Passer la navigation

Ajouter un authentificateur

Vous ajoutez des authentificateurs afin de pouvoir les ajouter aux stratégies d‘authentification. L‘authentificateur définit généralement une méthode d‘authentification, telle qu‘un mot de passe (par exemple, un mot de passe de console
Cylance
) ou une connexion à un tiers pour une authentification telle que
Active Directory
,
Okta
, ou
Ping Identity
. Vous les ajoutez aux stratégies d‘authentification pour spécifier les types d‘authentification que les administrateurs doivent effectuer pour se connecter à la console
Cylance
et que les utilisateurs doivent effectuer pour activer des applications ou des agents
Cylance Endpoint Security
( par exemple, l‘application
CylancePROTECT Mobile
ou
CylanceGATEWAY
). Vous pouvez combiner plusieurs authentificateurs dans une stratégie d‘authentification pour fournir plusieurs étapes d‘authentification. Par exemple, vous pouvez combiner l‘authentificateur Enterprise avec une invite de mot de passe à usage unique dans une stratégie pour obliger les utilisateurs à s‘authentifier à la fois avec leur mot de passe de console
Cylance
ou de poste et un mot de passe à usage unique.
  1. Sur la barre de menus, cliquez sur
    Paramètres > Authentification
    .
  2. Cliquez sur
    Ajouter un authentificateur
    .
  3. Dans la liste déroulante
    Type d‘authentificateur
    , sélectionnez l‘un des authentificateurs suivants :
    Élément
    Description
    Entra
    (SAML)
    Sélectionnez cette option si vous souhaitez que les utilisateurs saisissent leurs informations d‘identification
    Entra
    sur la page d‘ouverture de session principale et activent l‘accès initié par IDP à la console
    Cylance
    .
    Pour connaître les étapes de configuration de votre
    Entra
    (SAML), reportez-vous aux sections suivantes :
    L‘URL de rappel SSO au format https://login.eid.blackberry.com/_/resume/saml20/
    hash
    > est générée lorsque vous enregistrez l‘authentificateur.
    Procédez comme suit :
    1. Saisissez un nom pour l‘authentificateur.
    2. Si vous souhaitez que les utilisateurs valident leur adresse e-mail avec un code à usage unique lors de leur première connexion, activez
      Validation requise
      . Le code est envoyé à l‘adresse e-mail associée à l‘utilisateur dans votre locataire.
    3. Dans le champ
      URL de demande de connexion
      , saisissez l‘URL de connexion spécifiée dans les paramètres d‘authentification unique d‘enregistrement de l‘application correspondant à votre fournisseur d‘identité. Par exemple, sur le portail
      Entra
      , accédez à Application d‘entreprise >
      Name of the newly created application
      > > section Configuration de
      application name
      > URL de connexion.
    4. Dans le champ
      Certificat de signature IDP
      , collez le corps du certificat de signature que vous avez téléchargé, y compris les lignes Début du certificat et Fin du certificat.
      Lorsque vous copiez et collez le corps du certificat, veillez à ne pas modifier les sauts de ligne ou le format des informations du certificat.
    5. Dans le champ
      ID d‘entité SP
      , saisissez l‘
      Identifiant (ID d‘entité)
      utilisé dans la configuration SAML sur le portail
      Entra
      . Ce champ est requis. La valeur « ID d‘entité SP » doit correspondre à la valeur « Identifiant (ID d‘entité) » que vous avez enregistrée dans la console IDP.
    6. Activez l‘option
      Afficher les paramètres avancés
      , dans le champ
      Revendication d‘e-mail
      , collez la valeur du « Nom de la revendication » que vous avez enregistré sur le portail
      Entra
      (par exemple, http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress).
    7. Spécifiez tout autre paramètre facultatif.
    8. Cliquez sur
      Enregistrer
      .
    9. Ouvrez l‘authentificateur que vous avez ajouté. Enregistrez l‘
      URL de rappel SSO
      . Cette URL sera requise dans le champ Portail
      Entra
      > Configuration SAML de base > URL de réponse (URL de l‘abonné d‘assertions).
    Personnalisé (SAML)
    Sélectionnez cette option si vous souhaitez que les utilisateurs saisissent des informations d‘identification personnalisées sur la page d‘ouverture de session principale et activent l‘accès initié par IDP à la console
    Cylance
    .
