Guide d'installation Citrix Password Manager. Citrix Password Manager 4.6 avec Service Pack 1 Citrix XenApp 5.0, édition Platinum

Citrix Password Manager™ 4.6 avec Service Pack 1

Citrix XenApp™ 5.0, édition Platinum

version imprimable du Contrat de licence d'utilisateur final figure sur le support d'installation.

Les informations contenues dans ce document peuvent faire l'objet de modifications sans préavis. Sauf mention contraire, les sociétés, noms et données utilisés dans les exemples fournis sont fictifs. Aucune partie de ce document ne peut être reproduite ou transmise, sous quelque forme, par quelque moyen, électronique ou mécanique, et pour quelque motif que ce soit, sans l'autorisation expresse et écrite de Citrix Systems, Inc.

Citrix Password Manager remplace des clés de cryptage d'utilisateurs finaux spécifiques chaque fois que leur méthode d'authentification principale est modifiée, par exemple par un changement de mot de passe de domaine ou l'émission d'une nouvelle carte à puce. Il est possible de configurer Password Manager pour qu'il effectue cette opération automatiquement en utilisant le module de gestion des clés fourni en option. Password Manager peut également être configuré pour utiliser l'API de protection des données de Microsoft (DPAPI).

Lorsque vous utilisez le module de gestion des clés en option et/ou le DPAPI, notez que les administrateurs sont en mesure d'accéder aux informations d'identification personnelles ou professionnelles d'un utilisateur stockées dans Password Manager, s'ils se connectent sous le compte de cet utilisateur final. Pour plus de sécurité, les utilisateurs finaux peuvent être invités à vérifier leur identité à l'aide

d'informations uniques fournies au système. Ceci offre une couche de protection supplémentaire pour les informations d'identification secondaires de l'utilisateur.

Des réglementations informatiques au niveau des gouvernements régionaux peuvent nécessiter d'avertir vos utilisateurs finaux des éventuelles implications pour la sécurité et la confidentialité du déploiement de configurations de sécurité du module de gestion des clés et de DPAPI. Passez en revue les règles de votre société et déterminez, le cas échéant, le type de notification requis pour vos utilisateurs finaux.

© 2003-2008 Citrix Systems, Inc. Tous droits réservés.

v-GO code © 1998-2003 Passlogix, Inc. Tous droits réservés.

Citrix, ICA (Independent Computing Architecture) et Program Neighborhood sont des marques déposées, XenApp et SpeedScreen sont des marques de Citrix Systems, Inc. aux États-Unis et dans d'autres pays.

Cryptage RSA © 1996-1997 RSA Security Inc. Tous droits réservés.

Ce produit inclut des composants logiciels développés par The Apache Software Foundation (http://www.apache.org/).

Ce produit inclut un logiciel développé par Salamander Software Ltd. © 2002 Salamander Software Ltd. Parties © 2003 Citrix Systems, Inc. Tous droits réservés.

Reconnaissances de marques

Adobe, Acrobat et PostScript sont soit des marques de fabrique, soit des marques déposées d'Adobe Systems Incorporated aux États-Unis et/ou dans d'autres pays.

Java, Sun et SunOS sont des marques de fabrique ou des marques déposées de Sun Microsystems, Inc. aux États-Unis et dans d'autres pays. Solaris est une marque déposée de Sun Microsystems, Inc. Sun Microsystems, Inc n'a pas testé ni approuvé ce produit.

Certaines parties de ce logiciel sont basées sur le travail du groupe Independent JPEG Group.

Certaines parties de ce logiciel contiennent du code d'images appartenant à Pegasus Imaging Corporation, Tampa, FL et protégé par copyright. Tous droits réservés.

Macromedia est une marque ou une marque déposée de Macromedia, Inc. aux États-Unis et/ou dans d'autres pays.

Microsoft, MS-DOS, Windows, Windows Media, Windows Server, Windows NT, Win32, Outlook, ActiveX, Active Directory et DirectShow sont soit des marques déposées soit des marques de Microsoft Corporation aux États-Unis et/ou dans d'autres pays.

Netscape et Netscape Navigator sont des marques déposées de Netscape Communications Corp. aux États-Unis et dans d'autres pays.

Novell Directory Services, NDS et NetWare sont des marques déposées de Novell, Inc. aux États-Unis et dans d'autres pays. Novell Client est une marque de Novell, Inc.

RealOne est une marque de RealNetworks, Inc.

FLEXnet Operations et FLEXnet Publisher sont des marques de fabrique et/ou des marques déposées de Acresso Software Inc. et/ou InstallShield Co., Inc.

Toutes les autres marques de fabrique, de commerce et de service et autres marques déposées sont la propriété de leurs détenteurs respectifs.

Code document : 28 août 2008 (FA)

1 Bienvenue . . . 7

Gamme de produits Password Manager . . . .7

Password Manager édition Advanced . . . .7

Password Manager édition Enterprise . . . .8

Recherche de documentation . . . .8

Conventions de la documentation. . . .9

Support et formation . . . .9

2 Planification de votre environnement Password Manager . . . .11

Composants de Password Manager . . . .11

Schéma du processus de planification . . . .14

Démarches préalables . . . .14

Choix du type de magasin central. . . .16

Choix d'un magasin central Active Directory . . . .18

Choix d'un point de partage réseau NTFS. . . .19

Choix d'un dossier partagé Novell. . . .21

Utilisation de l'association de comptes avec plusieurs magasins centraux et informations d'identification de compte utilisateur dans une entreprise multidomaine . . . .22

Stratégies de mot de passe et accès aux applications . . . .24

Stratégie de mot de passe par défaut (Default) . . . .24

Stratégie de mot de passe de domaine. . . .25

Stratégies de mot de passe personnalisées . . . .25

Considérations de stratégie de mot de passe . . . .26

Réglages par défaut des stratégies de mot de passe par défaut et de domaine (Default/Domain) . . . .27

Types d'applications à authentification unique utilisables dans l'entreprise . . . .29

Types d'informations requis pour les applications . . . .30

Types de cartes à puce utilisées dans l'entreprise. . . .31

Prise en charge des cartes à puce. . . .32

Configuration logicielle requise pour l'utilisation de cartes à puce . . . .32

Utilisation ou non de la vérification d'identité . . . .33

Vérification de l'identité des utilisateurs à l'aide des questions de sécurité (authentification avec questions) . . . .34

Récupération ou déverrouillage automatique des informations d'identification . . . .34

Planification de vos configurations utilisateur . . . .35

Considérations de planification . . . .36

Partage de ressources ou d'une station de travail entre plusieurs utilisateurs (Bureau dynamique) . . . .37

Contrôle des applications. . . .38

Confort utilisateur avec le Bureau dynamique . . . .38

Configurations requises pour le système de licences . . . .39

Mode déconnecté . . . .39

Gestion d'un environnement intégrant des types de licences mixtes . . . .40

Pour utiliser des licences Utilisateurs simultanés disponibles en mode déconnecté . . . .40

Sélection des fonctionnalités optionnelles du service Password Manager . . . .41

Fonctions autonomes de compte . . . .42

Intégrité des données . . . .43

Module de gestion des clés . . . .43

Habilitation. . . .44

Synchronisation des informations d'identification (Association de comptes) . . . .45

Scénarios de déploiement de l'Agent Password Manager . . . .45

Considérations sur XenApp. . . .46

Instructions relatives aux choix d'authentification principale et de protection des informations d'identification multiples. . . .46

Page Méthodes de protection des données . . . .47

Page Protection secondaire des données . . . .47

compromis entre maintien de la sécurité et simplicité d'utilisation . . . .47

Usurpation d'identité . . . .48

Nom d'utilisateur et mot de passe . . . .48

Cartes à puce avec certificats et données d'authentification des utilisateurs . . . .49

