Guide d'accessagent sur Terminal Server et Citrix Server

(1)

IBM Security Access Manager for Enterprise Single Sign-On

Version 8.2.1

Guide d'AccessAgent sur Terminal Server et Citrix Server

SC11-7418-01

(2)

(3)

IBM Security Access Manager for Enterprise Single Sign-On

Version 8.2.1

Guide d'AccessAgent sur Terminal Server et Citrix Server

SC11-7418-01

(4)

Important

Avant d'utiliser le présent document et le produit associé, prenez connaissance des informations générales figurant à la section «Remarques», à la page 21.

Deuxième édition - juin 2014 Réf. US : SC27-5668-01

LE PRESENT DOCUMENT EST LIVRE EN L'ETAT SANS AUCUNE GARANTIE EXPLICITE OU IMPLICITE. IBM DECLINE NOTAMMENT TOUTE RESPONSABILITE RELATIVE A CES INFORMATIONS EN CAS DE

CONTREFACON AINSI QU'EN CAS DE DEFAUT D'APTITUDE A L'EXECUTION D'UN TRAVAIL DONNE.

Ce document est mis à jour périodiquement. Chaque nouvelle édition inclut les mises à jour. Les informations qui y sont fournies sont susceptibles d'être modifiées avant que les produits décrits ne deviennent eux-mêmes

disponibles. En outre, il peut contenir des informations ou des références concernant certains produits, logiciels ou services non annoncés dans ce pays. Cela ne signifie cependant pas qu'ils y seront annoncés.

Pour plus de détails, pour toute demande d'ordre technique, ou pour obtenir des exemplaires de documents IBM, référez-vous aux documents d'annonce disponibles dans votre pays, ou adressez-vous à votre partenaire

commercial.

Vous pouvez également consulter les serveurs Internet suivants : v http://www.fr.ibm.com (serveur IBM en France)

v http://www.can.ibm.com (serveur IBM au Canada) v http://www.ibm.com (serveur IBM aux Etats-Unis) Compagnie IBM France

Direction Qualité 17, avenue de l'Europe 92275 Bois-Colombes Cedex

Remarque : Cette édition s'applique à la version 8.2.1 de IBM Security Access Manager for Enterprise Single Sign-On (numéro de produit 5724–V67) et à toutes les éditions et modifications postérieures jusqu'à indication contraire dans les nouvelles éditions.

© Copyright IBM Corporation 2002, 2014.

(5)

Sommaire

Avis aux lecteurs canadiens . . . v

A propos de cette publication . . . vii

Accès aux publications et à la terminologie. . . . vii

Accessibilité . . . x

Formation technique. . . x

Informations relatives au support . . . xi

Déclaration de bonnes pratiques de sécurité. . . . xi

Chapitre 1. AccessAgent sur Citrix Server et Terminal Server . . . 1

Chapitre 2. Modèles de déploiement . . 3

Règles pour le choix du modèle de déploiement . . 3

Chapitre 3. Modèle 1 : Configuration de base . . . 5

Déploiement de la configuration de base . . . 5

Interface utilisateur de la connexion unique . . . . 6

Chapitre 4. Modèle 2 : configuration Virtual Channel Connector. . . 7

Mode standard et mode léger. . . 8

Déploiement d'une configuration Virtual Channel Connector . . . 8

Déploiement de Virtual Channel Connector sur Citrix Server . . . 10

Déploiement de Virtual Channel Connector sur un client Citrix . . . 10

Interface utilisateur de la connexion unique. . . . 11

Chapitre 5. Modèle 3 : session de terminal générique . . . 13

Déploiement d'une session de terminal générique . 13 Interface utilisateur de la connexion unique . . . 14

Chapitre 6. Modèle 4 : configuration d'AccessAgent à deux niveaux . . . . 15

Déploiement de la configuration AccessAgent à deux niveaux . . . 16

Interface utilisateur de la connexion unique . . . 16

Chapitre 7. Personnalisation d'AccessAgent sur Citrix Server et Terminal Server . . . 19

Remarques . . . 21

Glossaire. . . 25

A . . . 25

B . . . 26

C . . . 26

D . . . 28

E . . . 28

F . . . 29

G . . . 29

H. . . 29

I . . . 30

J . . . 30

L . . . 31

M . . . 31

N. . . 32

O . . . 32

P . . . 32

Q . . . 33

R . . . 33

S . . . 34

T . . . 35

U . . . 35

V . . . 35

W . . . 35

Index . . . 37

(6)

iv IBM Security Access Manager for Enterprise Single Sign-On - Guide d'AccessAgent sur Terminal Server et Citrix Server

(7)

Avis aux lecteurs canadiens

Le présent document a été traduit en France. Voici les principales différences et particularités dont vous devez tenir compte.

Illustrations

Les illustrations sont fournies à titre d'exemple. Certaines peuvent contenir des données propres à la France.

Terminologie

La terminologie des titres IBM peut différer d'un pays à l'autre. Reportez-vous au tableau ci-dessous, au besoin.

IBM France IBM Canada

ingénieur commercial représentant

agence commerciale succursale

ingénieur technico-commercial informaticien

inspecteur technicien du matériel

Claviers

Les lettres sont disposées différemment : le clavier français est de type AZERTY, et le clavier français-canadien de type QWERTY.

OS/2 et Windows - Paramètres canadiens Au Canada, on utilise :

v les pages de codes 850 (multilingue) et 863 (français-canadien), v le code pays 002,

v le code clavier CF.

Nomenclature

Les touches présentées dans le tableau d'équivalence suivant sont libellées

différemment selon qu'il s'agit du clavier de la France, du clavier du Canada ou du clavier des États-Unis. Reportez-vous à ce tableau pour faire correspondre les touches françaises figurant dans le présent document aux touches de votre clavier.

(8)

Brevets

Il est possible qu'IBM détienne des brevets ou qu'elle ait déposé des demandes de brevets portant sur certains sujets abordés dans ce document. Le fait qu'IBM vous fournisse le présent document ne signifie pas qu'elle vous accorde un permis d'utilisation de ces brevets. Vous pouvez envoyer, par écrit, vos demandes de renseignements relatives aux permis d'utilisation au directeur général des relations commerciales d'IBM, 3600 Steeles Avenue East, Markham, Ontario, L3R 9Z7.

Assistance téléphonique

Si vous avez besoin d'assistance ou si vous voulez commander du matériel, des logiciels et des publications IBM, contactez IBM direct au 1 800 465-1234.

vi IBM Security Access Manager for Enterprise Single Sign-On - Guide d'AccessAgent sur Terminal Server et Citrix Server

(9)

A propos de cette publication

IBM Security Access Manager for Enterprise Single Sign-On - Guide d'AccessAgent sur Terminal Server et Citrix Serverfournit des informations sur les configurations requises et les flux de travaux pris en charge par les serveurs Citrix Server et Terminal Server.

Accès aux publications et à la terminologie

Cette section contient :

v Une liste des publications contenues dans la «Bibliothèque IBM Security Access Manager for Enterprise Single Sign-On».

v Des liens vers «Des publications en ligne», à la page x.

v Un lien vers «Site Web de terminologie IBM», à la page x.

Bibliothèque IBM

^®

Security Access Manager for Enterprise Single Sign-On

Les documents suivants sont disponibles dans la bibliothèque IBM Security Access Manager for Enterprise Single Sign-On :

v IBM Security Access Manager for Enterprise Single Sign-On - Guide de démarrage rapide, CF3T3ML

IBM Security Access Manager for Enterprise Single Sign-On - Guide de démarrage rapidefournit un démarrage rapide pour les principales tâches d'installation et de configuration pour le déploiement et l'utilisation d'IBM Security Access Manager for Enterprise Single Sign-On.

v IBM Security Access Manager for Enterprise Single Sign-On - Guide de planification et de déploiement, SC11655306

IBM Security Access Manager for Enterprise Single Sign-On - Guide de planification et de déploiementcontient des informations sur la planification du déploiement et la préparation de l'environnement. Il contient une présentation des fonctions et des composants du produit, de l'installation et de la configuration requises ainsi que les différents scénarios de déploiement. Il décrit également comment obtenir une haute disponibilité et la reprise sur sinistre. Lisez ce guide avant d'effectuer toute tâche d'installation ou de configuration.

v IBM Security Access Manager for Enterprise Single Sign-On - Guide d'installation, GI11737604

IBM Security Access Manager for Enterprise Single Sign-On - Guide d'installation fournit les procédures détaillées d'installation, de mise à niveau et de

désinstallation d'IBM Security Access Manager for Enterprise Single Sign-On.