    Pour obtenir une description détaillée des étapes de configuration de votre Personnalisé (SAML), reportez-vous aux sections suivantes :
    L‘URL de rappel SSO au format https://login.eid.blackberry.com/_/resume/saml20/
    hash
    > est générée lorsque vous enregistrez l‘authentificateur.
    1. Saisissez un nom pour l‘authentificateur.
    2. Si vous souhaitez que les utilisateurs valident leur adresse e-mail avec un code à usage unique lors de leur première connexion, activez
      Validation requise
      .
    3. Dans le champ
      URL de demande de connexion
      , saisissez l‘URL d‘authentification unique du fournisseur d‘identité.
    4. Dans le champ
      Certificat de signature IDP
      , collez le corps du certificat de signature que vous avez téléchargé, y compris les lignes Début du certificat et Fin du certificat.
      Lorsque vous copiez et collez le corps du certificat, veillez à ne pas modifier les sauts de ligne ou le format des informations du certificat.
    5. Dans le champ
      ID d‘entité SP
      , saisissez l‘« URI d‘audience (ID d‘entité SP) » que vous avez enregistrée dans le portail IDP personnalisé. Ce champ est requis. La valeur « ID d‘entité SP » doit correspondre à la valeur « URI d‘audience (ID d‘entité SP) » que vous avez enregistrée dans la console IDP.
    6. Dans le champ
      format de l‘ID de nom
      , spécifiez le format de l‘identifiant de nom à demander à l‘IDP (par exemple, urn:oasis:names:tc:SAML:1,1:nameid-format:emailAddress).
    7. Dans le champ
      Revendication d‘e-mail
      , saisissez
      NameID
      . Cette valeur doit correspondre au « format NameID » que vous avez spécifié dans la console IDP. L‘adresse e-mail garantit que le bon utilisateur se connecte à la console de gestion.
    8. Spécifiez tout autre paramètre facultatif.
    9. Cliquez sur
      Enregistrer
      .
    10. Ouvrez l‘authentificateur que vous avez ajouté. Enregistrez l‘
      URL d‘authentification unique
      . Cette URL sera ajoutée à l‘IDP personnalisé.
    Mot de passe administrateur Cylance
    Sélectionnez cette option si vous souhaitez que les utilisateurs saisissent leurs informations d‘identification de console
    Cylance
    . Procédez comme suit :
    1. Saisissez un nom pour l‘authentificateur.
    2. Cliquez sur
      Enregistrer
      .
    Refuser l‘authentification
    Sélectionnez cette option si vous souhaitez utiliser une stratégie d‘authentification pour empêcher les utilisateurs ou les groupes d‘utilisateurs d‘accéder à la console
    Cylance
    ou à un autre service. Vous pouvez ajouter une autre stratégie ou une exception d‘application pour autoriser l‘accès à un sous-ensemble d‘utilisateurs.
    1. Saisissez un nom pour l‘authentificateur.
    2. Cliquez sur
      Enregistrer
      .
    Duo
    MFA
    Sélectionnez cette option si vous souhaitez que les utilisateurs s‘authentifient à l‘aide de l‘authentification multifactorielle
    Duo
    .
    Avant d‘ajouter
    Duo
    en tant qu‘authentificateur, vous devez créer une application d‘API d‘authentification. Pour obtenir des instructions, consultez les informations de
    Duo
    .
    Procédez comme suit :
    1. Saisissez un nom pour l‘authentificateur.
    2. Dans la section
      Configuration DUO MFA
      , saisissez le nom d‘hôte de l‘API, la clé d‘intégration et la clé secrète. Vous trouverez ces informations dans l‘onglet Applications du compte
      Duo
      de votre organisation. Pour plus d‘informations, consultez la documentation Duo.
    Enterprise
    Sélectionnez cette option si vous souhaitez que les utilisateurs s‘authentifient à l‘aide de leurs informations d‘identification pour
    Active Directory
    , LDAP ou
    my
    Account
    . Les informations d‘identification qu‘un utilisateur utilisera dépendent du type de compte qui est la source de son compte utilisateur dans la console. Procédez comme suit :
    1. Saisissez un nom pour l‘authentificateur.
    2. Cliquez sur
      Enregistrer
      .
    FIDO
    Sélectionnez cette option si vous souhaitez que les utilisateurs enregistrent un terminal
    FIDO2
    et l‘utilisent pour vérifier leur identité. Les types de terminaux pris en charge incluent les smartphones, les clés de sécurité USB ou
    Windows Hello
    .
