RSA SecurID

Remarque : RSA SecurID est un Authentificateur avancé disponible dans le cadre de l'édition Professional d'ADSelfService Plus.

RSA SecurID est un système d'authentification à deux facteurs (2FA) de RSA Security LLC qui permet aux utilisateurs de se connecter en toute sécurité aux ressources réseau. Les utilisateurs peuvent accéder de manière sécurisée à ADSelfService Plus en utilisant des codes de sécurité provenant de l'application mobile RSA SecurID, de tokens physiques ou de codes envoyés par e-mail ou SMS.

Configuration de l'authentification RSA SecurID

Vous pouvez configurer RSA SecurID comme authentificateur dans ADSelfService Plus en deux étapes :

1. Inclure le serveur ADSelfService Plus dans la SecurID SECURITY CONSOLE en tant qu’agent d'authentification.
2. Configurer ADSelfService Plus pour RSA SecurID.

Prérequis

• Assurez-vous d'avoir installé une version prise en charge de RSA Authentication Manager.
  • Pour l'intégration SDK : RSA Authentication Manager 8.0 ou supérieur
  • Pour l'intégration REST API : RSA Authentication Manager 8.2 SP1 ou supérieur

Inclure ADSelfService Plus comme agent d'authentification dans la SecurID SECURITY CONSOLE

1. Connectez-vous à votre console d'administration RSA (par ex., https://adssp-rsa.mydomain.com/sc ).
2. Naviguez vers Access > Authentication Agents. Cliquez sur Ajouter nouveau.



3. Entrez le nom d'hôte du serveur ADSelfService Plus dans le champ Hostname et cliquez sur Résoudre IP pour établir une connexion entre la SecurID SECURITY CONSOLE et le serveur ADSelfService Plus.
4. Cliquez sur Enregistrer pour ajouter le serveur ADSelfService Plus en tant qu’agent d'authentification.

Configuration d'ADSelfService Plus pour RSA SecurID

La configuration de RSA SecurID peut être réalisée via l’une des méthodes suivantes :

• Intégration REST API
• Intégration SDK

Remarque : Il est recommandé de configurer l'authentification RSA en utilisant REST API car RSA SecurID ne supporte plus l'intégration SDK.

Étapes pour configurer RSA SecurID avec l'intégration REST API

1. Connectez-vous à la console d'administration RSA et allez dans Setup > System Settings.
2. Sous Authentication Settings, cliquez sur RSA SecurID Authentication API.
3. Copiez les Access ID, Access Key, et les détails du Communication Port .
4. Connectez-vous à la console d'administration ADSelfService Plus et allez dans Admin > Configuration > Self-Service > Multi-factor Authentication > RSA SecurID.
5. Dans la liste déroulante Choisir la politique , sélectionnez une politique.

Remarque : ADSelfService Plus vous permet de créer des politiques basées sur OU et groupes. Pour créer une politique, allez dans Configuration > Self-Service > Policy Configuration > Ajouter une nouvelle politique. Cliquez sur Sélectionnez les OUs/Groupes, et effectuez la sélection en fonction de vos besoins. Vous devez sélectionner au moins une fonctionnalité en libre-service. Enfin, cliquez sur Enregistrer la politique.

6. Cliquez sur RSA SecurID.
7. Pour Type d’intégration, sélectionnez REST API.



8. Entrez le nom d'hôte de RSA Authentication Manager dans le champ API Host Name .
9. Collez le numéro de port et la clé d'accès obtenus à l’étape 3 dans les champs Port et Access Key respectivement.
10. Entrez le nom de l'agent d'authentification (c’est-à-dire le nom d'hôte ou l’URL d’accès du serveur ADSelfService Plus) dans le champ Client Id .
11. Cochez la case Sécuriser les requêtes API vers le serveur RSA avec authentification HMAC pour vérifier l’intégrité des requêtes d’authentification. Veuillez suivre les étapes mentionnées sous Prérequis HMAC avant d’activer l’authentification HMAC.



12. Entrez l’Access ID copié à l’étape 3 dans le champ Access Id .
13. Sélectionnez un Modèle de nom d’utilisateur qui correspond au Format du compte utilisateur dans la console d’administration RSA.

Remarque : Les utilisateurs dans différents domaines peuvent avoir le même nom d’utilisateur, ce qui peut provoquer une ambiguïté lors de la mise en correspondance RSA. Pour assurer une authentification sécurisée, nous recommandons fortement d’utiliser un modèle de nom d’utilisateur incluant le domaine. Ce Modèle de nom d’utilisateur doit correspondre au Format du compte utilisateur dans la console d’administration RSA, afin de mapper précisément les comptes utilisateurs de domaine aux comptes RSA.

14. Cliquez sur Tester la connexion et Enregistrer.

Étapes pour configurer RSA SecurID avec intégration SDK

1. Assurez-vous que les fichiers JAR requis listés ci-dessous sont présents dans le dossier <ADSelfService_Plus_install_directory>/lib .
   • authapi-8.6.jar
   • log4j-1.2.12rsa-1.jar
   • cryptojcommon-6.1.3.3.jar
   • jcmFIPS-6.1.3.3.jar
   • cryptojce-6.1.3.3.jar

Remarque : Ces fichiers JAR correspondent à la dernière version du SDK Authentication Agent pour Java (version 8.6). S’ils ne sont pas présents dans le <ADSelfService_Plus_install_directory>/lib dossier, veuillez les télécharger depuis RSA Community.

