Ajouter un authentificateur Passer la navigation

Ajouter un authentificateur

Vous ajoutez des authentificateurs afin de pouvoir les ajouter aux stratégies d‘authentification. L‘authentificateur définit généralement une méthode d‘authentification, telle qu‘un mot de passe (par exemple, un mot de passe de console
Cylance
) ou une connexion à un tiers pour une authentification telle que
Active Directory
,
Okta
, ou
Ping Identity
. Vous les ajoutez aux stratégies d‘authentification pour spécifier les types d‘authentification que les administrateurs doivent effectuer pour se connecter à la console
Cylance
et que les utilisateurs doivent effectuer pour activer des applications ou des agents
Cylance Endpoint Security
( par exemple, l‘application
CylancePROTECT Mobile
ou
CylanceGATEWAY
). Vous pouvez combiner plusieurs authentificateurs dans une stratégie d‘authentification pour fournir plusieurs étapes d‘authentification. Par exemple, vous pouvez combiner l‘authentificateur Enterprise avec une invite de mot de passe à usage unique dans une stratégie pour obliger les utilisateurs à s‘authentifier à la fois avec leur mot de passe de console
Cylance
ou de poste et un mot de passe à usage unique.
Si vous ajoutez un authentificateur SAML, téléchargez un exemplaire du certificat de signature de votre IDP.
  1. Sur la barre de menus, cliquez sur
    Paramètres > Authentification
    .
  2. Cliquez sur
    Ajouter un authentificateur
    .
  3. Dans la liste déroulante
    Type d‘authentificateur
    , sélectionnez l‘un des authentificateurs suivants :
    Élément
    Description
    Azure
    (SAML)
    Sélectionnez cette option si vous souhaitez que les utilisateurs saisissent leurs informations d‘identification
    Azure
    . Procédez comme suit :
    1. Saisissez un nom pour l‘authentificateur.
    2. Si vous souhaitez que les utilisateurs valident leur adresse e-mail avec un code à usage unique lors de leur première connexion, activez
      Validation requise
      . Le code est envoyé à l‘adresse e-mail associée à l‘utilisateur dans votre locataire.
    3. Dans le champ
      URL de demande de connexion
      , saisissez l‘URL d‘authentification unique du fournisseur d‘identité.
    4. Dans le champ
      Certificat de signature IDP
      , collez le corps du certificat de signature que vous avez téléchargé, y compris les lignes Début du certificat et Fin du certificat.
      Lorsque vous copiez et collez le corps du certificat, veillez à ne pas modifier les sauts de ligne ou le format des informations du certificat.
    5. Dans le champ
      ID d‘entité SP
      , saisissez l‘
      Identifiant (ID d‘entité)
      utilisé dans la configuration SAML dans
      Azure
      . Ce champ est obligatoire et la valeur que vous saisissez doit correspondre à l‘identifiant (ID d‘entité) dans
      Azure
      .
    6. Spécifiez tout autre paramètre facultatif.
    7. Cliquez sur
      Enregistrer
      .
    Personnalisé (SAML)
    Sélectionnez cette option si vous souhaitez que les utilisateurs saisissent des informations d‘identification personnalisées. Procédez comme suit :
    1. Saisissez un nom pour l‘authentificateur.
    2. Si vous souhaitez que les utilisateurs valident leur adresse e-mail avec un code à usage unique lors de leur première connexion, activez
      Validation requise
      .
    3. Dans le champ
      URL de demande de connexion
      , saisissez l‘URL d‘authentification unique du fournisseur d‘identité.
    4. Dans le champ
      Certificat de signature IDP
      , collez le corps du certificat de signature que vous avez téléchargé, y compris les lignes Début du certificat et Fin du certificat.
      Lorsque vous copiez et collez le corps du certificat, veillez à ne pas modifier les sauts de ligne ou le format des informations du certificat.
    5. Spécifiez tout autre paramètre facultatif.
    6. Cliquez sur
      Enregistrer
      .
    Mot de passe administrateur Cylance
    Sélectionnez cette option si vous souhaitez que les utilisateurs saisissent leurs informations d‘identification de console
    Cylance
    . Procédez comme suit :
    1. Saisissez un nom pour l‘authentificateur.
    2. Cliquez sur
      Enregistrer
      .
    Refuser l‘authentification
    Sélectionnez cette option si vous souhaitez utiliser une stratégie d‘authentification pour empêcher les utilisateurs ou les groupes d‘utilisateurs d‘accéder à la console
    Cylance
    ou à un autre service. Vous pouvez ajouter une autre stratégie ou une exception d‘application pour autoriser l‘accès à un sous-ensemble d‘utilisateurs.
    1. Saisissez un nom pour l‘authentificateur.
    2. Cliquez sur
      Enregistrer
      .