    1. Saisissez un nom pour l‘authentificateur.
    2. Cliquez sur
      Enregistrer
      .
    Lorsque
    FIDO
    est le premier facteur d‘authentification et qu‘un utilisateur enregistre un terminal pour la première fois, un mot de passe à usage unique est également envoyé à l‘adresse e-mail qu‘il utilise pour se connecter. Lorsque
    FIDO
    est utilisé comme deuxième facteur dans une stratégie, un mot de passe à usage unique n‘est pas requis lorsqu‘un utilisateur enregistre un terminal pour la première fois.
    Pour plus d‘informations sur la suppression des terminaux enregistrés d‘un compte d‘utilisateur, reportez-vous à la section Supprimer un terminal
    FIDO
    enregistré pour un compte utilisateur
    dans le contenu relatif à l‘administration.
    Annuaire intégré (
    Active Directory
    /
    Entra ID
    /LDAP)
    Sélectionnez cette option si vous souhaitez que les utilisateurs saisissent leur mot de passe
    Active Directory
    . Si vous sélectionnez cette option, votre locataire
    Cylance Endpoint Security
    doit disposer d‘une connexion à l‘instance de l‘annuaire de l‘entreprise. Pour plus d‘informations, reportez-vous à Association à votre annuaire d‘entreprise. Procédez comme suit :
    1. Saisissez un nom pour l‘authentificateur.
    2. Cliquez sur
      Enregistrer
      .
    Adresse IP
    Sélectionnez cette option si vous souhaitez restreindre l‘accès des utilisateurs en fonction de leur adresse IP. Vous pouvez créer plusieurs authentificateurs d‘adresses IP et les utiliser pour gérer l‘accès de différents groupes, mais vous ne pouvez attribuer qu‘un seul authentificateur d‘adresses IP par stratégie.
    Pour obtenir des instructions détaillées sur les étapes pour ajouter ou supprimer des restrictions d‘adresses IP pour la console, reportez-vous à la section Ajouter un authentificateur de restriction d‘adresse IP pour la console Cylance.
    1. Saisissez un nom pour l‘authentificateur.
    2. Dans le champ
      Plages d‘adresses IP
      , spécifiez une ou plusieurs adresses IP, plages IP ou CIDR. Séparez les entrées par une virgule. Par exemple, plage d‘adresses IP : 192.168.0.100-192.168.1.255 ou CIDR : 192.168.0.10/24.
    3. Cliquez sur
      Enregistrer
      .
    Compte local
    Sélectionnez cette option si vous souhaitez que les utilisateurs saisissent leurs informations d‘identification
    BlackBerry Online Account
    (
    my
    Account
    ). Procédez comme suit :
    1. Saisissez un nom pour l‘authentificateur.
    2. Cliquez sur
      Enregistrer
      .
    Okta
    MFA
    Sélectionnez cette option si vous souhaitez que les utilisateurs s‘authentifient à l‘aide de
    Okta
    . Procédez comme suit :
    1. Saisissez un nom pour l‘authentificateur.
    2. Dans la section
      Configuration Okta MFA
      , saisissez la clé d‘API d‘authentification et le domaine d‘authentification.
    3. Cliquez sur
      Enregistrer
      .
    Okta
    (OIDC)
    Sélectionnez cette option si vous souhaitez que les utilisateurs s‘authentifient à l‘aide de
    Okta
    . Procédez comme suit :
    1. Dans la liste déroulante située sous
      Okta
      , sélectionnez
      OIDC
      .
    2. Saisissez un nom pour l‘authentificateur.
    3. Dans la section
      Client du fournisseur d‘identité
      , saisissez l‘URL du document de découverte OIDC, l‘ID du client et la clé privée JWKS.
    4. Cliquez sur
      Enregistrer
      .
    Okta
    (SAML)
    Sélectionnez cette option si vous souhaitez que les utilisateurs saisissent leurs informations d‘identification
    Okta
     sur la page d‘ouverture de session principale et activent l‘accès initié par IDP à la console
    Cylance
    .
    Pour connaître les étapes de configuration de votre
    Okta
    (SAML), reportez-vous aux sections suivantes :
    L‘URL de rappel SSO au format https://login.eid.blackberry.com/_/resume/saml20/
    hash
    > est générée lorsque vous enregistrez l‘authentificateur.
    1. Dans la liste déroulante située sous
      Okta
      , sélectionnez
      SAML
      .