Cartes à puce à codes secrets. . . .50

Profils itinérants (DPAPI de Microsoft) . . . .51

Mots de passe vides . . . .52

3 Installation de Password Manager . . . .55

Récapitulatif des étapes d'installation . . . .55

Configurations matérielles et logicielles requises . . . .56

Configuration logicielle requise pour le système de prise en charge . . . .56

Configuration logicielle requise pour Password Manager . . . .57

Configuration requise pour ASP.NET . . . .59

Exigences liées aux comptes et à la sécurité du service Password Manager. . . .59

Certificat d'authentification serveur requis . . . .59

Comptes requis pour les modules du service . . . .60

Exigences liées aux comptes préalables à l'installation et à l'utilisation de Password Manager . . . .62

Installation et utilisation du service Password Manager. . . .63

Installation et utilisation de la Console Password Manager et de l'Outil de définition d'application . . . .63

Installation et utilisation de l'Agent Password Manager. . . .63

Installation de Microsoft .NET Framework 2.0 . . . .63

Installation côte à côte de .NET 2.0 et .NET 1.1 . . . .64

Pour installer Microsoft .NET 2.0 . . . .64

Installation de Java Runtime Environment. . . .65

Si vous installez JRE ou en effectuez la mise à jour après installation de la Console, de l'Outil de définition d'application ou de l'Agent . . . .65

Pour associer JRE à Password Manager . . . .65

Résolution d'un message d'erreur lié à Java lors de l'installation ou de la désinstallation de l'Agent. . . .66

Configurations requises pour le système de licences . . . .66

Avant l'installation de Password Manager . . . .67

Ordre d'installation. . . .67

Recommandations relatives à l'emplacement des composants de Password Manager . . . .68

Création d'un magasin central. . . .69

Pour créer un magasin central de type point de partage réseau NTFS. . . .69

Pour créer un magasin central de type dossier partagé Novell. . . .70

Pour créer un magasin central de type Active Directory . . . .71

Facultatif - Création d'un magasin central à partir d'une invite de commande . . . .72

Création d'un magasin central Active Directory à partir d'une invite de commande. . . .72

Création d'un magasin central de type point de partage réseau NTFS à partir d'une ligne de commande . . . .74

Création d'un magasin central de type dossier partagé Novell à partir d'une invite de commande . . . .76

Installation et configuration du service Password Manager. . . .77

Pour installer les modules du service . . . .78

Pour configurer le(s) service(s) Password Manager avec l'assistant de configuration du service . . . .78

Numéro de port du service Password Manager . . . .81

Installation et configuration de la Console Password Manager. . . .82

Pour installer la Console Password Manager . . . .82

Pour configurer la Console Password Manager . . . .83

Installation et configuration de l'Agent Password Manager. . . .84

Scénarios d'installation . . . .85

Configuration et utilisation de la fonction du service multi-domaine . . . .93

Configuration requise . . . .94

Récapitulatif des tâches . . . .95

Pour configurer le service pour une utilisation multi-domaine . . . .95

4 Mise à niveau de Password Manager . . . .97

Mises à niveau prises en charge . . . .97

Résumé des étapes de la mise à niveau . . . .97

Avant la mise à niveau de Password Manager . . . .99

Utilisation du programme Autorun . . . .99

Ordre des mises à niveau . . . .99

Sauvegarde des données du Service avant une mise à niveau . . . .100

Sauvegarde du fichier process.xml (environnements Bureau dynamique uniquement) . . . .101

Sauvegarde de votre magasin central existant . . . .101

Stratégies, définitions d'applications, questions/questionnaires et configurations utilisateur mis à jour . . . .101

Microsoft .NET versions 1.1 et 2.0 . . . .101

Étape 1 - Mettre à niveau le service Password Manager . . . .102

Pour mettre à niveau le service Password Manager . . . .103

Étape 2 - Mettre à niveau la Console Password Manager . . . .104

Pour mettre à niveau la Console Password Manager . . . .104

Étape 3 - Mettre à niveau l'Agent Password Manager . . . .106

Pour mettre à niveau l'Agent Password Manager sur une machine cliente . . . .106

Bienvenue

A l'aide de l'authentification unique, Citrix Password Manager offre un accès sûr et protégé par mot de passe aux applications d'émulateur de terminal, Windows et Web exécutées dans un environnement Citrix ou sur le bureau. Les utilisateurs s'authentifient une fois, puis Password Manager ouvre automatiquement des sessions dans les systèmes protégés par mot de passe, applique les stratégies de mot de passe, surveille tous les événements associés aux mots de passe et peut même automatiser certaines tâches de l'utilisateur, telles que la modification des mots de passe.

Ce document, le Guide d'installation Citrix Password Manager, présente les informations nécessaires pour vous permettre de planifier et de réaliser

l'installation de Password Manager 4.6 avec Service Pack 1 ou la mise à niveau de votre version actuelle de Password Manager vers la version 4.6 avec Service Pack 1.

Gamme de produits Password Manager

Password Manager est proposé en deux éditions :

• Password Manager édition Advanced

• Password Manager édition Enterprise

En outre, Citrix XenApp 5.0 édition Platinum, compte une fonctionnalité comparable à Password Manager édition Enterprise, nommée Single Sign-on Powered by Password Manager.

Password Manager édition Advanced

L'édition Advanced de Password Manager permet d'augmenter la sécurité de votre entreprise par les moyens suivants :

• options de stratégie de mots de passe renforcée ;

• création automatique de mots de passe ;

• option d'assistant de modification de mot de passe à démarrage automatique ;

• cryptage des mots de passe pendant qu'ils sont en mémoire, stockés et en cours de transmission ;

• options d'expiration de mot de passe pour les applications ne disposant pas de cette fonctionnalité.

L'édition Advanced interagit également de manière efficace avec d'autres programmes, ce qui simplifie le stockage des informations d'identification ainsi que vos opérations de maintenance pour ce processus et ces informations.

Password Manager édition Enterprise

L'édition Enterprise de Password Manager est destinée aux environnements d'entreprise les plus exigeants et les plus complexes. L'édition Enterprise :

• offre une sécurité améliorée, des fonctions autonomes et de mobilité pour les utilisateurs ainsi que des performances élevées ;

• réduit le nombre d'appels à l'assistance technique grâce à des fonctions autonomes permettant aux utilisateurs de modifier leur mot de passe Windows et de déverrouiller leur compte ;

• permet aux utilisateurs itinérants d'accéder rapidement à leurs informations avec le Bureau dynamique, ce qui simplifie la rotation d'utilisateurs sur les postes de travail partagés ;

• fournit des fonctions de sécurité d'entreprise, telles que l'intégration avec des cartes à puce et la prise en charge de Kerberos et du Support

d’environnement fédéré (ADFS et SAML) .

Recherche de documentation

Bienvenue dans Citrix Password Manager, quelquefois appelé

Password_Manager_Read_Me_First.html, est inclus au support d'installation et contient des liens vers les documents qui vous aident à démarrer. Il contient aussi des liens vers les documents les plus récents, ainsi que les technologies

correspondantes. Dans le programme Autorun, vous pouvez accéder à ce document en cliquant sur Étape 1: Afficher la check-list d'installation et les autres documents.

Le site Web du centre de connaissances Citrix (Citrix Knowledge Center), http://support.citrix.com, contient des liens vers tous les documents de produits, organisés par produit. Sélectionnez le produit auquel vous souhaitez accéder, puis cliquez sur l'onglet Documentation dans la page des informations produit.