Ce guide vous aide à installer les différents composants du produit et les middlewares qu'ils requièrent. Il comprend également les configurations initiales qui sont requises pour effectuer le déploiement du produit. Il traite des

procédures d'utilisation des dispositifs virtuels, des éditions de WebSphere Application Server Base et du déploiement réseau.

v IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration, GC11670104

IBM Security Access Manager for Enterprise Single Sign-On - Guide de configuration fournit des informations sur la configuration des paramètres d'IMS Server, de l'interface utilisateur d'AccessAgent et de son comportement.

(10)

v IBM Security Access Manager for Enterprise Single Sign-On - Guide d'administration, SC11655205

Ce guide est destiné aux administrateurs. Il traite des différentes tâches d'administration.IBM Security Access Manager for Enterprise Single Sign-On - Guide d'administrationfournit les procédures pour créer et attribuer des modèles de règle, éditer des valeurs de règle, générer des journaux et des rapports et sauvegarder IMS Server et sa base de données. Utilisez ce guide en association avec IBM Security Access Manager for Enterprise Single Sign-On - Guide de définition des règles.

v IBM Security Access Manager for Enterprise Single Sign-On - Guide de définition des règles, SC11670304

IBM Security Access Manager for Enterprise Single Sign-On - Guide de définition des règlesfournit une description détaillée des différentes règles utilisateur, machine et système que les administrateurs peuvent configurer dans AccessAdmin.

Utilisez-le en association avec IBM Security Access Manager for Enterprise Single Sign-On - Guide d'administration.

v IBM Security Access Manager for Enterprise Single Sign-On - Guide du service d'assistance, SC11655403

Ce guide est destiné aux représentants du service d'assistance.IBM Security Access Manager for Enterprise Single Sign-On - Guide du service d'assistancefournit aux représentants du service d'assistance des informations pour gérer les demandes et requêtes des utilisateurs, portant généralement sur leurs facteurs d'authentification. Utilisez ce guide en association avec IBM Security Access Manager for Enterprise Single Sign-On - Guide de définition des règles.

v IBM Security Access Manager for Enterprise Single Sign-On - Guide d'utilisation, SC11655105

Ce guide est destiné aux utilisateurs.IBM Security Access Manager for Enterprise Single Sign-On - Guide d'utilisationexplique comment utiliser AccessAgent et Web Workplace.

v IBM Security Access Manager for Enterprise Single Sign-On - Guide de résolution des problèmes et de support, GC11670203

IBM Security Access Manager for Enterprise Single Sign-On - Guide de résolution des problèmes et de supportfournit des informations sur les problèmes liés à

l'installation, la mise à niveau ou l'utilisation du produit. Il traite des problèmes connus et des limitations du produit. Il vous aide à déterminer les symptômes et la solution de contournement d'un problème. Vous y trouverez également des informations sur les correctifs, les bases de connaissances et le support technique.

v IBM Security Access Manager for Enterprise Single Sign-On - Guide de référence des messages d'erreur, GC11703802

IBM Security Access Manager for Enterprise Single Sign-On - Guide de référence des messages d'erreurdécrit tous les messages d'information, d'avertissement et d'erreur associés à IBM Security Access Manager for Enterprise Single Sign-On.

v IBM Security Access Manager for Enterprise Single Sign-On - Guide AccessStudio, SC11655705

IBM Security Access Manager for Enterprise Single Sign-On - Guide AccessStudio fournit des informations sur la création et l'utilisation des profils d'accès. Il fournit des procédures pour la création et l'édition de profils d'accès standard et avancés pour différents types d'application. Il contient également des

informations sur la gestion des services d'authentification et des objets application ainsi que des informations sur d'autres fonctions et dispositifs d'AccessStudio.

viii IBM Security Access Manager for Enterprise Single Sign-On - Guide d'AccessAgent sur Terminal Server et Citrix Server

(11)

v IBM Security Access Manager for Enterprise Single Sign-On - Guide des widgets AccessProfile, SC11726101

IBM Security Access Manager for Enterprise Single Sign-On - Guide des widgets AccessProfilefournit des informations sur la création et l'utilisation de widgets.

v IBM Security Access Manager for Enterprise Single Sign-On - Guide d'intégration de Tivoli Endpoint Manager, SC11741400

IBM Security Access Manager for Enterprise Single Sign-On - Guide d'intégration de Tivoli Endpoint Managerexplique comment créer et déployer des fixlets pour installer ou mettre à niveau AccessAgent ou gérer ses correctifs. Il comprend également des rubriques sur l'utilisation et la personnalisation du tableau de bord pour afficher des informations sur le déploiement d'AccessAgent sur les noeuds finaux.

v IBM Security Access Manager for Enterprise Single Sign-On - Guide d'intégration du provisionnement, SC11655803

IBM Security Access Manager for Enterprise Single Sign-On - Guide d'intégration du provisionnementfournit des informations sur les différentes API Java^™et SOAP pour le provisionnement. Il couvre également les procédures d'installation et de configuration de l'agent Provisioning Agent.

v IBM Security Access Manager for Enterprise Single Sign-On - Guide de l'API Web de gestion des données d'identification, SC11703601

IBM Security Access Manager for Enterprise Single Sign-On - Guide de l'API Web de gestion des données d'identificationfournit des informations sur l'installation et la configuration de l'API Web pour la gestion des données d'identification.

v IBM Security Access Manager for Enterprise Single Sign-On - Guide SPI d'ID série, SC11703501

IBM Security Access Manager for Enterprise Single Sign-On - Guide SPI d'ID série décrit comment intégrer une unité avec des numéros de série et l'utiliser en tant que second facteur d'authentification avec AccessAgent.

v IBM Security Access Manager for Enterprise Single Sign-On - Guide d'intégration d'Epic, SC11741700

IBM Security Access Manager for Enterprise Single Sign-On - Guide d'intégration d'Epicfournit des informations sur l'intégration d'IBM Security Access Manager for Enterprise Single Sign-On et d'Epic, avec les flux de travaux, les

configurations et le déploiement pris en charge.

v IBM Security Access Manager for Enterprise Single Sign-On - Guide d'intégration de la gestion de contexte, SC11655503

IBM Security Access Manager for Enterprise Single Sign-On - Guide d'intégration de la gestion de contextefournit des informations sur l'installation, la configuration et le test de la solution intégrée de gestion de contexte sur chaque poste de travail client.

v IBM Security Access Manager for Enterprise Single Sign-On - Guide d'AccessAgent sur mobile, SC11741501

IBM Security Access Manager for Enterprise Single Sign-On - Guide d'AccessAgent sur mobilefournit des informations sur le déploiement et l'utilisation de la connexion unique sur les appareils mobiles.

v IBM Security Access Manager for Enterprise Single Sign-On - Guide d'AccessAgent sur infrastructure de bureau virtuelle, SC11741601

IBM Security Access Manager for Enterprise Single Sign-On - Guide d'AccessAgent sur infrastructure de bureau virtuellefournit des informations sur la configuration de la prise en charge de la connexion unique sur une infrastructure de bureau virtuel, ainsi que les différents flux de travaux utilisateur pour accéder au bureau virtuel.

A propos de cette publication ix

(12)

v IBM Security Access Manager for Enterprise Single Sign-On - Guide d'AccessAgent sur Terminal Server et Citrix Server, SC11741801

IBM Security Access Manager for Enterprise Single Sign-On - Guide d'AccessAgent sur Terminal Server et Citrix Serverfournit des informations sur les configurations requises et les flux de travaux pris en charge par les serveurs Citrix Server et Terminal Server.

