Fédération et authentification unique pour le portail ClientNet

Symantec utilise la solution Okta pour l'authentification unique (SSO) et la fédération des comptes d'utilisateur.Okta est un fournisseur d'identités qui fournit un service d'authentification utilisateur. Les clients Email Security.cloud peuvent désormais choisir de s'inscrire auprès d'Okta à l'aide d'une adresse électronique valide ou de fédérer leur IDP d'entreprise avec Okta.
Avant la version de février 2021
, les utilisateurs se connectaient à ClientNet à l'aide de l'une des deux méthodes suivantes :
Nom d'utilisateur et mot de passe
Dans le cadre de cette méthode, ClientNet est utilisé pour créer et stocker les informations d'identification des utilisateurs. Les administrateurs créent et suppriment chaque compte et affectent également les rôles aux utilisateurs. Les informations d'authentification sont stockées et gérées par ClientNet ; les utilisateurs doivent gérer leurs informations d'identification et celles qu'ils utilisent pour d'autres produits et services Symantec.
En vue d'améliorer la sécurité (en permettant aux clients de contrôler leurs propres données d'authentification utilisateur) ainsi que l'expérience utilisateur (en fournissant une authentification unique), cette méthode va être supprimée. La suppression est progressive, afin de permettre aux clients de planifier et de configurer l'authentification unique ou la fédération Okta avec un fournisseur d'identités pris en charge par Okta. A l'issue de la migration, les clients peuvent toujours utiliser ces informations d'identification pour effectuer des appels d'API et utiliser des outils autonomes (compte de
service
), excepté pour se connecter à ClientNet.
Compte Symantec
Initialement, dans cette méthode, la connexion sécurisée Norton était utilisée pour offrir une expérience d'authentification unique aux clients utilisant plusieurs produits et services Symantec. Avec la nouvelle version, la technologie Okta est désormais utilisée pour activer la fonctionnalité d'authentification unique.
A compter de la version de février 2021
, lorsqu'un utilisateur existant se connecte pour la première fois au portail ClientNet, un assistant de migration s'affiche automatiquement. L'assistant aide les utilisateurs à réaliser le processus unique d'établissement de liaison entre leurs comptes ClientNet actuels et des comptes SSO ou fédérés. Les réponses des utilisateurs aux invites de l'assistant peuvent varier selon que votre organisation prévoit d'utiliser les comptes Symantec pour l'authentification unique ou de fédérer les comptes à l'aide d'un fournisseur d'identités différent d'Okta ; par conséquent, il est judicieux de déterminer votre stratégie dès que possible une fois l'authentification unique/la fédération disponible. Votre organisation doit décider d'implémenter ou non les éléments suivants :
Nom d'utilisateur et mot de passe (temporaire)
Permet l'accès traditionnel à ClientNet, sans authentification unique ni fédération. Les données d'authentification utilisateur sont stockées et gérées par ClientNet. Les utilisateurs peuvent cliquer sur le bouton
Décider plus tard
dans l'assistant de migration pour reporter la migration et permettre à votre organisation de se préparer pour l'implémentation de comptes Symantec ou de la fédération.
Compte Symantec (Authentification unique basée sur la technologie Okta)
Permet aux utilisateurs de se connecter à l'aide d'une combinaison unique nom d'utilisateur/mot de passe, qui est partagée entre tous les produits et services Symantec.Le nom d'utilisateur est toujours une adresse électronique et chaque utilisateur doit disposer d'un compte. Les données d'authentification utilisateur sont stockées et gérées par Okta.
Authentification unique/fédération à l'aide d'un fournisseur d'identités différent pris en charge par Okta
Permet aux utilisateurs de se connecter à l'aide d'une seule combinaison nom d'utilisateur/mot de passe partagée entre les produits Symantec. Les données d'authentification utilisateur sont stockées et gérées par votre fournisseur d’identités.