2. Dans la console d’administration RSA, naviguez vers Access > Authentication Agents > Générer le fichier de configuration.
3. Cliquez sur Générer le fichier de config pour télécharger le fichier AM_Config.zip .
4. Extrayez le fichier sdconf.rec depuis l’archive ZIP.
5. Connectez-vous au portail d’administration ADSelfService Plus et allez dans Admin > Configuration > Self-Service > Multi-factor Authentication > Authenticators Setup > RSA SecurID.
6. Dans la liste déroulante Choisir la politique , sélectionnez une politique.

Remarque : ADSelfService Plus vous permet de créer des politiques basées sur OU et groupes. Pour créer une politique, allez dans Configuration > Self-Service > Policy Configuration > Ajouter une nouvelle politique. Cliquez sur Sélectionnez les OUs/Groupes, et effectuez la sélection en fonction de vos besoins. Vous devez sélectionner au moins une fonctionnalité en libre-service. Enfin, cliquez sur Enregistrer la politique.

7. Cliquez sur RSA SecurID.
8. Pour Type d’intégration, sélectionnez SDK.



9. Cliquez sur Parcourez et sélectionnez le fichier sdconf.rec téléchargé depuis la SecurID SECURITY CONSOLE.
10. Sélectionnez un Modèle de nom d’utilisateur qui correspond au Format du compte utilisateur dans la console d’administration RSA.

Remarque : Les utilisateurs appartenant à différents domaines peuvent avoir le même nom d’utilisateur, ce qui peut entraîner une ambiguïté lors de la correspondance des comptes RSA avec les comptes utilisateurs ADSelfService Plus durant l’authentification MFA. Pour garantir une authentification sécurisée, nous recommandons vivement d’utiliser un Modèle de nom d’utilisateur incluant le nom du domaine (domain_dns_name) ou l’email (email_id) afin de mapper précisément les comptes utilisateurs du domaine aux comptes RSA, qui doivent être dans le même format. L’utilisation uniquement du nom d’utilisateur (user_name) dans le Modèle de nom d’utilisateur est déconseillée pour des raisons de sécurité..

11. Cliquez sur Enregistrer.

Une fois activée, les utilisateurs appartenant à la politique pour laquelle l'authentification RSA a été activée seront invités à vérifier leur identité avec leurs tokens SecurID lors de la connexion.

Prérequis HMAC

Le code d’authentification de message basé sur hachage (HMAC) est utilisé pour valider les requêtes d’authentification échangées entre les agents d'authentification et l'API RSA SecurID Authentication.

1. Connectez-vous à l'appliance avec le client Secure Shell ou accédez à l'appliance sur une machine virtuelle avec VMware vSphere Client, Hyper-V Virtual Machine Manager ou Hyper-V Manager.
2. Pour vérifier les requêtes d'authentification en implémentant HMAC, tapez ce qui suit :
   • ./rsautil store –a update_config
   • auth_manager.rest_service.authorization.mode 1 GLOBAL 501
3. Pour utiliser uniquement la clé d'accès de l'API RSA SecurID Authentication pour l'authentification, tapez ce qui suit :
   • ./rsautil store –a update_config
   • auth_manager.rest_service.authorization.mode 0 GLOBAL 501

Différentes méthodes de connexion à ADSelfService Plus utilisant RSA SecurID

Méthode 1 : PIN généré par l'utilisateur ou le système

L'authentification par code RSA peut consister en un PIN combiné à un tokencode, uniquement un tokencode, ou uniquement un mot de passe. Ceci est basé sur les paramètres de configuration du RSA Authentication Manager. Si les paramètres dans RSA Security Console exigent que les utilisateurs créent un PIN eux-mêmes ou utilisent un PIN généré par le système, les options suivantes seront affichées aux utilisateurs une fois que ceux-ci entreront un code valide.

Option 1 : PIN généré par l'utilisateur

• Les utilisateurs peuvent créer leur propre PIN.
• Ensuite, ils seront invités à utiliser ce PIN auto-généré avec le tokencode RSA pour l'authentification.

Remarque : Si le PIN auto-créé par l'utilisateur est invalide, ils devront ressaisir le code RSA pour redémarrer le processus d'authentification.

Option 2 : PIN généré par le système

• Ici, le RSA Authentication Manager génère automatiquement un PIN aléatoire.
• Les utilisateurs doivent noter ce PIN généré par le système et utiliser ce PIN ainsi que le tokencode RSA pour l'authentification.

Méthode 2 : Tokencode suivant

• En cas de saisie consécutive de codes erronés, le RSA Authentication Manager peut demander à un utilisateur de saisir le tokencode suivant.
• Les utilisateurs devront attendre qu'un nouveau tokencode soit affiché sur le dispositif RSA pour continuer le processus d'authentification.

Méthode 3 : Tokencode

Les utilisateurs doivent utiliser à la fois le PIN et le code RSA pour l'authentification.