Définition de la stratégie de connexion
Lorsque vous configurez une application Framework, Web Access ou BridgeIT dans le Centre de configuration, vous pouvez spécifier la stratégie de connexion à utiliser. Pour en savoir plus sur le choix de la stratégie de connexion la plus appropriée, reportez-vous à « Choix de la stratégie de connexion ». Les options sont les suivantes :
- Explicite uniquement – Disponible pour les trois applications. Avec cette option, les utilisateurs doivent entrer leur nom d'utilisateur et leur mot de passe Service Desk ou Asset Manager pour accéder à l'application chaque fois qu'ils la démarrent.
Chaque fois que vous mettez à niveau la base de données, vous devez sélectionner une application Framework dont la valeur Stratégie de connexion est définie sur Explicite uniquement.Pour en savoir plus sur la mise à niveau de votre base de données, reportez-vous à « Mise à niveau de la base de données Ivanti ».
- Intégré uniquement - Disponible pour Framework et Web Access. Avec cette option, Service Desk et Asset Manager utilisent le nom de connexion réseau de l'utilisateur pour identifier le compte Service Desk/Asset Manager de cet utilisateur, et le connecter automatiquement.
- Jeton uniquement – Disponible pour Framework, Web Access et BridgeIT. Cette option met en place la connexion SSO (Single Sign-On, connexion avec identification unique) pour Web Access et Workspaces avec Ivanti Secure Token Server (STS). STS est installé dans le cadre de l'option d'installation Serveur Ivanti Service Desk ou Asset Manager.
La connexion SSO permet aux utilisateurs de se connecter une seule fois pour accéder à plusieurs applications différentes avec une seule paire nom d'utilisateur/mot de passe. Si vous utilisez STS, cela signifie que les utilisateurs se connectent à Workspaces (BridgeIT) ou Web Access avec leur nom d'utilisateur et leur mot de passe Active Directory (généralement identiques aux références d'authentification qu'ils utilisent pour se connecter au réseau).
BridgeIT et la console doivent tous deux se connecter à une instance Framework dotée d'une stratégie de connexion identique. Par conséquent, si vous configurez BridgeIT pour utiliser Jeton uniquement, vous devez également configurer l'appli. Framework à laquelle il se connecte sur Jeton uniquement. Dans ce cas, comme la console ne prend pas en charge Jeton uniquement, vous devez également créer une appli. Framework qui se connecte à la même base de données, mais qui utilise une stratégie de connexion identique à celle de vos implémentations de la console.
Si vous sélectionnez Jeton uniquement comme option Stratégie de connexion pour une application, vous devez spécifier les valeurs suivantes :
URL du jeton émis de STS – URL du jeton émis par STS à utiliser (par exemple, https://servername/STS/IssueToken)
Nom d'utilisateur et Mot de passe – Références d'authentification d'un compte d'administrateur Windows pour le serveur qui héberge STS.
Web Access se connecte directement à la base de données proprement dite, si bien que vous n'avez pas besoin d'application Framework avec une stratégie de connexion identique à celle de Web Access.
Si vous connectez également BridgeIT à Ivanti Endpoint Manager, vous devez utiliser une application Framework dont la stratégie de connexion est définie sur Jeton uniquement ou sur Serveur d'identités.
Si la stratégie de connexion de votre application BridgeIT est définie sur Explicite uniquement, les utilisateurs se connectent avec leurs références d'authentification Service Desk ou Asset Manager ; si elle est définie sur Jeton uniquement, ils se connectent avec leurs références d'authentification réseau.
- Shibboleth uniquement – Disponible pour Framework, Web Access et BridgeIT.
BridgeIT doit se connecter à une instance Framework dotée d'une stratégie de connexion identique. Par conséquent, si vous configurez BridgeIT pour utiliser Shibboleth uniquement, vous devez également configurer l'appli. Framework à laquelle il se connecte sur Shibboleth uniquement. Dans ce cas, comme la console ne prend pas en charge Shibboleth uniquement, vous devez également créer une appli. Framework qui se connecte à la même base de données, mais qui utilise une stratégie de connexion identique à celle de vos implémentations de la console.
Avant de configurer Service Desk ou Asset Manager pour utiliser l'authentification Shibboleth, vous devez configurer Shibboleth afin de transmettre l'identité de l'utilisateur aux demandes d'URL envoyées à Service Desk/Asset Manager. Vous devez configurer cela afin que l'ID utilisateur soit transmis en tant qu'en-tête dans une URL, au format suivant :
?http_landesk_user=ID-utilisateur.
Si vous configurez l'option Stratégie de connexion sur Shibboleth uniquement, l'accès sécurisé à Service Desk et Asset Manager est sous la responsabilité du fournisseur d'authentification SAML (comme Shibboleth).
Pour en savoir plus sur la configuration de Shibboleth, consultez la documentation fournie avec ce produit et reportez-vous à « Configuration de l'authentification Shibboleth ».
- Identity Server (Serveur d'identités) – Service d'autorisation de connexion qui fournit des stratégies de connexion explicite et par jeton, disponible pour Framework, Web Access et BridgeIT pour les systèmes internes. Pour cette option, vous devez créer une application Web Identity Server (Serveur d'identités). Pour en savoir plus, reportez-vous à « Création d'applications Web ».
Pour les options Intégré uniquement, Jeton uniquement, Shibboleth uniquement et Serveur d'identités, vous devez associer les utilisateurs Service Desk et Asset Manager à un nom de connexion réseau, à l'aide du composant Administration de la console.
Pour en savoir plus sur la gestion des utilisateurs, reportez-vous à « Gestion des utilisateurs ».
Pour associer un utilisateur Service Desk ou Asset Manager à un nom de connexion réseau :
- Dans le composant Administration de la console, développez l'arborescence Gestion des utilisateurs.
- Développez la branche Utilisateurs et sélectionnez l'utilisateur approprié.
- Dans la liste Actions, cliquez sur Ajouter les données de connexion réseau.
La boîte de dialogue Données de connexion réseau s'affiche. - Entrez le nom de connexion réseau de l'utilisateur (au format domaine\nom-utilisateur), puis cliquez sur OK.
Le nom de connexion réseau figure dans le dossier Données de connexion réseau, sous l'utilisateur pertinent.
Il peut s'avérer utile de créer une autre application Web Access et BridgeIT dans la même instance, qui se connecte à la même base de données, mais avec l'option Stratégie de connexion définie sur Explicite uniquement. Cela permet aux utilisateurs sans nom de connexion réseau mais qui possèdent un compte Service Desk ou Asset Manager d'accéder au système Service Desk/Asset Manager avec une autre adresse Web.