Des publications en ligne

IBM poste ses publications lors du lancement du produit et lorsque ces documents sont mis à jour aux emplacements suivants :

Bibliothèque IBM Security Access Manager for Enterprise Single Sign-On Le site de la documentation du produit (http://pic.dhe.ibm.com/

infocenter/tivihelp/v2r1/index.jsp?topic=/com.ibm.itamesso.doc_8.2.1/kc- homepage.html) affiche la page d'accueil de la bibliothèque et la

navigation.

IBM Security Systems Documentation Central

IBM Security Systems Documentation Central fournit une liste

alphabétique de toutes les bibliothèques produit des systèmes de sécurité IBM et des liens vers la documentation en ligne pour les versions

spécifiques de chaque produit.

IBM Publications Center

IBM Publications Center comporte des fonctions de recherche personnalisée pour vous permettre de trouver toutes les publications IBM dont vous avez besoin.

Site Web de terminologie IBM

Le site Web de terminologie IBM regroupe la terminologie des bibliothèques de logiciels en un seul emplacement. Vous pouvez accéder au site Web de

terminologie à l'adresse http://www.ibm.com/software/globalization/terminology.

Accessibilité

Les fonctions d'accessibilité permettent aux utilisateurs présentant un handicap, par exemple les personnes à mobilité réduite ou à déficience visuelle, d'utiliser les produits informatiques. Grâce à ce produit, vous pouvez utiliser des technologies d'assistance aux personnes handicapées pour entendre les sons et naviguer dans l'interface. Vous pouvez également utiliser le clavier au lieu de la souris pour exploiter toutes les fonctions de l'interface graphique.

Pour plus d'informations, consultez "Fonctions d'accessibilité" dansIBM Security Access Manager for Enterprise Single Sign-On - Guide de planification et de déploiement.

Formation technique

Pour plus d'informations sur la formation technique, voir le site Web de formation IBM à l'adresse suivante : http://www.ibm.com/software/tivoli/education.

x IBM Security Access Manager for Enterprise Single Sign-On - Guide d'AccessAgent sur Terminal Server et Citrix Server

(13)

Informations relatives au support

Le support IBM vous offre une assistance dans la résolution de vos problèmes de codes, de routine, d'installation de courte durée et de vos questions liées à l'utilisation. Vous pouvez accéder directement au site de support logiciel IBM à l'adresse http://www.ibm.com/software/support/probsub.html.

IBM Security Access Manager for Enterprise Single Sign-On - Guide de résolution des problèmes et de supportfournit des informations sur :

v Les informations à collecter avant de contacter le support IBM.

v Les diverses méthodes permettant de contacter le support IBM.

v Comment utiliser IBM Support Assistant.

v Les instructions et ressources d'identification de problème permettant d'isoler et résoudre le problème vous-même.

Remarque : L'ongletCommunauté et supportse trouvant dans le centre de documentation du produit peut fournir des ressources de support additionnelles.

Déclaration de bonnes pratiques de sécurité

La sécurité des systèmes informatiques implique la protection des systèmes et des informations via la prévention, la détection et la réponse en cas d'accès incorrect au sein et à l'extérieur de votre entreprise. Un accès non autorisé peut se traduire par la modification, la destruction ou une utilisation inadéquate ou malveillante de vos systèmes, y compris l'utilisation de ces derniers pour attaquer d'autres systèmes.

Aucun système ou produit informatique ne doit être considéré comme étant complètement sécurisé et aucun produit, service ou mesure de sécurité ne peut être entièrement efficace contre une utilisation ou un accès non autorisé. Les systèmes, les produits et les services IBM sont conçus pour s'intégrer à une approche de sécurité complète, qui implique nécessairement des procédures opérationnelles supplémentaires, et peuvent avoir besoin d'autres systèmes, produits ou services pour optimiser leur efficacité. IBM NE GARANTIT PAS QUE TOUS LES

SYSTEMES, PRODUITS OU SERVICES SONT A L'ABRI DES CONDUITES

MALVEILLANTES OU ILLICITES DE TIERS OU QU'ILS PROTEGERONT VOTRE ENTREPRISE CONTRE CELLES-CI.

A propos de cette publication xi

(14)

xii IBM Security Access Manager for Enterprise Single Sign-On - Guide d'AccessAgent sur Terminal Server et Citrix Server

(15)

Chapitre 1. AccessAgent sur Citrix Server et Terminal Server

IBM Security Access Manager for Enterprise Single Sign-On prend en charge la connexion unique et les services d'authentification pour les applications hébergées sur Citrix Server et Terminal Server – serveurs Citrix XenApp Server ou services Terminal Service.

Vous devez installer AccessAgent sur chaque serveur Citrix Server ou Terminal Server.

Il y a une instance d'AccessAgent en fonctionnement pour chaque session distante sur Citrix Server ou Terminal Server. AccessAgent aide les utilisateurs à effectuer une connexion unique à leurs applications dans la session distante concernée. Ils peuvent se reconnecter par la suite à la même session distante sur Citrix Server ou Terminal Server via n'importe quel ordinateur client.

Voir les rubriques suivantes :

v Chapitre 2, «Modèles de déploiement», à la page 3

v Chapitre 3, «Modèle 1 : Configuration de base», à la page 5

v Chapitre 4, «Modèle 2 : configuration Virtual Channel Connector», à la page 7 v Chapitre 5, «Modèle 3 : session de terminal générique», à la page 13

v Chapitre 6, «Modèle 4 : configuration d'AccessAgent à deux niveaux», à la page 15

(16)

2 IBM Security Access Manager for Enterprise Single Sign-On - Guide d'AccessAgent sur Terminal Server et Citrix Server

(17)

Chapitre 2. Modèles de déploiement

Vous pouvez choisir un modèle de déploiement d'AccessAgent adapté à vos besoins et votre environnement de services de terminaux.

L'interface utilisateur de la connexion unique sur Citrix Server ou Terminal Server varie avec les facteurs suivants :

v Comment AccessAgent est déployé v Comment les règles sont configurées

Le type de modèle de déploiement dans lequel choisir dépend des considérations de configuration suivantes :

v Utilisez-vous des serveurs Terminal Services ou Citrix XenApp ? v Utilisez-vous Citrix XenApp Server ou Citrix XenDesktop 7.0 ? v La synchronisation de mot de passe Active Directory est-elle activée ? v Utilisez-vous des clients légers, des postes de travail ou les deux ?

Remarque : Les clients légers sont les machines sans AccessAgent. Les postes de travail sont les machines avec AccessAgent.

v Utilisez-vous une authentification à deux facteurs sur votre serveur ?

Règles pour le choix du modèle de déploiement

Il y a quatre modèles de déploiement pour Citrix Server et Terminal Server. Vous devez déterminer les besoins de services d'annuaire et de connexion unique pour les clients légers, les postes de travail ou les deux. Vous devez également

déterminer le type de facteurs d'authentification que vous comptez déployer dans un environnement de services de terminaux.

Les règles qui suivent vous aideront à choisir le meilleur modèle de déploiement pour votre environnement de services de terminaux.

(18)

Une fois que vous avez choisi un modèle de déploiement, effectuez les opérations de configuration correspondantes :

v Chapitre 3, «Modèle 1 : Configuration de base», à la page 5

v Chapitre 4, «Modèle 2 : configuration Virtual Channel Connector», à la page 7 v Chapitre 5, «Modèle 3 : session de terminal générique», à la page 13

v Chapitre 6, «Modèle 4 : configuration d'AccessAgent à deux niveaux», à la page 15

Figure 1. Règles de choix du modèle de déploiement pour les environnements Citrix Server et Terminal Server

(19)

Chapitre 3. Modèle 1 : Configuration de base

Le modèle de configuration de base consiste à déployer AccessAgent serveur dans Citrix Server ou Terminal Server et à activer ESSO Network Provider.