    2. Saisissez un nom pour l‘authentificateur.
    3. Si vous souhaitez que les utilisateurs valident leur adresse e-mail avec un code à usage unique lors de leur première connexion, activez
      Validation requise
      .
    4. Dans le champ
      URL de demande de connexion
      , saisissez l‘URL d‘authentification unique du fournisseur d‘identité.
    5. Dans le champ
      Certificat de signature IDP
      , collez le corps du certificat de signature que vous avez téléchargé, y compris les lignes Début du certificat et Fin du certificat.
      Lorsque vous copiez et collez le corps du certificat, veillez à ne pas modifier les sauts de ligne ou le format des informations du certificat.
    6. Dans le champ
      ID d‘entité SP
      , saisissez l‘« URI d‘audience (ID d‘entité SP) » que vous avez enregistrée sur le portail
      Okta
      . Ce champ est requis. La valeur « ID d‘entité SP » doit correspondre à la valeur « URI d‘audience (ID d‘entité SP) » que vous avez enregistrée dans la console IDP.
    7. Dans le champ
      ID d‘entité IDP
      , collez l‘« émetteur du fournisseur d‘identité » que vous avez enregistré à partir de
      Okta
      .
    8. Dans le champ
      Format de l‘identifiant de nom
      , sélectionnez le format NameID que vous avez spécifié dans le système
      Okta
      (par exemple, urn:oasis:names:tc:SAML:2,0:nameID-format:persistent).
    9. Dans le champ
      Revendication d‘e-mail
      , saisissez
      Email
      . Cela doit correspondre au nom « Attribut » que vous avez configuré dans la console Okta. L‘adresse e-mail garantit que le bon utilisateur se connecte à la console de gestion.
    10. Spécifiez tout autre paramètre facultatif.
    11. Cliquez sur
      Enregistrer
      .
    12. Ouvrez l‘authentificateur que vous avez ajouté. Enregistrez l‘URL d‘authentification unique. Cette URL sera ajoutée aux champs suivants dans la console
      Okta
      > écran Paramètres SAML.
      • URL d‘authentification unique
      • URL SSO à demander
    OneLogin
    (OIDC)
    Sélectionnez cette option si vous souhaitez que les utilisateurs s‘authentifient à l‘aide de
    OneLogin
    . Procédez comme suit :
    1. Dans la liste déroulante située sous
      OneLogin
      , sélectionnez
      OIDC
      .
    2. Saisissez un nom pour l‘authentificateur.
    3. Si vous souhaitez que les utilisateurs valident leur adresse e-mail avec un code à usage unique lors de leur première connexion, activez
      Validation requise
      .
    4. Dans la section
      Configuration OneLogin
      , saisissez l‘URL du document de découverte OIDC, l‘ID client, le secret de client et la méthode d‘authentification.
    5. Cliquez sur
      Enregistrer
      .
    OneLogin
    (SAML)
    Sélectionnez cette option si vous souhaitez que les utilisateurs saisissent leurs informations d‘identification
    OneLogin
     sur la page d‘ouverture de session principale et activent l‘accès initié par IDP à la console
    Cylance
    .
    Pour connaître les étapes de configuration de votre
    OneLogin
    (SAML), reportez-vous aux sections suivantes :
    L‘URL de rappel SSO au format https://login.eid.blackberry.com/_/resume/saml20/
    hash
    > est générée lorsque vous enregistrez l‘authentificateur.
    1. Saisissez un nom pour l‘authentificateur.
    2. Si vous souhaitez que les utilisateurs valident leur adresse e-mail avec un code à usage unique lors de leur première connexion, activez
      Validation requise
      .
    3. Dans le champ
      URL de demande de connexion
      , saisissez l‘URL d‘authentification unique du fournisseur d‘identité.
    4. Dans le champ
      Certificat de signature IDP
      , collez le corps du certificat de signature que vous avez téléchargé, y compris les lignes Début du certificat et Fin du certificat.
      Lorsque vous copiez et collez le corps du certificat, veillez à ne pas modifier les sauts de ligne ou le format des informations du certificat.
    5. Dans le champ
      ID d‘entité SP
      , saisissez l‘« Identifiant (ID d‘entité) » enregistré dans la console OneLogin. Ce champ est requis. La valeur « ID d‘entité SP » doit correspondre à la valeur « Identifiant (ID d‘entité) » que vous avez enregistrée dans la console IDP.
    6. Spécifiez tout autre paramètre facultatif.
    7. Cliquez sur
      Enregistrer
      .