Configuration de l'authentification unique avec Okta
La solution Okta est la technologie sous-jacente utilisée pour la connexion aux comptes Symantec ; il n'est donc pas nécessaire de la configurer (comme pour un fournisseur d'identités partenaire). Une fois que tous les utilisateurs ont utilisé l'assistant pour effectuer la migration vers les comptes Symantec, que les nouveaux utilisateurs ont été ajoutés et que leurs rôles ont été configurés, vos tâches de configuration et de migration sont terminées.Une fois l'authentification unique définie pour le compte Symantec, il peut être utilisé pour d'autres produits Symantec. Si un utilisateur dispose déjà d'informations de connexion pour un autre produit Symantec, il peut continuer à les utiliser plutôt que de définir un nouveau compte pour Email Security.cloud.
Configuration de la fédération avec un fournisseur d'identités partenaire
Vous pouvez configurer la fédération avec votre fournisseur d'identités s'il est pris en charge par Okta. Rendez-vous sur le site Web de Okta à l'adresse www.okta.com pour vérifier si votre fournisseur d'identités est pris en charge.
La fédération réalisée avec un fournisseur d'identités de partenaire doit être lancée en ouvrant un ticket de support. Vous pouvez effectuer cette opération à partir du portail ClientNet en cliquant sur l'onglet
Support
présent sur le côté droit de chaque page qu'il contient. Le support est également disponible en cliquant sur Case Management (Gestion des dossiers) sur la page
https://support.broadcom.com/security
. Vous devez être connecté à l'ID de site qui inclut Email Security.cloud en tant que produit.
Lorsque vous ouvrez un ticket de support pour effectuer une demande de fédération, vous devez fournir les informations suivantes :
  • Le ou les domaines de messagerie de vos utilisateurs
  • Un fragment XML contenant les métadonnées relatives à votre fournisseur d'identités et fournies par celui-ci
  • Les mappages des attributs standard dans le fournisseur d'identités de Broadcom :
    • Le ou les domaines de messagerie de vos utilisateurs
    • Adresse électronique
    • Prénom
    • Nom
    • Groupes : liste des groupes de sécurité/d'accès auxquels un utilisateur spécifique doit appartenir
    • ID d'utilisateur du partenaire : ID d'utilisateur unique dans le fournisseur d'identités fédéré
Migration des utilisateurs ClientNet existants vers l'authentification unique/fédération
Lorsqu'un utilisateur existant se connecte pour la première fois au portail ClientNet après la mise à disposition de l'authentification unique ou de la fédération, un assistant de migration s'affiche automatiquement. L'assistant aide les utilisateurs à réaliser le processus unique d'établissement de liaison entre leurs comptes ClientNet actuels et les comptes SSO/fédérés. L'assistant détecte des informations sur le statut d'authentification actuel de l'utilisateur et l'aide à gérer les situations suivantes :
  • Dupliquer :
    si l'utilisateur dispose d'un compte partagé, cliquez sur ce bouton pour créer un compte en double lié à son adresse électronique.Cela permet aux autres utilisateurs qui partagent son compte de suivre le même chemin de migration pour que tous les nouveaux comptes disposent du même niveau d'accès.
  • Lier des comptes :
    Si l'utilisateur dispose d'un compte Symantec (fédéré), cliquez sur ce bouton pour lier ce compte ClientNet au compte Symantec de l'utilisateur.
  • Lier à un autre :
    si l'utilisateur ne dispose pas d'un compte Symantec (fédéré) lié à cette adresse électronique, mais qu'il dispose d'un compte lié à une autre adresse électronique, cliquez sur ce bouton pour lier l'utilisateur à cet autre compte Symantec (fédéré).
  • Créer une requête :
    si l'utilisateur ne dispose pas d'un compte Symantec (fédéré), cliquez sur ce bouton pour créer un compte à l'aide de l'adresse électronique existante ou entrez une adresse électronique différente pour l'utilisateur.