Dans cette configuration, AccessAgent serveur connecte automatiquement l'utilisateur au portefeuille lors de la connexion à la session distante Citrix Server ou Terminal Server.

Les modifications du portefeuille dans AccessAgent client ou AccessAgent serveur ne sont pas immédiatement synchronisées entre AccessAgent client et AccessAgent serveur.

Déploiement de la configuration de base

Vous pouvez déployer la configuration de base sur Terminal Server ou Citrix Server. Configurez AccessAgent et Citrix Server ou Terminal Server pour déployer le modèle 1.

Avant de commencer

Pour spécifier les options de connexion unique pour le modèle 1, vous devez modifier le fichierSetupHlp.iniavant d'installer AccessAgent serveur. Ce fichier se trouve dans le dossierConfig du package d'installation d'AccessAgent. Modifiez les options suivantes dans le fichierSetupHlp.ini :

Option Description

EncentuateNetworkProviderEnabled Spécifiez1pour activer ESSO Network Provider.

EncentuateCredentialProviderEnabledet EnginaEnabled

Spécifiez0pour désactiver ESSO GINA et ESSO Credential Provider.

Procédure

1. Effectuez les opérations suivantes sur le serveur Citrix Server ou Terminal Server :

a. Installez AccessAgent sur le serveur Citrix Server ou Terminal Server.

b. Connectez-vous à AccessAdmin et mettez la règle pid_en_network_provider_enabledà1.

2. Configuration de la machine client. Il n'y a pas d'installation ni de configuration à effectuer sur la machine client.

3. Configuration facultative : Il n'y a pas configuration facultative pour le modèle 1.

(20)

Interface utilisateur de la connexion unique

L'interface utilisateur de la connexion unique dépend de la manière dont vous déployez AccessAgent. Si vous déployez la configuration de base, les utilisateurs peuvent se connecter automatiquement au portefeuille, effectuer une connexion unique aux applications profilées et gérer les données d'identification.

Dans cette configuration, l'utilisateur peut :

v Se connecter à la session distante Citrix Server ou Terminal Server avec les données d'identification Active Directory. L'utilisateur est connecté

automatiquement au portefeuille.

v Accéder aux applications publiées en mode transparent. L'icône de zone de notification d'AccessAgent serveur est ajoutée à la barre des tâches du client.

v Effectuer une connexion unique aux applications profilées.

v Gérer le portefeuille via AccessAgent serveur.

(21)

Chapitre 4. Modèle 2 : configuration Virtual Channel Connector

AccessAgent serveur se connecte à AccessAgent client via Virtual Channel Connector pour extraire les données d'identification et authentifier l'utilisateur.

Vous devez installer AccessAgent sur le serveur et sur le client.

Virtual Channel Connector

Le connecteur Virtual Channel Connector entre AccessAgent client et AccessAgent serveur est construit par-dessus le SDK Virtual Channel Connector de Citrix ou de Microsoft.

Le schéma suivant montre la communication entre le serveur de terminaux et la machine cliente.

Figure 2. Communication entre le serveur de terminaux et la machine cliente

(22)

Mode standard et mode léger

Dans la configuration Virtual Channel Connector, vous pouvez configurer AccessAgent serveur pour qu'il fonctionne en mode léger.

Le fonctionnement en mode léger peut réduire l'encombrement mémoire d'AccessAgent sur un serveur Citrix Server ou Terminal Server et améliorer le temps de démarrage de la connexion unique.

Le tableau suivant permet de comparer les deux modes d'AccessAgent.

Fonctions

Mode standard (avec canal

virtuel) Mode léger

Performances Normales Meilleures

Interface utilisateur Connexion automatique à AccessAgent serveur avec les données d'identification d'AccessAgent client

Connexion automatique à AccessAgent serveur avec les données d'identification d'AccessAgent client Facteurs d'authentification

supportés par AccessAgent client

RFID (Radio Frequency Identification)

Tous les facteurs d'authentification

Synchronisation des changements entre AccessAgent client et AccessAgent serveur

Oui (via IMS Server) Oui

Portefeuille AccessAgent mis en cache sur le serveur

Oui Jamais

Comportement

d'AccessAgent lorsque les utilisateurs s'y connectent et s'en déconnectent

Se déconnecte de l'AccessAgent distant et déconnecte la session distante

Déconnecte la session distante

Déploiement d'une configuration Virtual Channel Connector

Vous pouvez déployer une configuration Virtual Channel Connector sur Citrix Server ou Terminal Server. Configurez AccessAgent et Citrix Server ou Terminal Server pour déployer le modèle 2.

Avant de commencer

Pour spécifier les options d'installation et de connexion unique pour le modèle 2, vous devez modifier le fichier SetupHlp.iniavant d'installer AccessAgent serveur.

Modifiez les options suivantes dans le fichier SetupHlp.ini :

EncentuateNetworkProviderEnabled Spécifiez0pour désactiver ESSO Network Provider.

Spécifiez0pour désactiver ESSO GINA et ESSO Credential Provider.

(23)

CitrixVirtualChannelConnectorMode S'applique uniquement au déploiement d'un serveur Citrix.

Spécifiez2pour activer Virtual Channel Connector à partir du serveur et exécuter AccessAgent en mode standard.

Spécifiez3pour activer Virtual Channel Connector à partir du serveur et exécuter AccessAgent en mode léger.

Spécifiez3pour activer Virtual Channel Connector à partir du serveur et exécuter AccessAgent en mode léger forcé.

Vous devez également modifier le fichier SetupHlp.iniavant d'installer

AccessAgent client sur une machine client Citrix. Modifiez les options suivantes dans le fichier SetupHlp.ini :

CitrixVirtualChannelConnectorMode Spécifiez1pour activer Virtual Channel Connector sur l'ordinateur client.

ICAClientInstallDir Spécifiez le répertoire d'installation du client ICA Citrix.

Remarque : Il n'y pas de modifications à apporter au fichierSetupHlp.iniavant d'installer AccessAgent client sur une machine client Terminal Server.

Procédure

1. Sur le serveur Citrix Server ou Terminal Server, installez AccessAgent serveur.

Si vous rencontrez une erreur en déployant Virtual Channel Connector sur le serveur Citrix, consultez «Déploiement de Virtual Channel Connector sur Citrix Server», à la page 10.

2. Sur la machine client, installez AccessAgent client. Si vous rencontrez une erreur en déployant Virtual Channel Connector sur la machine client Citrix, déployez-le manuellement. Voir «Déploiement de Virtual Channel Connector sur un client Citrix», à la page 10.

3. Facultatif : Passez AccessAgent serveur en mode léger ou en mode standard après l'installation. Pour changer le mode d'AccessAgent serveur, modifiez la règleMode TSLightweightdansroot\DeploymentOptions.

Tableau 1. Valeur de la règle Mode TSLightweight

Valeur de la règle Mode TSLightweight Description

0 Déploie AccessAgent serveur en mode

standard.

1(par défaut) Déploie AccessAgent serveur en mode léger.

2 Force le mode léger. AccessAgent serveur

fonctionne toujours en mode léger. La session AccessAgent serveur ne démarre pas s'il n'y a pas d'AccessAgent client.

Chapitre 4. Modèle 2 : configuration Virtual Channel Connector 9

(24)

Déploiement de Virtual Channel Connector sur Citrix Server

Vous pouvez déployer Virtual Channel Connector sur Citrix Server en modifiant le fichier SetupHlp.iniet en installant AccessAgent serveur. Si vous rencontrez une erreur durant l'installation, vous pouvez déployer Virtual Channel Connector manuellement sur votre serveur Citrix.

Procédure

Enregistrez le fichier de connecteur de serveur dans AccessAgent.

1. Sur votre bureau Windows, cliquez sur Démarrer>Exécuter.

2. Dans la zone Ouvrir, entrezregeditet cliquez surOK. L'Editeur du registre s'ouvre.

3. Ouvrez HKLM\SOFTWARE\IBM\ISAM ESSO.

4. Créez la cléHKLM\SOFTWARE\IBM\ISAM ESSO\AccessAgent\Integration\

TerminalServices\ServerSPI.