    Duo
    MFA
    Sélectionnez cette option si vous souhaitez que les utilisateurs s‘authentifient à l‘aide de l‘authentification multifactorielle
    Duo
    . Procédez comme suit :
    1. Saisissez un nom pour l‘authentificateur.
    2. Dans la section
      Configuration DUO MFA
      , saisissez le nom d‘hôte de l‘API, la clé d‘intégration et la clé secrète. Vous trouverez ces informations dans l‘onglet Applications du compte
      Duo
      de votre organisation. Pour plus d‘informations, consultez la documentation Duo.
    Enterprise
    Sélectionnez cette option si vous souhaitez que les utilisateurs s‘authentifient à l‘aide de leurs informations d‘identification pour
    Active Directory
    , LDAP ou
    my
    Account
    . Les informations d‘identification qu‘un utilisateur utilisera dépendent du type de compte qui est la source de son compte utilisateur dans la console. Procédez comme suit :
    1. Saisissez un nom pour l‘authentificateur.
    2. Cliquez sur
      Enregistrer
      .
    FIDO
    Sélectionnez cette option si vous souhaitez que les utilisateurs enregistrent un terminal
    FIDO2
    et l‘utilisent pour vérifier leur identité. Les types de terminaux pris en charge incluent les smartphones, les clés de sécurité USB ou
    Windows Hello
    .
    1. Saisissez un nom pour l‘authentificateur.
    2. Cliquez sur
      Enregistrer
      .
    Lorsque
    FIDO
    est le premier facteur d‘authentification et qu‘un utilisateur enregistre un terminal pour la première fois, un mot de passe à usage unique est également envoyé à l‘adresse e-mail qu‘il utilise pour se connecter. Lorsque
    FIDO
    est utilisé comme deuxième facteur dans une stratégie, un mot de passe à usage unique n‘est pas requis lorsqu‘un utilisateur enregistre un terminal pour la première fois.
    Pour plus d‘informations sur la suppression des terminaux enregistrés d‘un compte d‘utilisateur, reportez-vous à la section Supprimer un terminal
    FIDO
    enregistré pour un compte utilisateur
    dans le contenu relatif à l‘administration.
    Annuaire intégré (
    Active Directory
    /
    Azure AD
    /LDAP)
    Sélectionnez cette option si vous souhaitez que les utilisateurs saisissent leur mot de passe
    Active Directory
    . Si vous sélectionnez cette option, votre locataire
    Cylance Endpoint Security
    doit disposer d‘une connexion à l‘instance de l‘annuaire de l‘entreprise. Pour plus d‘informations, reportez-vous à Association à votre annuaire d‘entreprise. Procédez comme suit :
    1. Saisissez un nom pour l‘authentificateur.
    2. Cliquez sur
      Enregistrer
      .
    Adresse IP
    Sélectionnez cette option si vous souhaitez restreindre l‘accès des utilisateurs en fonction de leur adresse IP. Vous pouvez créer plusieurs authentificateurs d‘adresses IP et les utiliser pour gérer l‘accès de différents groupes, mais vous ne pouvez attribuer qu‘un seul authentificateur d‘adresses IP par stratégie.
    1. Saisissez un nom pour l‘authentificateur.
    2. Dans le champ
      Plages d‘adresses IP
      , spécifiez une ou plusieurs adresses IP, plages IP ou CIDR. Séparez les entrées par une virgule.
    3. Cliquez sur
      Enregistrer
      .
    Compte local
    Sélectionnez cette option si vous souhaitez que les utilisateurs saisissent leurs informations d‘identification
    BlackBerry Online Account
    (
    my
    Account
    ). Procédez comme suit :
    1. Saisissez un nom pour l‘authentificateur.
    2. Cliquez sur
      Enregistrer
      .
    Okta
    MFA
    Sélectionnez cette option si vous souhaitez que les utilisateurs s‘authentifient à l‘aide de
    Okta
    . Procédez comme suit :
    1. Saisissez un nom pour l‘authentificateur.
    2. Dans la section
      Configuration Okta MFA
      , saisissez la clé d‘API d‘authentification et le domaine d‘authentification.
    3. Cliquez sur
      Enregistrer
      .
    Okta
    (OIDC)
    Sélectionnez cette option si vous souhaitez que les utilisateurs s‘authentifient à l‘aide de
    Okta
    . Procédez comme suit :
    1. Dans la liste déroulante située sous
      Okta
      , sélectionnez
      OIDC
      .
    2. Saisissez un nom pour l‘authentificateur.
    3. Dans la section
      Client du fournisseur d‘identité
      , saisissez l‘URL du document de découverte OIDC, l‘ID du client et la clé privée JWKS.
    4. Cliquez sur
      Enregistrer
      .