    8. Ouvrez l‘authentificateur que vous avez ajouté. Enregistrez l‘URL d‘authentification unique. Cette URL sera ajoutée aux champs suivants dans la console OneLogin :
      • Validateur d‘URL ACS (abonné)*
      • URL ACS (abonné)*
      • URL de déconnexion unique
    Password à usage unique
    Sélectionnez cette option si vous souhaitez que les utilisateurs saisissent un mot de passe à usage unique en plus d‘un autre type d‘authentification.
    Si vous sélectionnez cette option, vous devez également ajouter un autre authentificateur à votre stratégie d‘authentification et le classer plus haut que le mot de passe à usage unique.
    Pour connaître les étapes d‘ajout et de suppression de l‘authentification par mot de passe à usage unique pour les administrateurs, reportez-vous aux sections suivantes :
    Procédez comme suit :
    1. Saisissez un nom pour l‘authentificateur.
    2. Dans la section
      Configuration du mot de passe à usage unique
      , dans la première liste déroulante, sélectionnez un certain nombre d‘intervalles dans la liste déroulante. Tout code dans la fenêtre est valide s‘il précède ou suit le code attendu par le nombre d‘intervalles d‘actualisation que vous spécifiez. L‘intervalle d‘actualisation est de 30 secondes et le paramètre par défaut est 0.
    3. Dans la section
      Configuration du mot de passe à usage unique
      , dans la deuxième liste déroulante, indiquez le nombre de fois où les utilisateurs peuvent ignorer la configuration de l‘application OTP et s‘authentifier sans saisir de code.
    Ping Identity
    (OIDC)
    Sélectionnez cette option si vous souhaitez que les utilisateurs s‘authentifient à l‘aide de
    Ping Identity
    . Procédez ainsi :
    1. Dans la liste déroulante située sous
      Ping
      , sélectionnez
      OIDC
      .
    2. Saisissez un nom pour l‘authentificateur.
    3. Dans la section
      Client du fournisseur d‘identité
      , saisissez l‘URL du document de découverte OIDC, l‘ID du client et la clé privée JWKS.
    4. Dans la liste déroulante
      Algorithme de signature du jeton d‘ID
      , sélectionnez l‘un des algorithmes de connexion.
    5. Cliquez sur
      Enregistrer
      .
    Ping Identity
    (SAML)
    Sélectionnez cette option si vous souhaitez que les utilisateurs saisissent leurs informations d‘identification
    Ping Identity
     sur la page d‘ouverture de session principale et activent l‘accès initié par IDP à la console
    Cylance
    .
    Pour connaître les étapes de configuration de votre
    Ping Identity
    (SAML), reportez-vous aux sections suivantes :
    L‘URL de rappel SSO au format https://login.eid.blackberry.com/_/resume/saml20/
    hash
    > est générée lorsque vous ajoutez l‘authentificateur.
    1. Dans la liste déroulante située sous
      Identité Ping
      , sélectionnez
      SAML
      .
    2. Saisissez un nom pour l‘authentificateur.
    3. Si vous souhaitez que les utilisateurs valident leur adresse e-mail avec un code à usage unique lors de leur première connexion, activez
      Validation requise
      .
    4. Dans le champ
      URL de demande de connexion
      , saisissez l‘URL d‘authentification unique du fournisseur d‘identité.
    5. Dans le champ
      Certificat de signature IDP
      , collez le corps du certificat de signature que vous avez téléchargé, y compris les lignes Début du certificat et Fin du certificat.
      Lorsque vous copiez et collez le corps du certificat, veillez à ne pas modifier les sauts de ligne ou le format des informations du certificat.
    6. Dans le champ
      ID d‘entité SP
      , saisissez l‘«ID d‘entité » enregistré dans la console OneLogin. Ce champ est requis. La valeur « ID d‘entité SP » doit correspondre à la valeur «ID d‘entité » que vous avez enregistrée dans la console IDP.
    7. Spécifiez tout autre paramètre facultatif.
    8. Cliquez sur
      Enregistrer
      .
    9. Ouvrez l‘authentificateur que vous avez ajouté. Enregistrez l‘URL d‘
      authentification unique
      . Cette URL sera requise dans les champs suivants de l‘écran Configuration de la console PingOne :
      • Service d‘abonné d‘assertions (ACS)
      • URL de l‘application
  4. Cliquez sur
    Enregistrer
    .