5. Dans la clé HKLM\SOFTWARE\IBM\ISAM ESSO\AccessAgent\Integration\

TerminalServices\ServerSPI, créez les valeurs chaîne suivantes :

Nom de la valeur Donnée de la valeur

ICA ICAVCServer.dll

Déploiement de Virtual Channel Connector sur un client Citrix

Vous pouvez déployer Virtual Channel Connector sur un client Citrix en modifiant le fichierSetupHlp.iniet en installant AccessAgent client. Si vous rencontrez une erreur durant l'installation, vous pouvez déployer Virtual Channel Connector manuellement sur le client Citrix.

Procédure

1. Copiez le fichier DLL de connecteur client. Par exemple :ICAVCClient.dll, du dossier Program Files AccessAgent au dossier d'installation de Citrix XenApp Plug-in.

2. Copiez le fichier EncVcClient.dlldu dossier Program Files AccessAgent au dossier d'installation de Citrix XenApp Plug-in.

3. Configurez le registre du client Citrix pour le fichier DLL de connecteur client.

a. Sur votre bureau Windows, cliquez surDémarrer>Exécuter.

b. Dans la zoneOuvrir, entrezregeditet cliquez surOK. L'Editeur du registre s'ouvre.

Remarque :

v Pour un système d'exploitation Windows 32 bits, la ruche de registre de Citrix estHKEY_LOCAL_MACHINE\SOFTWARE\Citrix.

v Pour un système d'exploitation Windows x64, la ruche de registre de Citrix estHKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Citrix\.

c. Modifiez VirtualDriverEx.

1) Sélectionnez <ruche de registre de Citrix>\ICA Client\Engine\

Configuration\Advanced\Modules\ICA 3.0\.

2) Cliquez deux fois surVirtualDriverEx.

3) Dans la zoneDonnées de la valeur, ajoutezICAVCClient.

4) Cliquez surOK.

(25)

d. Créez un ICAVCClient.

1) Ouvrez <ruche de registre de Citrix>\ICA Client\Engine\

Configuration\Advanced\Modules\.

2) Créez la clé <ruche de registre de Citrix>\ICA Client\Engine\

Configuration\Advanced\Modules\ICAVCClient.

3) Dans la clé <ruche de registre de Citrix>\ICA Client\Engine\

Configuration\Advanced\Modules\ICAVCClient\, créez les valeurs chaîne suivantes :

Nom de la valeur Donnée de la valeur

DriverName ICAVCClient.dll

DriverNameWin16 ICAVCClient.dll

DriverNameWin32 ICAVCClient.dll

Interface utilisateur de la connexion unique

L'interface utilisateur de la connexion unique dépend de la manière dont vous déployez AccessAgent. Si vous déployez Virtual Channel Connector, les utilisateurs sont automatiquement connectés aux sessions distantes lorsqu'ils se connectent à AccessAgent client.

Dans cette configuration, l'utilisateur peut : v Se connecter à AccessAgent client.

v Démarrer une session Citrix Server ou Terminal Server. AccessAgent client connecte l'utilisateur à la session distante.

v En mode standard,

– AccessAgent serveur démarre et AccessAgent serveur et AccessAgent client sont synchronisés.

– L'utilisateur est automatiquement connecté à AccessAgent avec l'identité AccessAgent client.

– L'icône de zone de notification d'AccessAgent serveur est ajoutée à la barre des tâches du client lorsque l'utilisateur accède à des applications publiées en mode transparent.

– L'utilisateur peut effectuer une connexion unique aux applications profilées.

– L'utilisateur peut gérer le portefeuille via AccessAgent client.

Remarque : Si la règle de serveur de terminaux pour l'affichage des nouvelles options dans l'AccessAgent distant est activée, l'utilisateur peut gérer le portefeuille via AccessAgent client et AccessAgent serveur.

v En mode léger,

– AccessAgent serveur n'est pas démarré.

– L'utilisateur peut effectuer une connexion unique aux applications profilées.

– L'utilisateur peut gérer le portefeuille via AccessAgent client.

Chapitre 4. Modèle 2 : configuration Virtual Channel Connector 11

(26)

(27)

Chapitre 5. Modèle 3 : session de terminal générique

Une configuration terminal générique consiste en AccessAgent serveur déployé dans une session de terminal générique.

Une session de bureau générique est hébergée dans un niveau dédié du serveur Citrix Server ou Terminal Server. Différents utilisateurs peuvent partager l'accès aux applications hébergées dans la session distante à partir d'une machine client léger.

Important : Cette configuration est destinée aux utilisateurs à client léger.

Dans cette configuration, les machines à client léger sont connectées en pemanence à la session de terminal distante qui est connectée à un compte Active Directory à faibles privilèges générique.

AccessAgent serveur est configuré pour fonctionner en mode Bureau partagé pour chaque session de terminal. Les utilisateurs se déverrouillent pour accéder à la session de terminal en se connectant via l'application ESSO GINA ou ESSO Credential Provider d'AccessAgent serveur.

Cette configuration est utile dans les scénarios où :

v Des applications sont actives dans chaque session de terminal en raison de leur temps de démarrage important.

v AccessAgent connecte et déconnecte automatiquement différents utilisateurs aux/des applications.

Dans cette configuration, les utilisateurs peuvent déverrouiller la session distante et se connecter à un portefeuille avec un mot de passe ou une carte RFID.

Limitations du modèle 3

Prenez en considération les limitations suivantes pour la connexion unique dans un déploiement de services de terminaux avec des sessions de terminaux génériques :

v Les utilisateurs ne peuvent utiliser qu'une carte RFID comme dispositif de second facteur d'authentification.

v Les utilisateurs ne peuvent pas être itinérants avec la session de terminal.

Déploiement d'une session de terminal générique

Vous pouvez déployer les services de connexion unique dans une session de terminal générique. Configurez AccessAgent et Citrix Server ou Terminal Server pour déployer le modèle 3.

Avant de commencer

Les paramètres qui suivent sont les configurations de serveur de terminaux générique requises pour implémenter le modèle 3. Ces serveurs de terminaux sont dédiés à servir uniquement les machines à client léger.

(28)

v Configurez le serveur de terminaux générique pour qu'il se connecte

automatiquement à Citrix Server ou Terminal Server avec une identité Active Directory générique à faibles privilèges désignée unique.

v Configurez le serveur de terminaux générique pour qu'il autorise un nombre illimité de sessions de terminal pour l'identité Active Directory générique.

v N'activez pas l'itinérance pour la session client de terminal. Si une session inactive expire, l'écran du bureau doit être verrouillé.

Pour spécifier les options de connexion unique pour le modèle 3, vous devez modifier le fichierSetupHlp.iniavant d'installer AccessAgent serveur. Modifiez les options suivantes dans le fichierSetupHlp.ini :

EncentuateNetworkProviderEnabled Spécifiez0pour désactiver ESSO Network Provider.

Spécifiez1pour activer ESSO GINA et ESSO Credential Provider.

Procédure

1. Effectuez les opérations suivantes sur le serveur Citrix Server ou Terminal Server :

a. Installez AccessAgent sur le serveur Citrix Server ou Terminal Server.

b. Attribuez un modèle de règle de bureau partagé au niveau d'AccessAgent serveur.

2. Configurez le client léger pour qu'il se connecte automatiquement à Citrix Server ou Terminal Server avec une identité Active Directory générique à faibles privilèges désignée unique. Cette identité est le compte défini pour la connexion automatique sur le serveur de terminaux générique.

3. Facultatif : si vous utilisez RFID comme facteur d'authentification, vous devez effectuer les opérations suivantes :

a. Activez la redirection du port série au niveau du client léger et du serveur de terminaux cible.

b. Forcez l'authentification à deux facteurs en configurant la règle d'authentification d'utilisateur au niveau d'AccessAdmin.

c. Activez l'authentification par RFID si nécessaire. Voir Chapitre 7,

«Personnalisation d'AccessAgent sur Citrix Server et Terminal Server», à la page 19.