Le fichier lisez-moi contient les informations sur les problèmes connus.

Pour faire part de vos commentaires sur la documentation, cliquez sur le lien Article Feedback situé sur le côté droit de la page de la documentation produit.

Conventions de la documentation

Pour plus de cohérence, la terminologie employée dans cette documentation est celle de Vista et de Windows Server 2008 ; par exemple, les termes employés sont « Documents » plutôt que « Mes documents » et « Ordinateur » plutôt que

« Mon ordinateur ».

La documentation de Password Manager utilise les conventions typographiques suivantes.

Support et formation

Le Centre de connaissances Citrix (http://support.citrix.com) propose un grand nombre de services de support technique, d'outils et de ressources développeur.

Convention Signification

Gras Indique une commande, le nom d'un élément de l'interface tel qu'une zone de texte ou un bouton, ou des données entrées par l'utilisateur.

Italique Espaces réservés à des informations que vous fournissez. Par exemple, nomfichier signifie que vous tapez le nom réel du fichier. Les caractères en italique sont aussi utilisés pour les termes nouveaux et les titres d'ouvrages.

Police à espacement fixe

Correspond à du texte figurant dans un fichier texte.

{accolades} Dans une commande, il s'agit d'une série d'éléments dont un est requis.

Par exemple, {yes | no } signifie que vous devez entrer « yes » ou

« no ». N'entrez pas les accolades.

[crochets] Dans une commande, il s'agit d'éléments en option. Par exemple, [/

ping] indique que vous devez entrer /ping avec la commande.

N'entrez pas les crochets.

| (barre

verticale) Dans une commande, il s'agit d'un séparateur entre des éléments entre accolades et crochets. Par exemple, { /hold | /release | /delete } signifie que vous devez entrer soit /hold, soit

/release, soit /delete.

... (points de

suspension) Le ou les éléments précédents de la commande peuvent être répétés.

Par exemple,

/route:nompériphérique[,…] indique que vous pouvez taper plusieurs nompériphériques en les séparant par des virgules.

Les informations sur les formations Citrix sont disponibles sur la page http://www.citrix.com/edu/.

Planification de votre

environnement Password Manager

Cette section a pour objectif de vous aider à concevoir votre environnement Password Manager et de vous orienter dans le choix du mode de déploiement de Password Manager.

Composants de Password Manager

Les sections suivantes décrivent brièvement les principaux composants de Password Manager.

• Magasin central. Le magasin central est un stockage centralisé permettant à Password Manager de stocker et de gérer les données utilisateur et d'administration. Les données utilisateur comprennent notamment les informations d'identification, les réponses aux questions de sécurité et d'autres données relatives à l'utilisateur. Les données d'administration incluent les stratégies de mot de passe, les définitions d'application, les questions de sécurité et d'autres données de portée plus large. Lorsqu'un utilisateur ouvre une session, Password Manager compare ses informations d'identification à celles stockées dans le magasin central. Lorsque

l'utilisateur ouvre des applications ou des pages Web protégées par mot de passe, les informations d'identification les plus récentes sont extraites du magasin central.

• Console Password Manager. La Console Password Manager est le centre de commande de Password Manager. Elle vous permet de gérer l'expérience Password Manager des utilisateurs. Vous pouvez y configurer la façon dont fonctionne Password Manager, les fonctions à déployer, les mesures de sécurité utilisées et d'autres paramètres importants liés aux mots de passe.

La Console contient quatre éléments principaux, ou nœuds, dans le panneau de gauche. Lorsque vous sélectionnez un nœud, ses tâches spécifiques apparaissent. Ces nœuds sont les suivants.

• Configurations utilisateur, qui permettent d'ajuster certaines paramètres aux utilisateurs en fonction de leur emplacement

géographique ou de leur rôle dans l'entreprise. Les paramètres des trois autres nœuds vous permettent de créer des configurations utilisateur.

• Définitions d'application, qui offrent les informations nécessaires pour l'authentification auprès des applications et pour la détection des erreurs éventuelles. Vous pouvez utiliser les modèles de définition d'application fournis avec Password Manager pour accélérer le processus ou créer vos définitions personnalisées pour les applications qui ne peuvent pas utiliser ces modèles. D'autres modèles sont disponibles à l'adresse

http://www.citrix.com/passwordmanager/gettingstarted.

• Stratégies de mot de passe, qui contrôlent la longueur des mots de passe, le type et la variété des caractères des mots de passe définis par l'utilisateur et générés automatiquement. Elles vous permettent aussi de spécifier les caractères à exclure dans les mots de passe et la réutilisation des mots de passe précédents. La création de stratégies de mot de passe cohérentes avec les stratégies de sécurité de votre entreprise garantit une bonne gestion de la sécurité des mots de passe par Password Manager.

• Vérification d'identité, qui utilise les questions de sécurité créées pour apporter un niveau de sécurité supplémentaire en protégeant contre l'usurpation d'identité, les modifications de mot de passe et les déverrouillages de compte non autorisés. Les utilisateurs qui

s'inscrivent et qui répondent à vos questions de sécurité peuvent ensuite vérifier leur identité en fournissant les mêmes réponses aux questions. Une fois la vérification effectuée, les utilisateurs peuvent accomplir les tâches des fonctions autonomes sur leur compte, comme la réinitialisation de leur mot de passe principal ou le déverrouillage de leur compte utilisateur. Les questions de sécurité peuvent également servir à la récupération de clés.

Une version limitée de la console, l'Outil de définition d'application, est également fourni avec Password Manager. Installez cet outil pour permettre à d'autres utilisateurs de créer des définitions d'applications sans avoir besoin d'accéder à la console entière et aux fonctionnalités plus sensibles qui s'y trouvent, telles que les stratégies de mot de passe et les questions de sécurité.

• Agent Password Manager. L'Agent Password Manager soumet les informations d'identification appropriées aux applications exécutées sur la machine cliente de l'utilisateur, applique les stratégies de mot de passe, fournit la fonctionnalité des fonctions autonomes et permet aux utilisateurs de gérer leurs informations d'identification avec le Gestionnaire

d'informations d'identification.

• Service Password Manager. Il est exécuté sur un serveur Web qui constitue la base de fonctionnalités optionnelles disponibles dans cette version. Installez le service Password Manager si vous envisagez de mettre en place au moins un des modules suivants :

• Fonctions autonomes de compte, qui permet la réinitialisation des mots de passe Windows et le déverrouillage des comptes Windows ;

• Intégrité des données, qui protège les données lors de leur transfert du magasin central vers l'Agent ;

• Gestion des clés, qui permet aux utilisateurs de récupérer leurs informations d'identification secondaires lorsque leur mot de passe principal change, soit par récupération de clé automatique, soit après réponse aux questions de sécurité avec authentification avec

questions.

• Habilitation, qui vous permet d'utiliser la console pour ajouter, supprimer ou mettre à jour les données utilisateur et les informations d'identification Password Manager.

• Synchronisation des informations d'identification, qui synchronise les informations d'identification sur les différents domaines utilisant un service Web.

Voir aussi :

« Planification de votre environnement Password Manager », page 11

« Installation de Password Manager », page 55

Schéma du processus de planification

Démarches préalables

Un environnement Password Manager peut inclure les éléments suivants :

• dossiers réseau partagés ou Active Directory contenant le magasin central ;

• un ou plusieurs ordinateurs exécutant la Console Password Manager ;

• ordinateurs d'utilisateurs exécutant l'Agent Password Manager ;

• serveur dédié hébergeant le service Password Manager, avec un ou plusieurs modules de fonctionnalités installés ;

• environnement Citrix XenApp hébergeant l'Agent Password Manager ;

• dispositifs d'authentification tels que des cartes à puces ;

• fonctionnalités de Password Manager telles que le Bureau dynamique et la gestion des clés.

