vous devez également ajouter un autre authentificateur à votre stratégie d‘authentification et le classer plus haut que le mot de passe à usage unique.Pour connaître les étapes d‘ajout et de suppression de l‘authentification par mot de passe à usage unique pour les administrateurs, reportez-vous aux sections suivantes :Procédez comme suit :- Saisissez un nom pour l‘authentificateur.
- Dans la sectionConfiguration du mot de passe à usage unique, dans la première liste déroulante, sélectionnez un certain nombre d‘intervalles dans la liste déroulante. Tout code dans la fenêtre est valide s‘il précède ou suit le code attendu par le nombre d‘intervalles d‘actualisation que vous spécifiez. L‘intervalle d‘actualisation est de 30 secondes et le paramètre par défaut est 0.
- Dans la sectionConfiguration du mot de passe à usage unique, dans la deuxième liste déroulante, indiquez le nombre de fois où les utilisateurs peuvent ignorer la configuration de l‘application OTP et s‘authentifier sans saisir de code.
Ping Identity(OIDC)Sélectionnez cette option si vous souhaitez que les utilisateurs s‘authentifient à l‘aide dePing Identity. Procédez ainsi :- Dans la liste déroulante située sousPing, sélectionnezOIDC.
- Saisissez un nom pour l‘authentificateur.
- Dans la sectionClient du fournisseur d‘identité, saisissez l‘URL du document de découverte OIDC, l‘ID du client et la clé privée JWKS.
- Dans la liste déroulanteAlgorithme de signature du jeton d‘ID, sélectionnez l‘un des algorithmes de connexion.
- Cliquez surEnregistrer.
Ping Identity(SAML)Sélectionnez cette option si vous souhaitez que les utilisateurs saisissent leurs informations d‘identificationPing Identitysur la page d‘ouverture de session principale et activent l‘accès initié par IDP à la consoleCylance.Pour connaître les étapes de configuration de votrePing Identity(SAML), reportez-vous aux sections suivantes :- Configurer un nouveauPing Identity(SAML) : Configurer l‘authentificateurPing Identity(SAML) pour une authentification améliorée
- Activer l‘accès initié parPing Identitypour unOneLoginexistant (SAML) : Mettre à jour l‘authentificateurPing Identity(SAML) pour activer l‘accès initié par IDP à la consoleCylance
L‘URL de rappel SSO au format https://login.eid.blackberry.com/_/resume/saml20/hash> est générée lorsque vous ajoutez l‘authentificateur.- Dans la liste déroulante située sousIdentité Ping, sélectionnezSAML.
- Saisissez un nom pour l‘authentificateur.
- Si vous souhaitez que les utilisateurs valident leur adresse e-mail avec un code à usage unique lors de leur première connexion, activezValidation requise.
- Dans le champURL de demande de connexion, saisissez l‘URL d‘authentification unique du fournisseur d‘identité.
- Dans le champCertificat de signature IDP, collez le corps du certificat de signature que vous avez téléchargé, y compris les lignes Début du certificat et Fin du certificat.Lorsque vous copiez et collez le corps du certificat, veillez à ne pas modifier les sauts de ligne ou le format des informations du certificat.
- Dans le champID d‘entité SP, saisissez l‘«ID d‘entité » enregistré dans la console OneLogin. Ce champ est requis. La valeur « ID d‘entité SP » doit correspondre à la valeur «ID d‘entité » que vous avez enregistrée dans la console IDP.
- Spécifiez tout autre paramètre facultatif.
- Cliquez surEnregistrer.
- Ouvrez l‘authentificateur que vous avez ajouté. Enregistrez l‘URL d‘authentification unique. Cette URL sera requise dans les champs suivants de l‘écran Configuration de la console PingOne :
- Service d‘abonné d‘assertions (ACS)
- URL de l‘application
- Cliquez surEnregistrer.