    Okta
    (SAML)
    Sélectionnez cette option si vous souhaitez que les utilisateurs saisissent leurs informations d‘identification
    Okta
    . Procédez comme suit :
    1. Dans la liste déroulante située sous
      Okta
      , sélectionnez
      SAML
      .
    2. Saisissez un nom pour l‘authentificateur.
    3. Si vous souhaitez que les utilisateurs valident leur adresse e-mail avec un code à usage unique lors de leur première connexion, activez
      Validation requise
      .
    4. Dans le champ
      URL de demande de connexion
      , saisissez l‘URL d‘authentification unique du fournisseur d‘identité.
    5. Dans le champ
      Certificat de signature IDP
      , collez le corps du certificat de signature que vous avez téléchargé, y compris les lignes Début du certificat et Fin du certificat.
      Lorsque vous copiez et collez le corps du certificat, veillez à ne pas modifier les sauts de ligne ou le format des informations du certificat.
    6. Spécifiez tout autre paramètre facultatif.
    7. Cliquez sur
      Enregistrer
      .
    OneLogin
    Sélectionnez cette option si vous souhaitez que les utilisateurs saisissent leurs informations d‘identification
    OneLogin
    . Procédez comme suit :
    1. Saisissez un nom pour l‘authentificateur.
    2. Si vous souhaitez que les utilisateurs valident leur adresse e-mail avec un code à usage unique lors de leur première connexion, activez
      Validation requise
      .
    3. Dans le champ
      URL de demande de connexion
      , saisissez l‘URL d‘authentification unique du fournisseur d‘identité.
    4. Dans le champ
      Certificat de signature IDP
      , collez le corps du certificat de signature que vous avez téléchargé, y compris les lignes Début du certificat et Fin du certificat.
      Lorsque vous copiez et collez le corps du certificat, veillez à ne pas modifier les sauts de ligne ou le format des informations du certificat.
    5. Spécifiez tout autre paramètre facultatif.
    6. Cliquez sur
      Enregistrer
      .
    Password à usage unique
    Sélectionnez cette option si vous souhaitez que les utilisateurs saisissent un mot de passe à usage unique en plus d‘un autre type d‘authentification. Si vous sélectionnez cette option, vous devez également ajouter un autre authentificateur à votre stratégie d‘authentification et le classer plus haut que le mot de passe à usage unique. Procédez comme suit :
    1. Saisissez un nom pour l‘authentificateur.
    2. Dans la section
      Configuration du mot de passe à usage unique
      , dans la première liste déroulante, sélectionnez un certain nombre d‘intervalles dans la liste déroulante. Tout code dans la fenêtre est valide s‘il précède ou suit le code attendu par le nombre d‘intervalles d‘actualisation que vous spécifiez. L‘intervalle d‘actualisation est de 30 secondes et le paramètre par défaut est 0.
    3. Dans la section
      Configuration du mot de passe à usage unique
      , dans la deuxième liste déroulante, indiquez le nombre de fois où les utilisateurs peuvent ignorer la configuration de l‘application OTP et s‘authentifier sans saisir de code.
    Ping Identity
    (OIDC)
    Sélectionnez cette option si vous souhaitez que les utilisateurs s‘authentifient à l‘aide de
    Ping Identity
    . Procédez ainsi :
    1. Dans la liste déroulante située sous
      Ping
      , sélectionnez
      OIDC
      .
    2. Saisissez un nom pour l‘authentificateur.
    3. Dans la section
      Client du fournisseur d‘identité
      , saisissez l‘URL du document de découverte OIDC, l‘ID du client et la clé privée JWKS.
    4. Dans la liste déroulante
      Algorithme de signature du jeton d‘ID
      , sélectionnez l‘un des algorithmes de connexion.
    5. Cliquez sur
      Enregistrer
      .
    Ping Identity
    (SAML)
    Sélectionnez cette option si vous souhaitez que les utilisateurs saisissent leurs informations d‘identification
    Ping Identity
    . Procédez comme suit :
    1. Dans la liste déroulante située sous
      Ping
      , sélectionnez
      SAML
      .
    2. Saisissez un nom pour l‘authentificateur.
    3. Si vous souhaitez que les utilisateurs valident leur adresse e-mail avec un code à usage unique lors de leur première connexion, activez
      Validation requise
      .
    4. Dans le champ
      URL de demande de connexion
      , saisissez l‘URL d‘authentification unique du fournisseur d‘identité.
    5. Dans le champ
      Certificat de signature IDP
      , collez le corps du certificat de signature que vous avez téléchargé, y compris les lignes Début du certificat et Fin du certificat.
      Lorsque vous copiez et collez le corps du certificat, veillez à ne pas modifier les sauts de ligne ou le format des informations du certificat.
    6. Spécifiez tout autre paramètre facultatif.
    7. Cliquez sur
      Enregistrer
      .
  4. Cliquez sur
    Enregistrer
    .