Après avoir établi votre plan Password Manager, vous pouvez commencer à le mettre en œuvre dans votre environnement. Le tableau ci-dessous présente les éléments requis pour commencer à utiliser Password Manager.

Tâche Voir la section

1. Étudier les fonctionnalités à mettre en place

dans votre environnement. • Guide de l'administrateur Citrix Password Manager

• « Authentification des utilisateurs et vérification d'identité » dans le Guide de l'administrateur Citrix Password Manager

• « Gestion de l'authentification avec questions » dans le Guide de l'administrateur Citrix Password Manager

• « Autorisation des utilisateurs à gérer leurs informations

d'identification principales avec les fonctions autonomes de compte » dans le Guide de l'administrateur Citrix Password Manager

• « Automatisation de la saisie des informations d'identification à l'aide de l'habilitation » dans le Guide de l'administrateur Citrix Password Manager

• « Le Bureau dynamique : un environnement de bureau partagé destiné aux utilisateurs » dans le Guide de l'administrateur Citrix Password Manager

2. Créer un magasin central et installer les composants de Password Manager avec des fonctionnalités optionnelles.

ou

Mettre à niveau un déploiement existant de Password Manager.

• « Choix du type de magasin central », page 16

• « Installation de Password Manager », page 55

• « Mise à niveau de Password Manager », page 97

3. Créer, modifier ou passer en revue vos

stratégies de mot de passe. • « Stratégies de mot de passe et accès aux applications », page 24

• Guide de l'administrateur Citrix Password Manager

4. Créer ou modifier vos définitions

d'application. • « Types d'applications à

authentification unique utilisables dans l'entreprise », page 29

• « Utilisation des stratégies de mot de passe pour appliquer les critères de mot de passe » dans le Guide de l'administrateur Citrix Password Manager

Choix du type de magasin central

Remarque : vous pouvez créer un magasin central de façon automatique lors du processus d'installation de Password Manager ou manuellement à l'aide des utilitaires de configuration de magasin central. Voir « Création d'un magasin central », page 69 et « Facultatif - Création d'un magasin central à partir d'une invite de commande », page 72.

Password Manager utilise un référentiel appelé magasin central pour le stockage et la récupération d'informations sur vos utilisateurs et votre environnement.

Password Manager s'appuie sur les données du magasin central pour exécuter toutes les fonctions d'authentification unique par défaut et celles que vous configurez.

Le magasin central contient des données utilisateur et des données d'administration.

• Les données utilisateur du magasin central comprennent des informations d'identification secondaires des utilisateurs, des questions/réponses de sécurité, des données liées au service (par exemple, données habilitées, données de l'authentification avec questions, enregistrement de la récupération de clé, etc.) et des données utilisateur de registre Windows associées à Password Manager.

• Les données administratives du magasin central comprennent des définitions d'application, des stratégies de mot de passe, des questions de sécurité et autres réglages effectués par le biais de la Console pour les fonctionnalités et composants de Password Manager.

5. Créer des configurations utilisateur adaptées

aux besoins de votre entreprise. • « Planification de vos configurations utilisateur », page 35

• « Création de configurations utilisateur » dans le Guide de l'administrateur Citrix Password Manager

6. Installer l'Agent sur des stations de travail

utilisateur ou un serveur XenApp. • « Scénarios de déploiement de l'Agent Password Manager », page 45

• « Installation et configuration de l'Agent Password Manager », page 84

7. Informer vos utilisateurs que Password Manager peut les aider à enregistrer leurs informations d'identification en toute sécurité.

Procédures d'exploitation standard ou manuel de mise en œuvre des stratégies informatiques de votre entreprise

Tâche Voir la section

Plus concrètement, le magasin central permet à l'Agent exécuté sur un l'ordinateur d'un utilisateur ou sur un serveur Citrix XenApp de communiquer avec le magasin central et les services afin de fournir les informations

d'identification aux applications auquel l'utilisateur a accès.

L'Agent gère un magasin local sur l'ordinateur de l'utilisateur. Ce magasin local contient uniquement les informations d'identification secondaires de l'utilisateur, les données de récupération de clé et les questions/réponses de sécurité (le cas échéant). Il effectue une synchronisation avec le magasin central pour permettre aux utilisateurs de se déplacer dans l'entreprise tout en ayant en permanence accès aux informations d'identification enregistrées.

Les types de magasins centraux suivants sont disponibles.

• Active Directory

Le magasin central utilise l'environnement et les objets Active Directory pour stocker et mettre à jour les données de Password Manager.

Voir « Choix d'un magasin central Active Directory », page 18.

• Point de partage réseau NTFS

Le magasin central utilise un partage de fichiers réseau Windows pour stocker les données de Password Manager. Voir « Choix d'un point de partage réseau NTFS », page 19.

• Dossier partagé Novell

Le magasin central utilise un dossier partagé Novell NetWare pour stocker les données de Password Manager.

Voir « Choix d'un dossier partagé Novell », page 21.

Remarque : Citrix Password Manager vous permet d'effectuer la migration d'utilisateurs d'un type de magasin central à un autre si vous optez par la suite pour un type différent de celui utilisé dans votre environnement. Veuillez consulter la section « Déplacement des données vers un autre magasin central » dans le Guide de l'administrateur Citrix Password Manager.

Remarque : si la forêt de votre entreprise contient plusieurs domaines, veuillez consulter la section « Utilisation de l'association de comptes avec plusieurs magasins centraux et informations d'identification de compte utilisateur dans une entreprise multidomaine », page 22.

Veuillez consulter également la section « Spécification des contrôleurs de domaine pour les configurations utilisateur » du Guide de l'administrateur Citrix Password Manager pour obtenir des informations sur les configurations

utilisateur dans des environnements multiples de contrôleur de domaine.

Choix d'un magasin central Active Directory

En choisissant un magasin central de type Active Directory, vous pouvez tirer parti de vos structures d'authentification utilisateur et d'administration d'objets Active Directory existantes. Par exemple, vous pouvez appliquer des paramètres utilisateur à tout niveau dans un domaine (domaine, unité organisationnelle, groupe ou utilisateur).

Deux nouvelles classes et deux attributs ont été ajoutés au schéma Active Directory pour la création d'un magasin central Active Directory :

Remarque : pour plus d'informations sur ces classes et attributs, veuillez consulter le fichier CitrixMPMSchema.xml, dans le dossier \Tools du support d'installation de Password Manager.

En règle générale, nous vous recommandons de choisir Active Directory comme type de magasin central dans les cas suivants :

• Vous avez la possibilité d'étendre votre schéma Active Directory sans affecter votre entreprise.

Classe Description

citrix-SSOConfig Décrit l'objet contenant les données correspondant aux réglages de l'Agent, à l'état de synchronisation, ainsi que les définitions d'application et le comportement des utilisateurs à la première utilisation de l'Agent.

Cette classe inclut les attributs suivants : citrix-SSOConfigData : contient les données.

citrix-SSOConfigType : indique le type de données.

citrix-SSOSecret Décrit l'objet de données secrètes utilisé pour authentifier un utilisateur Password Manager. Cette classe inclut l'attribut suivant :

citrix-SSOSecretData : contient des informations d'identification cryptées pour une application et les données du module de réinitialisation de mot de passe des fonctions autonomes du compte.

• Vous avez déjà mis en place des procédures de sauvegarde et de restauration Active Directory conformes aux recommandations de Microsoft (bien que cela ne soit pas obligatoire).

