Certificat de périphérique dans nFactor en tant que composant EPA
Important :
Endpoint Analysis vise à analyser l’appareil de l’utilisateur par rapport à des critères de conformité prédéterminés et n’applique ni ne valide la sécurité des appareils des utilisateurs finaux. Il est recommandé d’utiliser des systèmes de sécurité des terminaux pour protéger les appareils contre les attaques des administrateurs locaux.
Le certificat de périphérique peut être configuré dans nFactor en tant que composant EPA. Le certificat d’appareil peut apparaître comme n’importe quel facteur dans le cadre de l’EPA.
Voici les avantages de la configuration du certificat de périphérique dans nFactor en tant que composant EPA.
-
L’échec de la validation du certificat de périphérique n’entraîne pas d’échec de connexion. En fonction de la configuration, l’ouverture de session peut se poursuivre et l’utilisateur peut être placé sous des groupes avec un accès limité.
-
Étant donné que la vérification du certificat d’appareil est pilotée par une stratégie, vous pouvez autoriser ou bloquer l’accès aux ressources intranet de votre entreprise de manière sélective en fonction de l’authentification par certificat de périphérique. Par exemple, l’authentification par certificat de périphérique peut être utilisée pour fournir un accès conditionnel à l’application Office 365 uniquement sur les ordinateurs portables gérés par l’entreprise.
La validation du certificat de périphérique ne peut pas faire partie d’une analyse périodique de l’EPA.
Important :
- Par défaut, Windows impose des privilèges d’administrateur pour accéder aux certificats d’appareil. Pour ajouter la vérification du certificat de l’appareil pour les utilisateurs non administrateurs, vous devez installer le plug-in VPN de la même version que le plug-in EPA sur l’appareil.
- Vous pouvez ajouter plusieurs certificats d’autorité de certification à la passerelle et valider le certificat de l’appareil.
- Si vous installez deux certificats d’appareils ou plus sur les machines clientes, les utilisateurs doivent sélectionner le bon certificat lorsqu’ils se connectent à NetScaler Gateway ou avant l’exécution de l’analyse des terminaux.
- Lorsque vous créez le certificat de périphérique, il doit s’agir d’un certificat X.509.
- Si vous disposez d’un certificat de périphérique émis par une autorité de certification intermédiaire, les certificats d’autorité de certification intermédiaire et racine doivent être liés.
- Vous devez également lier le certificat de l’autorité de certification au serveur virtuel VPN.
Configurez le certificat de périphérique dans nFactor en tant que composant EPA
Pour configurer le certificat de périphérique dans nFactor en tant que composant EPA à l’aide de l’interface de ligne de commande :
À l’invite de commande, tapez ;
add authentication epaAction epa-act -csecexpr sys.client_expr("device-cert_0_0") -defaultgroup epa_pass -quarantine_group epa_fail
<!--NeedCopy-->
Pour configurer le certificat de périphérique dans nFactor en tant que composant EPA pour le serveur virtuel VPN à l’aide de l’interface graphique :
- Dans l’interface graphique de NetScaler, accédez à Configuration > NetScaler GatewayServeurs virtuels.
- Sur la page Serveurs virtuels NetScaler Gateway, sélectionnez le serveur virtuel à modifier et cliquez surModifier.
-
Sur la page Serveur virtuel VPN, cliquez sur l’icône Modifier.
-
Cliquez sur Plus.
-
Cliquez sur + dans la section CA for Device Certificate, puis cliquez sur OK.
Remarque :
Ne cochez pas la case Activer le certificat de périphérique. L’activation de cette option active la validation du certificat de périphérique dans l’EPA classique.
-
Dans l’interface graphique de NetScaler, accédez à Configuration > Sécurité > AAA — Trafic applicatif > Stratégies > Authentification > Stratégies avancées > Actions > EPA.
-
Sur la page Action EPA d’authentification, cliquez sur Ajouter. Vous pouvez cliquer sur Modifier pour modifier une action EPA existante.
-
Sur la page Créer une action EPA d’authentification, indiquez les valeurs des champs requis pour créer une action EPA d’authentification, puis cliquez sur le lien EPA Editor.
-
Sélectionnez Commun dans le menu Éditeur d’expressions.
-
Sélectionnez Certificat de périphérique dans le menu suivant qui apparaît, puis cliquez sur Terminé pour terminer la configuration.
Pour configurer le certificat de périphérique dans nFactor en tant que composant EPA pour le serveur virtuel d’authentification à l’aide de l’interface graphique :
-
Dans l’interface graphique de NetScaler, accédez à Sécurité > Trafic d’applications AAAServeurs virtuels.
-
Sur la page Serveurs virtuels NetScaler Gateway, sélectionnez le serveur virtuel à modifier et cliquez sur Modifier.
-
Sur la page Serveur virtuel d’authentification, cliquez sur l’icône Modifier.
-
Cliquez sur Plus.
-
Cliquez sur Ajouter en regard de la section CA for Device Certificate.
-
Sélectionnez le certificat à ajouter et cliquez sur OK pour terminer la configuration.
-
Répétez les étapes 6 à 10 pour terminer la configuration.