Interface utilisateur de la connexion unique

L'interface utilisateur de la connexion unique dépend de la manière dont vous déployez AccessAgent. Si vous déployez la configuration session de terminal générique, l'utilisateur se connecte à un écran de verrouillage pour démarrer une session.

Dans cette configuration, l'utilisateur peut effectuer les opérations suivantes : v Connexion à l'écran de verrouillage ESSO GINA ou ESSO Credential Provider

pour démarrer une session. L'utilisateur peut se connecter à AccessAgent serveur avec son mot de passe ou sa carte RFID.

v Connexion unique aux applications profilées.

v Gestion du portefeuille via AccessAgent serveur.

(29)

Chapitre 6. Modèle 4 : configuration d'AccessAgent à deux niveaux

Une configuration d'AccessAgent à deux niveaux est le déploiement combiné de Virtual Channel Connector et d'un bureau distant générique. Ce type de

configuration est destiné aux déploiements qui nécessitent une authentication à deux facteurs avec différents types de clients.

Une configuration d'AccessAgent à deux niveaux comprend deux serveurs de terminaux :

v Un serveur de terminaux générique destiné aux clients légers

v un serveur Citrix Server ou Terminal Server cible pour les postes de travail Un serveur de terminaux générique héberge un bureau distant générique. Il accepte les connexions de client léger et se connecte automatiquement au serveur Citrix Server ou Terminal Server cible, agissant comme un proxy.

Le serveur Citrix Server ou Terminal Server cible héberge les sessions Terminal Server et les applications Citrix.

Le schéma suivant montre la communication entre les serveurs de terminaux et les machines clientes.

Les utilisateurs à client léger se connectent au serveur de terminaux générique avec la configuration de modèle 3. Le serveur de terminaux générique se connecte alors au serveur Citrix Server ou Terminal Server cible via Virtual Channel Connector ou avec la configuration de modèle 2.

Figure 3. Communication entre les serveurs de terminaux et les machines clientes

(30)

Les utilisateurs à client poste de travail se connectent au serveur Citrix Server ou Terminal Server cible via Virtual Channel Connector ou avec la configuration de modèle 2.

Déploiement de la configuration AccessAgent à deux niveaux

Vous pouvez déployer une configuration AccessAgent à deux niveaux sur Citrix Server ou Terminal Server. Configurez le serveur Citrix Server ou Terminal Server, le serveur de terminaux générique, les clients légers et les postes de travail pour déployer le Modèle 4.

Procédure

1. Effectuez les opérations de configuration du serveur Citrix Server ou Terminal Server sur celui-ci comme détaillé pour la configuration de modèle 2. Voir

«Déploiement d'une configuration Virtual Channel Connector», à la page 8.

2. Sur le serveur de terminaux générique, vous devez effectuer les opérations suivantes :

a. Effectuez les opérations de configuration du serveur de terminaux

générique de la configuration de modèle 3, sauf l'installation d'AccessAgent.

Voir «Déploiement d'une session de terminal générique», à la page 13.

b. Configurez le serveur de terminaux générique en tant que machine client.

Effectuez les opérations de configuration d'une machine client détaillées dans la configuration de modèle 2. Voir «Déploiement d'une configuration Virtual Channel Connector», à la page 8.

c. Configurez le serveur générique pour qu'il se connecte automatiquement au serveur Citrix Server ou Terminal Server cible.

3. Sur la machine client léger, configurez le client léger pour qu'il se connecte automatiquement au serveur Citrix Server ou Terminal Server avec une identité Active Directory générique à faibles privilèges désignée unique. Cette identité est celle définie pour la connexion automatique sur le serveur de terminaux générique.

4. Sur la machine client poste de travail, effectuez les opérations de configuration de la machine client détaillées dans la configuration de modèle 2. Voir

«Déploiement d'une configuration Virtual Channel Connector», à la page 8.

Interface utilisateur de la connexion unique

L'interface utilisateur de la connexion unique dépend de la manière dont vous déployez AccessAgent. Si vous déployez la configuration d'AccessAgent à deux niveaux, l'interface de la connexion unique est similaire entre le modèle 2 et le modèle 3.

Utilisateurs sur poste de travail

Dans cette configuration, l'interface de la connexion unique pour les utilisateurs sur poste de travail est la même que celle pour la configuration Virtual Channel Connector. Voir Modèle 2 - «Interface utilisateur de la connexion unique», à la page 11.

Utilisateurs avec client léger

Dans cette configuration, l'interface de la connexion unique pour les utilisateurs avec client léger est la même que celle pour la configuration session de terminal

(31)

générique. Voir Modèle 3 - «Interface utilisateur de la connexion unique», à la page 14.

Chapitre 6. Modèle 4 : configuration d'AccessAgent à deux niveaux 17

(32)

(33)

Chapitre 7. Personnalisation d'AccessAgent sur Citrix Server et Terminal Server

Vous pouvez personnaliser le comportement d'AccessAgent lorsque les utilisateurs se connectent à une session sur un serveur Citrix Server ou Terminal Server.

Procédure

1. Connectez-vous à AccessAdmin.

2. Accédez àModèles de règles machine>Attributions des modèles.

3. Cliquez sur un modèle de règle.

4. Accédez àRègles AccessAgent> Règles de Terminal Server.

5. Renseignez les zones suivantes :

Activer le lancement automatique de l'invite de connexion d'AccessAgent

Indique s'il faut ouvrir la boîte de dialogue de connexion d'AccessAgent si celui-ci n'est pas connecté au lancement d'une application Citrix ou d'une session Terminal Server.

Utiliser la connexion ESSO GINA ou ESSO Credential Provider s'il n'y a pas de session AccessAgent locale

S'il faut utiliser la connexion ESSO GINA ou ESSO Credential Provider ou la connexion Microsoft GINA pour la session Terminal Server s'il n'y a pas de session AccessAgent locale.

Se déconnecter de l'AccessAgent distant lors d'une reconnexion à partir du poste de travail sans session AccessAgent locale

S'il faut se déconnecter de l'AccessAgent distant lorsque l'utilisateur, s'il n'a pas de session AccessAgent locale, se reconnecte à une session existante sur Citrix Server ou Terminal Server.

Option pour l'affichage des options de menu dans l'AccessAgent distant

S'il faut afficher les options de menu dans l'interface utilisateur d'AccessAgent pour une session Citrix Server ou Terminal Server.

6. Ne renseignez les zones suivantes que si vous voulez que l'authentification RFID soit activée pour les clients légers :

Activer la redirection du port COM Indique si le mécanisme de surveillance de dispositif doit rediriger le port COM de l'ordinateur client vers Citrix Server ou Terminal Server.

Port COM virtuel de Citrix Server ou Terminal Server

Port COM virtuel de Citrix Server ou Terminal Server auquel les données du port COM client doivent être redirigées.

Port COM physique de la machine client Port COM physique du client auquel le dispositif d'authentification, ou le lecteur RFID, est connecté. La redirection s'effectue de ce port au port COM virtuel du serveur Citrix Server ou Terminal Server.

7. Cliquez surMettre à jour.

(34)

8. Affectez le modèle de règles machine mis à jour au serveur Citrix Server ou Terminal Server.

(35)

Remarques

Le présent document peut contenir des informations ou des références concernant certains produits, logiciels ou services IBM non annoncés dans ce pays. Pour plus d'informations sur les produits et les services actuellement disponibles dans votre pays, consultez votre représentant IBM local. Toute référence à un produit, logiciel ou service IBM n'implique pas que seul ce produit, logiciel ou service IBM puisse être utilisé. Tout autre élément fonctionnellement équivalent peut être utilisé, s'il n'enfreint aucun droit d'IBM. Il est de la responsabilité de l'utilisateur d'évaluer et de vérifier lui-même les installations et applications réalisées avec des produits, logiciels ou services non expressément référencés par IBM.