• Vous préférez que les données de votre magasin central bénéficient du haut niveau de disponibilité que confère Active Directory.

Avantages d'un magasin central Active Directory

• Étant donné qu'Active Directory intègre des capacités de récupération et de redondance des données en cas de panne, des mesures supplémentaires de restauration d'urgence ne sont pas nécessaires.

• La réplication Active Directory contribue à répartir les données administratives et utilisateur du magasin central dans votre entreprise.

• L'utilisation d'un magasin central Active Directory ne nécessite aucun matériel supplémentaire.

Considérations sur le magasin central Active Directory

• L'utilisation d'un magasin central Active Directory implique d'étendre votre schéma ; cette opération doit être planifiée et mise en œuvre avec

précaution. L'extension du schéma affecte l'ensemble de la forêt.

• Il est conseillé d'étendre le schéma et de créer votre magasin central Active Directory en dehors des heures de bureau. Le temps de latence du cycle de réplication d'Active Directory influe sur la vitesse de copie de ces

changements sur tous les contrôleurs de domaine de la forêt.

• Dans les grandes entreprises, la réplication intersite des données de magasin central au moyen de réseaux étendus (WAN) nécessite de configurer la réplication correctement afin de limiter le temps de latence.

Notez que la réplication intrasite, en revanche, génère en principe un temps de latence moins élevé.

Choix d'un point de partage réseau NTFS

Important : dans ce cas, utilisez un partage caché pour le magasin central.

En choisissant un magasin central de type point de partage réseau NTFS, vous pouvez tirer parti de vos structures d'authentification utilisateur et arborescence Active Directory existantes sans avoir à étendre le schéma Active Directory. Par exemple, vous pouvez appliquer des paramètres utilisateur à tout niveau dans un domaine (domaine, unité organisationnelle, groupe ou utilisateur).

Password Manager crée un dossier partagé nommé CITRIXSYNC incluant deux sous-dossiers appelés People et CentralStoreRoot.

Le dossier People contient un sous-dossier par utilisateur et inclut les propriétés de droits d'accès en lecture et en écriture adéquates pour l'utilisateur. Le dossier CentralStoreRoot contient des données administratives.

Avantages d'un point de partage réseau NTFS

• Vous pouvez émuler l'aspect et la commodité d'un magasin central Active Directory sans avoir à étendre votre schéma Active Directory, tout en tirant parti de votre hiérarchie ou de vos groupes Active Directory existants.

Remarque : l'association de configurations utilisateur à des groupes n'est prise en charge que dans des domaines Active Directory utilisant

l'authentification Active Directory.

• Les données utilisateur sont toujours à jour, étant donné qu'elles sont stockées dans un emplacement central. Les temps de latence associés à Active Directory sont également éliminés.

• Pour accroître le niveau de disponibilité, vous pouvez mettre en place un dispositif d'équilibrage de la charge de vos partages sur plusieurs ordinateurs pouvant chacun héberger un partage réseau NTFS.

• Le point de partage réseau NTFS permet de réduire la charge de travail associée aux tâches d'authentification de votre environnement Active Directory.

• Password Manager vous permet de migrer votre magasin central de type dossier partagé NTFS vers un magasin central de type Active Directory si vous décidez d'en mettre un en œuvre ultérieurement.

Considérations sur le point de partage réseau NTFS

• L'hébergement du magasin central peut nécessiter du matériel supplémentaire.

• Vous devez sauvegarder les fichiers et dossiers du magasin central (y compris les autorisations associées) de façon régulière. Veillez également à gérer et mettre en place des plans de restauration d'urgence permettant la réplication des fichiers et dossiers pour la récupération du site.

• La topologie réseau de votre entreprise peut nécessiter que les utilisateurs (et l'Agent Password Manager) transfèrent les données utilisateur via une ou plusieurs liaisons WAN. Dans ce cas, il est judicieux de mettre en œuvre la technologie Système de fichiers distribués (DFS) intégrée à Microsoft

Windows Server 2000, 2003 et 2008. Cette dernière est décrite en détail sur le site Web de Microsoft, à l'adresse http://support.microsoft.com.

Choix d'un dossier partagé Novell

Important : les services Password Manager ne sont pas pris en charge dans les environnements Password Manager utilisant des dossiers partagés Novell NetWare.

En choisissant un magasin central de type dossier partagé Novell NetWare, vous pouvez tirer parti de vos services d'annuaire Novell NetWare existants.

L'utilisation de ce type de magasin central est semblable à l'utilisation d'un point de partage réseau NTFS.

Configurez un dossier réseau sécurisé dans eDirectory pour stocker toutes les données associées à votre environnement Password Manager. Les applications et paramètres peuvent être définis et affectés au niveau du domaine.

Avantages d'un dossier partagé Novell

• Vous avez déjà mis en place des services d'annuaire Novell NetWare.

• Vous pouvez choisir d'utiliser un dossier partagé sécurisé existant en tant que magasin central.

Considération sur le dossier partagé Novell

• Ce type de magasin central ne prend pas en charge l'association de configurations utilisateur à des groupes Active Directory.

• Si vous utilisez un dossier partagé Novell NetWare, le mot de passe Novell de vos utilisateurs doit être identique à leur mot de passe Windows. Cette contrainte inclut les environnements Novell ZENworks for Desktops avec prise en charge de la règle Utilisateur local dynamique (DLU) configurée sur le serveur Novell Directory Server et Novell Workstation Manager sur chaque ordinateur exécutant l'Agent Password Manager.

• L'Agent utilise un mot de passe Windows. Par conséquent, l'utilisation de la synchronisation de fichiers Novell NetWare nécessite que le mot de passe Novell des utilisateurs soit identique à leur mot de passe Windows.

• Le magasin central doit être situé dans la même arborescence que les ordinateurs sur lesquels l'Agent est installé. Les utilisateurs doivent ouvrir une session dans l'arborescence Novell où est situé le dossier partagé. Ils doivent également disposer de comptes avec autorisations en lecture au dossier partagé Novell NetWare désigné en tant que magasin central.

• Les services Password Manager ne sont pas pris en charge dans les environnements Password Manager utilisant des dossiers partagés Novell NetWare.

Utilisation de l'association de comptes avec plusieurs magasins centraux et informations d'identification de compte utilisateur dans une entreprise multidomaine

Remarque : veuillez consulter « Synchronisation des informations

d'identification à l'aide de la fonction Association de comptes » dans le Guide de l'administrateur Citrix Password Manager pour configurer la fonction

Association de comptes.

Les administrateurs peuvent créer plusieurs magasins centraux dans des entreprises contenant plusieurs domaines. Il est en outre possible d'utiliser plusieurs types de magasins centraux dans ce type d'environnement. Par exemple, vous pouvez associer des configurations utilisateur avec un magasin central de type point de partage réseau NTFS dans un domaine et avec un magasin central de type Active Directory dans un autre domaine.

Étant donné que les sociétés gèrent parfois plusieurs domaines Windows, les utilisateurs peuvent alors disposer de plusieurs comptes Windows. Password Manager offre une fonction appelée Association de comptes. Celle-ci permet à un utilisateur d'ouvrir une session sur n'importe quelle application à partir d'un ou plusieurs comptes Windows. Dans la mesure où Password Manager lie

généralement les informations d'identification d'utilisateur à un seul compte, ces informations ne sont pas automatiquement synchronisées entre les différents comptes que peut posséder un utilisateur.