L'assistant s'affiche uniquement pour les utilisateurs existants ; aucune autre action des administrateurs n'est donc requise pour configurer le compte de portail de l'utilisateur actuel. Les utilisateurs existants ne requièrent aucune nouvelle affectation de rôles ni de droits ; leurs rôles précédents sont conservés.
Si l'assistant ne s'affiche pas parce que l'utilisateur a déjà migré vers Okta, vous pouvez le forcer à s'afficher en cliquant sur
Annuler l'association de la connexion
sur la page
Profil
.
Création de comptes fédérés pour les nouveaux utilisateurs ClientNet
Les utilisateurs nouveaux dans ClientNet ou nouvellement fédérés doivent disposer de comptes créés pour eux par un administrateur afin que des rôles d'accès puissent leur être affectés.
Création d'un utilisateur
  1. Dans le portail, sélectionnez
    Tableau de bord > Administration > Gestion des utilisateurs
    et cliquez sur
    Créer un utilisateur
    .
  2. Dans l'onglet
    Détails utilisateur
    , vérifiez que l'option
    Utilisateur fédéré
    est sélectionnée.
    L'option
    Utilisateur fédéré
    s'affiche uniquement lorsque l'option
    Connexion fédérée uniquement
    est appliquée au niveau du portail. Si vous n'appliquez pas encore les connexions fédérées, la seule possibilité consiste à sélectionner
    Utilisateur du portail
    , puis à ignorer le courriel d'activation du compte.
    L'option d'
    utilisateur du service
    doit être sélectionnée uniquement si vous comptez utiliser les informations d'identification que vous ajoutez pour effectuer des appels d'API et utiliser des outils ClientNet autonomes.Les informations d'identification de l'utilisateur du service ne peuvent pas être utilisées pour accéder au portail ClientNet.
  3. Entrez le prénom, le nom, l'adresse électronique (adresse électronique de connexion fédérée), la langue et le fuseau horaire de l'utilisateur.
  4. Spécifiez si l'utilisateur est activé ou désactivé. La désactivation d'un utilisateur vous permet de l'empêcher temporairement d'accéder au portail sans supprimer définitivement son compte.
  5. Spécifiez si l'utilisateur est autorisé à en gérer d'autres. Sélectionnez
    Oui
    si l'utilisateur que vous ajoutez est un administrateur.
  6. Sélectionnez
    Lier à un compte Symantec existant
    au bas de la page.
  7. Cliquez sur
    Enregistrer et quitter
    .
Après la création du compte de portail pour le nouvel utilisateur ClientNet, l'étape suivante consiste à lui affecter des rôles.
Affectation de rôles à un utilisateur nouveau ou récemment fédéré
  1. Dans le portail, sélectionnez
    Tableau de bord > Administration > Gestion des utilisateurs
    .
  2. Cliquez sur l'onglet
    Rôles utilisateur
    .
  3. Cliquez sur
    Utiliser un rôle standard
    .
  4. Sélectionnez le type de rôle à appliquer à cet utilisateur.
  5. Cliquez sur
    Ajouter un rôle
    .
Le rôle est désormais répertorié dans l'onglet
Rôles utilisateur
.
Application de connexions fédérés au niveau du portail
Lorsque vous avez configuré l'authentification unique/la fédération avec Okta ou un fournisseur d'identités partenaire et migré tous vos utilisateurs, la dernière étape consiste à appliquer la fédération au niveau du portail.
L'application de la fédération
désactive
automatiquement toutes les autres méthodes de connexion pour les utilisateurs de ce portail. N'effectuez pas les étapes indiquées ci-après avant d'avoir configuré la fédération avec votre fournisseur d'identités et avant que tous vos utilisateurs n'aient utilisé l'assistant de migration pour lier leurs comptes antérieurs à la fédération à ceux fédérés.
Activation/désactivation de la fédération
  1. Dans le portail ClientNet, sélectionnez
    Tableau de bord > Administration > Contrôle d'accès
    .
  2. Utilisez le curseur pour activer ou désactiver la fédération pour tous les utilisateurs du portail ClientNet.
Voir également