IBM peut détenir des brevets ou des demandes de brevet couvrant les produits mentionnés dans le présent document. La remise de ce document ne vous donne aucun droit de licence sur ces brevets ou demandes de brevet. Si vous désirez recevoir des informations concernant l'acquisition de licences, veuillez en faire la demande par écrit à l'adresse suivante :

IBM Director of Licensing IBM Corporation

North Castle Drive

Armonk, NY 10504-1785 U.S.A.

Pour le Canada, veuillez adresser votre courrier à : IBM Director of Commercial Relations

IBM Canada Ltd.

3600 Steeles Avenue East Markham, Ontario L3R 9Z7 Canada

Les informations sur les licences concernant les produits utilisant un jeu de caractères double octet peuvent être obtenues par écrit à l'adresse suivante : Intellectual Property Licensing

Loi sur la propriété intellectuelle IBM Japon, Ltd.

19-21, Nihonbashi-Hakozakicho, Chuo-ku Tokyo 103-8510, Japon

Le paragraphe suivant ne s'applique ni au Royaume-Uni, ni dans aucun pays dans lequel il serait contraire aux lois locales.

LE PRESENT DOCUMENT EST LIVRE "EN L'ETAT". IBM DECLINE TOUTE RESPONSABILITE, EXPLICITE OU IMPLICITE, RELATIVE AUX INFORMATIONS QUI Y SONT CONTENUES, Y COMPRIS EN CE QUI CONCERNE LES

GARANTIES DE NON-CONTREFAÇONS, VALEUR MARCHANDE OU D'ADAPTATION A VOS BESOINS.

Certaines juridictions n'autorisent pas l'exclusion des garanties implicites, auquel cas l'exclusion ci-dessus ne vous sera pas applicable.

(36)

Le présent document peut contenir des inexactitudes ou des coquilles. Ce

document est mis à jour périodiquement. Chaque nouvelle édition inclut les mises à jour. IBM peut, à tout moment et sans préavis, modifier les produits et logiciels décrits dans ce document.

Les références à des sites Web non IBM sont fournies à titre d'information uniquement et n'impliquent en aucun cas une adhésion aux données qu'ils contiennent. Les éléments figurant sur ces sites Web ne font pas partie des éléments du présent produit IBM et l'utilisation de ces sites relève de votre seule responsabilité.

IBM pourra utiliser ou diffuser, de toute manière qu'elle jugera appropriée et sans aucune obligation de sa part, tout ou partie des informations qui lui seront fournies.

Les licenciés souhaitant obtenir des informations permettant : (i) l'échange des données entre des logiciels créés de façon indépendante et d'autres logiciels (dont celui-ci), et (ii) l'utilisation mutuelle des données ainsi échangées, doivent adresser leur demande à :

IBM Corporation 2Z4A/101

11400 Burnet Road

Austin, TX 78758 U.S.A.

Ces informations peuvent être soumises à des conditions particulières, prévoyant notamment le paiement d'une redevance.

Le logiciel sous licence décrit dans ce document et tous les éléments sous licence disponibles s'y rapportant sont fournis par IBM conformément aux dispositions du Livret contractuel IBM, des Conditions Internationales d'Utilisation de Logiciels IBM ou de tout autre accord équivalent.

Les données de performance indiquées dans ce document ont été déterminées dans un environnement contrôlé. Par conséquent, les résultats peuvent varier de manière significative selon l'environnement d'exploitation utilisé. Certaines mesures

évaluées sur des systèmes en cours de développement ne sont pas garanties sur tous les systèmes disponibles. En outre, elles peuvent résulter d'extrapolations. Les résultats peuvent donc varier. Il incombe aux utilisateurs de ce document de vérifier si ces données sont applicables à leur environnement d'exploitation.

Les informations concernant des produits non IBM ont été obtenues auprès des fournisseurs de ces produits, par l'intermédiaire d'annonces publiques ou via d'autres sources disponibles. IBM n'a pas testé ces produits et ne peut confirmer l'exactitude de leurs performances ni leur compatibilité. Elle ne peut recevoir aucune réclamation concernant des produits non IBM. Toute question concernant les performances de produits non IBM doit être adressée aux fournisseurs de ces produits.

Toute instruction relative aux intentions d'IBM pour ses opérations à venir est susceptible d'être modifiée ou annulée sans préavis, et doit être considérée uniquement comme un objectif.

Tous les tarifs indiqués sont les prix de vente actuels suggérés par IBM et sont susceptibles d'être modifiés sans préavis. Les tarifs appliqués peuvent varier selon les revendeurs.

(37)

Ces informations sont fournies uniquement à titre de planification. Elles sont susceptibles d'être modifiées avant la mise à disposition des produits décrits.

Le présent document peut contenir des exemples de données et de rapports utilisés couramment dans l'environnement professionnel. Pour les illustrer aussi

complètement que possible, les exemples incluent les noms des individus, sociétés, marques et produits. Toute ressemblance avec des noms de personnes, de sociétés ou des données réelles serait purement fortuite.

LICENCE DE COPYRIGHT :

Le présent logiciel contient des exemples de programmes d'application en langage source destinés à illustrer les techniques de programmation sur différentes

plateformes d'exploitation. Vous avez le droit de copier, de modifier et de distribuer ces exemples de programmes sous quelque forme que ce soit et sans paiement d'aucune redevance à IBM, à des fins de développement, d'utilisation, de vente ou de distribution de programmes d'application conformes aux interfaces de programmation des plateformes pour lesquels ils ont été écrits ou aux interfaces de programmation IBM. Ces exemples de programmes n'ont pas été rigoureusement testés dans toutes les conditions. Par conséquent, IBM ne peut garantir

expressément ou implicitement la fiabilité, la maintenabilité ou le fonctionnement de ces programmes. Vous avez le droit de copier, de modifier et de distribuer ces exemples de programmes sous quelque forme que ce soit et sans paiement

d'aucune redevance à IBM, à des fins de développement, d'utilisation, de vente ou de distribution de programmes d'application conformes aux interfaces de

programmation IBM.

Si vous visualisez ces informations en ligne, il se peut que les photographies et illustrations en couleur n'apparaissent pas à l'écran.

Marques déposées

IBM, le logo IBM et ibm.com sont des marques d'International Business Machines Corp. dans de nombreux pays. Les autres noms de produits et de services peuvent être des marques d'IBM ou d'autres sociétés. La liste actualisée de toutes les marques d'IBM est disponible sur la page Web, "Copyright and trademark information" à l'adresse www.ibm.com/legal/copytrade.shtml.

Adobe, Acrobat, PostScript et toutes les marques incluant Adobe sont des marques d'Adobe Systems Incorporated aux Etats-Unis et/ou dans certains autres pays.

IT Infrastructure Library est une marque de The Central Computer and

Telecommunications Agency qui fait désormais partie de The Office of Government Commerce.

Intel, le logo Intel, Intel Inside, le logo Intel Inside, Intel Centrino, le logo Intel Centrino, Celeron, Intel Xeon, Intel SpeedStep, Itanium et Pentium sont des marques d'Intel Corporation ou de ses filiales aux Etats-Unis et dans certains autres pays.

Linux est une marque de Linus Torvalds aux Etats-Unis et/ou dans certains autres pays.

Microsoft, Windows, Windows NT et le logo Windows sont des marques de Microsoft Corporation aux Etats-Unis et/ou dans certains autres pays.

Remarques 23

(38)

ITIL est une marque de The Office of Government Commerce et est enregistrée au bureau américain Patent and Trademark Office.

UNIX est une marque enregistrée de The Open Group aux Etats-Unis et/ou dans certains autres pays.

Java ainsi que tous les logos et toutes les marques incluant Java sont des marques d'Oracle et/ou de ses sociétés affiliées.

Cell Broadband Engine est une marque de Sony Computer Entertainment, Inc. aux Etats-Unis et/ou dans certains autres pays, utilisée sous licence.