Cependant, les administrateurs peuvent configurer la fonction Association de comptes pour synchroniser les informations d'identification de l'utilisateur à l'aide du module de synchronisation des informations d'identification Les utilisateurs bénéficiant de la fonction Association de comptes peuvent accéder à toutes les applications à partir de n'importe lequel de leurs comptes dans leur

environnement Password Manager. Lors de la modification, de l'ajout ou de la suppression d'informations d'identification dans un compte, elles sont

automatiquement synchronisées avec chacun des comptes associés à l'utilisateur.

Sans la fonction Association de comptes, les utilisateurs possédant plusieurs comptes Windows doivent modifier manuellement leurs informations de connexion séparément dans chaque compte Windows.

Avantages liés à l'utilisation de la fonction Association de comptes

• L'association de comptes permet d'accroître la productivité et de réduire le nombre de sollicitations du service d'assistance en synchronisant les informations d'identification des utilisateurs en vue de limiter les opérations de maintenance ou les échecs liés aux ouvertures de sessions.

• La synchronisation de comptes est possible sur différents types de magasins centraux. En d'autres termes, un compte utilisateur configuré pour utiliser Active Directory comme type de magasin central peut être synchronisé avec un compte utilisateur associé configuré pour utiliser un point de partage réseau NTFS.

• La synchronisation de comptes est également possible sur différentes associations de configurations utilisateur. Par exemple, une configuration utilisateur peut être associée à une hiérarchie Active Directory (unité organisationnelle ou utilisateur) dans un domaine et à un groupe Active Directory dans un autre domaine.

• La synchronisation de comptes est aussi possible sur différentes

associations de configurations utilisateur au sein du même domaine et au sein du même magasin central.

• Il n'est pas nécessaire d'établir de relations de confiance entre les contrôleurs de domaine pour utiliser la fonction Association de comptes.

Considération sur la fonction Association de comptes

Tenez compte des éléments suivants pour la configuration de l'association de comptes.

• L'association de comptes n'est pas compatible avec les cartes à puces lorsque celles-ci sont utilisées comme mécanisme d'authentification principale pour ouvrir une session sous Windows.

Remarque : la configuration utilisateur de chaque domaine peut inclure des stratégies de mot de passe différentes susceptibles d'empêcher l'accès à une ressource. Cela étant, l'association de comptes ne synchronise que les informations d'identification et non les stratégies des configurations utilisateur. Penchez-vous sur le mode d'élaboration des stratégies de mot de passe utilisées dans votre entreprise.

• Chaque compte de domaine associé doit utiliser Citrix Password Manager.

• Le nom des définitions d'application doit être le même dans chaque configuration utilisateur pour que la fonction Association de comptes puisse synchroniser les informations d'identification.

• Les informations d'identification sont partagées uniquement pour les applications spécifiées dans les définitions d'application créées par l'administrateur de Password Manager.

• Le module de synchronisation des informations d'identification, intégré au service Password Manager, est un service Web disponible via une

connexion HTTP sécurisée. Il est donc accessible à partir de tous les ordinateurs de votre entreprise utilisant l'association de comptes.

Stratégies de mot de passe et accès aux applications

Les stratégies de mot de passe sont des règles contrôlant la manière dont les mots de passe sont créés, soumis et gérés. L'installation de Password Manager

comprend deux stratégies de mot de passe standard intitulées Default et Domain, insuppressibles. Vous pouvez copier et modifier ces stratégies pour les adapter aux stratégies et réglementations de votre entreprise.

Voir aussi :

« Réglages par défaut des stratégies de mot de passe par défaut et de domaine (Default/Domain) », page 27

Stratégie de mot de passe par défaut (Default)

Password Manager applique la stratégie par défaut aux applications protégées par mot de passe utilisées dans votre entreprise (sauf celles nécessitant des

informations d'identification de domaine). Cette stratégie est appliquée à toute application non définie par un administrateur (à l'aide de la fonction de définition d'application de la Console) ou non intégrée dans un groupe d'applications.

Lorsqu'un utilisateur ajoute ses informations au Gestionnaire d'informations d'identification pour une application non associée à une définition d'application, Password Manager applique la stratégie par défaut pour gérer cette application.

Stratégie de mot de passe de domaine

En règle générale, un administrateur crée un groupe d'applications et sélectionne la stratégie de domaine à appliquer aux applications de ce groupe. Password Manager applique ensuite la stratégie de domaine aux applications dont l'accès est conditionné à l'entrée des informations d'identification de domaine de l'utilisateur. La stratégie de domaine peut être modifiée ou copiée pour refléter les stratégies de domaine NT ou Active Directory de votre entreprise liées aux comptes utilisateur.

Si vous souhaitez étendre le groupe de partage de mot de passe à un domaine, vous devez lui appliquer la stratégie Domain.

Remarque : un groupe d'applications est un ensemble d'applications définies associées à une ou plusieurs configurations utilisateur comprenant la stratégie de gestion des applications.

Stratégies de mot de passe personnalisées

Important : lorsque vous créez une stratégie de mot de passe personnalisée ou que vous modifiez des stratégies existantes, assurez-vous que les exigences de votre entreprise ne divergent pas de celles de l'application. Par exemple, si vous créez une stratégie qui ne correspond pas au moins aux besoins d'une application, vos utilisateurs ne pourront pas s'authentifier auprès d'elle.

vous pouvez créer des stratégies de mots de passe correspondant à vos besoins : vous pouvez appliquer une stratégie pour votre groupe de partage de domaine, créer des stratégies individuelles à appliquer aux groupes individuels

d'applications pour les sécuriser encore davantage, etc.

Les stratégies de mot de passe peuvent généralement imposer des restrictions semblables à celles énumérées ci-après.

• Nombre minimum et maximum de caractères pour un mot de passe

• Règle d'utilisation des caractères alphabétiques et numériques

• Nombre de répétitions d'un caractère autorisées

• Règle d'utilisation des caractères ou des caractères spéciaux (inclusion ou exclusion)

• Affichage des mots de passe stockés par les utilisateurs

• Nombre de tentatives de saisie du mot de passe par les utilisateurs

• Expiration de mot de passe

• Historique de mot de passe et exceptions

Considérations de stratégie de mot de passe

• Tenez compte du confort des utilisateurs lors de l'élaboration de vos stratégies de sécurité. Des mots de passe trop restrictifs risquent d'être difficiles à créer, à mettre en place ou à mémoriser pour les utilisateurs.

• Étant donné que Password Manager est sécurisé par nature, la stratégie de mot de passe par défaut définit le niveau minimum de sécurité recommandé par Citrix pour la sécurisation de la plupart des applications à

authentification unique. Vous pouvez modifier ces paramètres selon les stratégies et réglementations de votre entreprise.

• Dans la mesure où le service Password Manager applique la stratégie de mot de passe Default aux applications ajoutées par les utilisateurs, assurez- vous de configurer cette stratégie de façon à être la plus large possible, afin d'accepter les mots de passe de toutes les applications pour lesquelles vous autorisez les utilisateurs à stocker des mots de passe.

• Lorsque les utilisateurs modifient leurs mots de passe, Password Manager peut être configuré, au moyen d'un paramètre de configuration utilisateur, pour comparer leur ancien mot de passe avec le nouveau. Cela empêche l'utilisation répétée d'un même mot de passe pour une application.

• Dans certains cas, les utilisateurs disposent d'un seul mot de passe pour plusieurs applications (dans une suite logicielle, par exemple). Cette situation est appelée partage de mot de passe : les applications utilisent la même autorité d'authentification.

Même si les informations d'identification (nom d'utilisateur et champs personnalisés) sont différentes pour ces applications, le mot de passe reste identique. Dans ce cas, créez un groupe d'applications qui est également un groupe de partage de mot de passe pour garantir que l'Agent gère le mot de passe pour toutes les applications du groupe comme s'il s'agissait d'une seule. Lors d'une modification du mot de passe pour l'une d'entre elles, l'Agent s'assure que cette modification est répercutée pour toutes les applications du groupe.

• Les groupes de partage de mot de passe de domaine ont la particularité d'utiliser le mot de passe de domaine de l'utilisateur en tant que mot de passe principal pour le groupe d'applications. Lors d'une modification du mot de passe de domaine, l'Agent s'assure que cette modification est répercutée pour toutes les applications du groupe. Cependant, seul le mot de passe de domaine peut être modifié. Les utilisateurs ne peuvent pas

modifier le mot de passe pour les autres applications du groupe, à moins que l'administrateur ne retire l'application du groupe de partage de mot de passe de domaine.

Réglages par défaut des stratégies de mot de passe par défaut et de domaine (Default/Domain)

Le tableau ci-dessous décrit les réglages par défaut des stratégies de mot de passe par défaut et de domaine.

Options des stratégies de mot de passe par défaut et de domaine

Valeur par

défaut Valeur personnalisée

Règles de mot de passe de base

Longueur de mot de passe minimale 8

Longueur de mot de passe maximale 20

Nombre de répétitions possibles d'un caractère 6 Nombre de répétitions successives possibles d'un caractère 4 Règles des caractères alphabétiques

Autoriser les minuscules Oui

Le mot de passe peut débuter avec une minuscule. Oui Le mot de passe peut se terminer avec une minuscule. Oui

Nombre minimum de minuscules requis 0

Autoriser les majuscules Oui

Le mot de passe peut débuter avec une majuscule. Oui Le mot de passe peut se terminer avec une majuscule. Oui

Nombre minimum de majuscules requis 0

Règles de caractère numérique

Autoriser les caractères numériques Oui

Le mot de passe peut débuter avec un caractère numérique. Oui Le mot de passe peut se terminer par un caractère

numérique. Oui

Nombre minimum de caractères numériques requis 0 Nombre maximum de caractères numériques autorisé 20 Règles des caractères spéciaux

Autoriser les caractères spéciaux Non

Le mot de passe peut débuter avec un caractère spécial. Oui Le mot de passe peut se terminer par un caractère spécial. Oui Nombre minimum de caractères spéciaux requis 0 Nombre maximum de caractères spéciaux autorisé 20 Liste de caractères spéciaux autorisés !@#$^&*(

)_+= [ ] \

| ,?

Règles d'exclusion

Exclure des mots de passe les caractères ou groupes de

caractères de cette liste Paramètre

facultatif Ne pas autoriser le nom d'utilisateur de l'application dans le

mot de passe Non

Ne pas autoriser certaines parties du nom d'utilisateur de

l'application dans le mot de passe Non

Nombre de caractères des portions (groupes de caractères pouvant être utilisés à partir du nom d'utilisateur de l'application)

3

Ne pas autoriser le nom d'utilisateur Windows dans le mot

de passe Non

Ne pas autoriser certaines parties du nom d'utilisateur

Windows dans le mot de passe. Non

Nombre de caractères des portions (groupes de caractères pouvant être utilisés à partir du nom d'utilisateur Windows) 3 Historique et expiration des mots de passe

Le nouveau mot de passe doit être différent du précédent Non Nombre de mots de passe précédents retenus 1 Utiliser les paramètres d'expiration de mot de passe

associés aux définitions d'application Non Délai d'expiration du mot de passe (jours) 42 Nombre de jours pour la notification avant expiration du

mot de passe 14

Préférences d'authentification

Autoriser l'utilisateur à révéler le mot de passe pour les

applications Non

Options des stratégies de mot de passe par défaut et de domaine

Valeur par

défaut Valeur personnalisée

Types d'applications à authentification unique utilisables dans l'entreprise

Remarque : Password Manager prend en charge la version 64 bits d'Internet Explorer. En revanche, il ne prend pas en charge les logiciels d'émulation de terminal 64 bits.

En tant qu'administrateur de Password Manager, vous pouvez créer une définition d'application ou modifier un modèle de définition d'application pour chaque application que Password Manager doit gérer pour vos utilisateurs. Pour créer des définitions d'application, utilisez la Console ou l'Outil de définition d'application autonome, qui peut être installé sur des stations de travail n'exécutant pas la Console.

Vous pouvez également permettre aux utilisateurs d'ajouter leurs informations d'identification dans Password Manager pour toutes leurs applications côté client qu'il détecte, selon les paramètres définis dans les configurations utilisateur.

L'Agent peut détecter et répondre aux modifications d'informations

d'identification de la plupart des applications, notamment celles appartenant aux catégories suivantes.

Obliger l'utilisateur à s'authentifier à nouveau avant de soumettre les informations d'identification pour une application

Non

Nombre de nouvelles tentatives d'ouverture de session 3

Délai limite pour les tentatives (en secondes) 120 seconde s

Assistant de modification de mot de passe Permettre aux utilisateurs de choisir un mot de passe

généré par le système ou de créer leur propre mot de passe Oui Autoriser les utilisateurs à créer leur propre mot de passe

seulement Non

Autoriser les utilisateurs à choisir un mot de passe généré

par le système seulement Non

Générer un mot de passe et le soumettre à l'application sans afficher l'assistant de modification de mot de passe Non Options des stratégies de mot de passe par défaut et de domaine

Valeur par

défaut Valeur personnalisée

L'Agent répond selon les définitions d'application créées de toute part ou copiées à partir de modèles existants. Une définition d'application :

• active l'Agent pour qu'il reconnaisse et réponde aux applications et aux formulaires utilisés par ces dernières pour traiter les informations d'identification des utilisateurs ;

• est composée d'un ensemble d'identificateurs établissant les paramètres requis pour effectuer la reconnaissance et la réponse.

Dans chaque définition, vous créez des formulaires d'ouverture de session et de mot de passe requis par l'application pour autoriser l'accès. L'assistant de définition d'application vous aide à créer une définition si vous ouvrez

l'application ; il détecte les formulaires et champs de la plupart des applications à l'aide des fonctions de correspondance de fenêtre de Password Manager.

Remarque : Password Manager inclut des modèles de définition d'application par défaut pour diverses applications ou fonctionnalités applicatives Citrix.

Cliquez sur Définitions d'application sur l'arborescence de la console et cliquez sur Gérer les modèles dans la zone Tâches courantes pour les afficher. Ces modèles sont également disponibles via l'Outil de définition d'application. Pour obtenir d'autres modèles, consultez le site Web de l'assistance Citrix, à l'adresse http://www.citrix.com/passwordmanager/gettingstarted.

Types d'informations requis pour les applications

Avant de créer une définition, vous devez recueillir les informations suivantes pour chaque application à authentification unique de votre entreprise. Vous pouvez également démarrer l'application pour permettre à l'assistant de définition d'application ou à l'outil du même nom de détecter certaines de ces informations.

• Nom du fichier exécutable de l'application, et éventuellement son chemin d'accès.

Type d'application Description

Windows Applications Windows 32 bits (y compris les

applications Java) telles que Microsoft Outlook, Lotus Notes, SAP ou toute application Windows protégée par mot de passe

Web Applications Web (y compris les applets Java et

SAP), accessibles via Microsoft Internet Explorer Émulateur de terminal Applications accessibles à partir d'un émulateur de

terminal compatible HLLAPI

Pour renforcer la sécurité, vous pouvez fournir un chemin d'accès à l'application, ce qui garantit que l'utilisateur utilise l'application spécifiquement approuvée par votre entreprise.