Linear Tape-Open, LTO, le logo LTO, Ultrium et le logoUltrium sont des marques d'HP, IBM Corp. et Quantum aux Etats-Unis et dans d'autres pays.

Les autres noms de sociétés, de produits et de services peuvent appartenir à des tiers.

Remarques sur les règles de confidentialité

Les produits logiciels IBM, notamment les solutions SaaS (Software-as-a-Service, solutions de logiciel sous forme de services), ("Offres logicielles") peuvent utiliser des cookies ou d'autres technologies pour collecter des informations sur l'utilisation des produits, afin de contribuer à améliorer l'acquis de l'utilisateur final et de personnaliser les interactions avec celui-ci, ou à d'autres fins. Dans la plupart des cas, aucune information identifiant la personne n'est collectée par les Offres logicielles. Certaines de nos Offres logicielles peuvent vous aider à collecter des informations identifiant la personne. Si cette Offre logicielle utilise des cookies pour collecter des informations identifiant la personne, des informations spécifiques sur l'utilisation de cookies par cette offre sont énoncées ci-dessous.

Cette Offre logicielle collecte le nom, le mot de passe ou d'autres informations identifiantes de chaque utilisateur à l'aide d'autres technologies à des fins de gestion de session, d'authentification, de configuration de la connexion unique, de suivi de l'utilisation ou fonctionnelles. Ces technologies peuvent être désactivées, mais ce faisant, vous neutralisez également la fonctionnalité qu'elles procurent.

Si les configurations déployées pour cette offre logicielle vous permettent, en tant que client, de collecter des informations identifiant la personne à partir des utilisateurs finals via des cookies et d'autres technologies, vous devez consulter votre conseiller juridique au sujet des lois qui s'appliquent à une telle opération de collecte de données, y compris les exigences en matière de notification et d'accord.

Pour plus d'informations sur les différentes technologies, y compris les cookies, utilisées à ces fins, consultez l'article IBM’s Privacy Policy (http://www.ibm.com/

privacy) et l'article IBM’s Online Privacy Statement (http://www.ibm.com/

privacy/details/us/en), ainsi que la section intitulée «Cookies, Web Beacons and Other Technologies» et l'article «Software Products and Software-as-a-Service Privacy».

(39)

Glossaire

Ce glossaire comprend des termes et des

définitions pour IBM Security Access Manager for Enterprise Single Sign-On.

Il utilise les références croisées suivantes : v Voir vous renvoie d'un terme vers un

synonyme préféré ou d'un sigle ou d'une abréviation vers la définition de sa forme complète.

v Voir aussi vous renvoie vers un terme connexe ou contraire.

Pour consulter les glossaires relatifs à d'autres produits IBM, accédez à l'adresse

www.ibm.com/software/globalization/

terminology (la page s'ouvre dans une nouvelle fenêtre).

A

accès à distance sécurisé

La solution qui permet une connexion unique basée sur le navigateur Web à toutes les applications de l'extérieure du pare-feu.

action Dans le profilage, une opération qui peut être effectuée en réponse à un

déclencheur. Par exemple, le remplissage automatique des informations relatives au nom d'utilisateur et au mot de passe dès qu'une fenêtre de connexion s'affiche.

Active Directory (AD)

Service de répertoires hiérarchique qui permet une gestion centralisée et sécurisée de l'ensemble d'un réseau ; composant central de la plateforme Microsoft Windows.

AD Voir Active Directory.

administrateur

Personne chargée de tâches

d'administration, par exemple la gestion de contenu ou des droits d'accès. Les administrateurs peuvent accorder différents niveaux de droits d'accès aux utilisateurs.

adresse IP

Adresse unique d'un périphérique ou d'une unité logique sur un réseau qui

utilise la norme IP (Internet Protocol).

Voir aussi nom d'hôte.

agent de noeud

Agent administratif gérant tous les serveurs d'application sur un noeud et représentant le noeud dans la cellule de gestion.

annuaire

Fichier contenant les noms et les informations de contrôle d'objets ou d'autres annuaires.

annuaire d'entreprise

Annuaire des comptes d'utilisateur qui définissent les utilisateurs d'IBM Security Access Manager for Enterprise Single Sign-On. Il valide les données

d'identification fournies par l'utilisateur au moment de la connexion si le mot de passe indiqué est identique à celui qu'il contient. Par exemple, Active Directory est un annuaire d'entreprise.

annulation des accès d'utilisateur

Processus de suppression d'un compte utilisateur d'IBM Security Access Manager for Enterprise Single Sign-On.

annuler l'accès

Supprimer un service ou un composant.

Par exemple, annuler l'accès sur un compte signifie supprimer ce compte d'une ressource. Voir aussi attribuer des accès.

API (Application Programming Interface) Voir interface de programme d'application.

API de provisionnement

Interface permettant à IBM Security Access Manager for Enterprise Single Sign-On de s'intégrer avec des systèmes d'applications d'accès utilisateurs.

application

Système fournissant l'interface utilisateur pour la lecture ou l'entrée des données d'identification.

application publiée

Application installée sur le serveur Citrix XenApp, accessible à partir de clients Citrix ICA.

(40)

audit Processus de journalisation des activités de l'utilisateur, de l'administrateur et du service d'assistance.

authentification à deux facteurs

L'utilisation de deux facteurs pour authentifier un utilisateur. Par exemple, utilisation d'un mot de passe et d'une carte RFID pour se connecter à AccessAgent.

authentification forte

Solution qui utilise des périphériques d'authentification multi-facteur afin d'empêcher un accès non autorisé aux données confidentielles et aux réseaux informatiques de l'entreprise, de son périmètre ou de l'extérieur.

authentification portable

Facteur d'authentification permettant à des utilisateurs de téléphone portable de se connecter en toute sécurité à leurs ressources d'entreprise à partir de n'importe quel endroit du réseau.

autorité de certification

Organisation ou société tiers sécurisée qui émet des certificats numériques. L'autorité de certification vérifie généralement l'identité des personnes auxquelles le certificat unique est accordé. Voir aussi certificat.

autorité de certification racine (root CA)

Autorité de certification au sommet de la hiérarchie des autorités, qui vérifie l'identité du détenteur d'un certificat.

B

basculement

Opération automatique qui permet de basculer vers un système ou un noeud redondant ou de secours en cas d'indisponibilité d'un logiciel, d'un matériel ou d'un réseau.

bibliothèque de liaison dynamique (DLL) Fichier contenant du code exécutable et des données liés à un programme en phase de chargement ou d'exécution, plutôt qu'en phase de liaison. Le code et les données d'une DLL peuvent être partagés simultanément par plusieurs applications.

biométries

Identification d'un utilisateur en fonction

de ses caractéristiques physiques (par exemple, empreinte digitale, couleur des yeux, visage, voix ou écriture).

bureau électronique publié

Fonction Citrix XenApp où les utilisateurs disposent d'un accès distant à un bureau Windows complet à partir de n'importe quel appareil, de n'importe où et à tout moment.

bureau virtuel

Interface utilisateur dans un

environnement virtualisé, stockée sur un serveur distant.

C

CA (Certificate authority)

Voir autorité de certification.

CAPI (Cryptographic Application Programming Interface)

Voir interface de programmation d'application cryptographique.

capture automatique

Processus permettant à un système de collecter et de réutiliser des données d'identification de l'utilisateur pour différentes applications. Ces données d'identification sont capturées lorsque l'utilisateur saisit des informations pour la première fois, et sont ensuite enregistrées et sécurisées pour une utilisation

ultérieure.

CA racine (root CA)

Voir autorité de certification racine.

carte à puce

Jeton intelligent intégré dans la puce d'un circuit intégré et qui fournit une capacité de mémoire et des fonctions

informatiques.

carte à puce hybride

Carte à puce conforme à la norme ISO-7816 qui contient une puce à chiffrement à clé publique et une puce RFID. La puce cryptographique est accessible via l'interface de contact. La puce RFID est accessible via l'interface sans contact (RF).

carte RFID active

Voir identification par radiofréquence active.