• Champs d'informations d'identification requis par chaque application (nom d'utilisateur, mot de passe et autres champs comme le nom de domaine ou le mot de passe secondaire).

• Autres champs liés aux informations d'identification du formulaire, notamment les champs de modification de mot de passe suivants : Ouverture de session, Modification de mot de passe, Modification du mot de passe réussie (facultatif), Échec de la modification du mot de passe (facultatif).

• Exigences liées au partage de mot de passe.

Vous pouvez également avoir besoin de connaître les applications qui partagent la même autorité d'authentification et qui font partie d'un groupe de partage de mot de passe. Les groupes de partage de mot de passe permettent à Password Manager de gérer plusieurs combinaisons d'informations d'identification pour des applications utilisant la même méthode d'authentification. De même, vous pouvez appliquer la même stratégie de mot de passe aux groupes d'applications.

• Informations associées aux applications d'émulation de terminal.

Informations telles que les noms courts de session d'émulation de terminal requis par les émulateurs de terminal HLLAPI (High-Level Language Application Programming Interface).

Types de cartes à puce utilisées dans l'entreprise

Vous devez tenir compte du type d'authentification utilisé dans votre entreprise.

Une fois que vous avez déterminé vos types d'authentification et choisi une méthode de protection des données dans votre configuration utilisateur, vous pouvez mettre en place la vérification de l'identité des utilisateurs pour sécuriser encore davantage les informations d'identification.

Voir aussi :

« Utilisation ou non de la vérification d'identité », page 33

« Instructions relatives aux choix d'authentification principale et de protection des informations d'identification multiples », page 46

Prise en charge des cartes à puce

Citrix a testé des cartes à puce conformes à la norme ISO 7816 relative aux cartes avec contacts électriques (carte contact) qui communiquent avec un système informatique via un périphérique appelé lecteur de cartes à puce. Vous pouvez connecter le lecteur à l'ordinateur hôte via le port série, le port USB ou le port PC Card (PCMCIA) de ce dernier.

Citrix permet l'utilisation de cartes à puce cryptographiques PC/SC. Ces cartes prennent en charge des opérations cryptographiques telles que le cryptage et les signatures numériques. Les cartes cryptographiques permettent de sécuriser le stockage des clés privées comme celles utilisées dans les systèmes de sécurité à infrastructure à clé publique (ICP, aussi appelée PKI : Public Key Infrastructure).

Ces cartes assurent les fonctions cryptographiques sur la carte à puce proprement dite, ce qui signifie que la clé privée ne quitte jamais la carte. En outre, vous pouvez assurer une sécurité accrue en utilisant une authentification à deux facteurs : le numéro de la carte et le code secret de l'utilisateur. La combinaison de ces facteurs garantit que l'utilisateur est bien le détenteur autorisé de la carte.

Configuration logicielle requise pour l'utilisation de cartes à puce

Pour connaître le détail des configurations requises pour la mise en place d'un système recourant à des cartes à puce, veuillez contacter votre intégrateur ou distributeur de cartes à puce. Les composants suivants sont nécessaires sur le serveur ou le client :

• logiciel PC/SC ;

• logiciel CSP (Cryptographic Service Provider : fournisseur de services cryptographiques) ;

• pilotes logiciels du lecteur de cartes à puce.

Vos systèmes d'exploitation Windows clients et serveurs vous ont peut-être été fournis avec des logiciels PC/SC, des logiciels CSP ou des pilotes de lecteur de cartes à puce. Pour savoir si ces composants logiciels sont pris en charge ou s'ils doivent être remplacés par d'autres logiciels spécifiques, veuillez contacter votre distributeur de cartes à puce.

Important : pour utiliser les cartes à puce dans un environnement Windows 2008 ou Windows Vista, vous devez créer ou mettre à niveau votre magasin central avec une console Password Manager 4.5 ou ultérieure et API de

protection des données de Microsoft (nécessite des profils itinérants) doit être sélectionné dans vos configurations utilisateur.

Utilisation ou non de la vérification d'identité

Si les paramètres de configuration utilisateur l'exigent, les utilisateurs peuvent être amenés à vérifier leur identité dans les cas suivants.

• Modification du type d'authentification par un utilisateur. Par exemple, ce dernier passe d'une authentification à carte à puce à une authentification par mot de passe. Vous pouvez créer une configuration utilisateur qui n'exige de vérification initiale qu'en cas de changement du type d'authentification.

• Modification du mot de passe principal par un administrateur.

• Réinitialisation du mot de passe principal par un utilisateur à l'aide des fonctions autonomes de compte.

• Déverrouillage du compte de domaine à l'aide des fonctions autonomes de compte.

• Modification du mot de passe principal par un utilisateur sur une machine où l'Agent n'est pas installé, puis ouverture de session sur une machine où il est installé.

Password Manager peut être configuré pour vérifier l'identité de l'utilisateur afin de garantir que l'utilisateur est autorisé à utiliser Password Manager. Vous pouvez choisir l'une des deux méthodes de vérification suivantes.

Attention : lorsque le mot de passe précédent est la seule méthode de vérification d'identité disponible pour les utilisateurs, ceux qui l'oublient ne peuvent plus accéder au système. Un administrateur doit alors utiliser la tâche Réinitialiser les données utilisateur de la Console Password Manager pour permettre aux utilisateurs de s'enregistrer à nouveau. Ce dernier devra peut-être également réinitialiser les mots de passe dans les applications de l'utilisateur.

Méthode Description

Mot de passe précédent Dans ce cas, les utilisateurs doivent vérifier leur identité en entrant leur mot de passe principal précédent.

Questions de sécurité (méthode également appelée authentification avec questions)

Dans ce cas, vous créez un questionnaire contenant autant de questions et de groupes de questions que vous souhaitez proposer aux utilisateurs. Vous pouvez utiliser les questions par défaut proposées par Password Manager ou créer vos propres questions.

Voir aussi :

« Récupération ou déverrouillage automatique des informations d'identification », page 34

Vérification de l'identité des utilisateurs à l'aide des questions de sécurité (authentification avec questions)

Remarque : si vous décidez de ne pas configurer les questions de sécurité, les utilisateurs sont invités à entrer leur mot de passe principal précédent à la première ouverture de session et lorsqu'ils changent leur mot de passe principal.

Vous pouvez aussi permettre aux utilisateurs de choisir la méthode qu'ils préfèrent utiliser pour l'authentification (mots de passe précédents ou questions de

sécurité).

Password Manager vous permet d'utiliser l'authentification avec questions pour vérifier l'identité des utilisateurs. Password Manager inclut quatre questions (en anglais, français, allemand, japonais et espagnol) utilisables avec cette méthode.

L'authentification avec questions s'utilise comme suit :

• lors de l'enregistrement des questions de sécurité de l'utilisateur au cours de son premier enregistrement sur l'Agent ;

• après l'enregistrement, si vous avez configuré les fonctions autonomes de compte pour permettre aux utilisateurs de modifier leurs informations d'identification principales ou de déverrouiller leur compte.

Lorsque les utilisateurs modifient leur mot de passe principal, vous pouvez confirmer leur identité en les invitant à répondre aux questions de sécurité dans le cadre d'un questionnaire que vous créez. Ce questionnaire apparaît à la première ouverture de l'Agent. Les utilisateurs répondent à un nombre minimum de questions, puis peuvent être invités à entrer de nouveau ces informations lors d'événements de modification de mot de passe spécifiques.

Récupération ou déverrouillage automatique des informations d'identification

Important : la gestion automatique des clés n'est pas aussi sûre que d'autre mécanisme de récupération de clé tels que les questions de sécurité et le mot de passe précédent.