Authentification et identification / Choix de la méthode d'authentification/identification |
Il est possible que vous deviez gérer plusieurs populations différentes : issues de différents annuaires, situées sur des réseaux séparés ou sur des sites différents. Vous pouvez utiliser des méthodes d'authentification ou d'identification différentes suivant les populations. Dans ce cas, faites attention à l'interaction entre les différentes méthodes mises en place (suivant que l'authentification/identification est faite par le proxy ou par le moteur de filtrage), afin que l'une n'empêche pas l'autre de fonctionner.
Le proxy HTTP ne peut attendre qu'une seule méthode d'authentification à la fois. Par contre, vous pouvez définir plusieurs méthodes d'identification au niveau du moteur de filtrage.
Il est possible de configurer à la fois une authentification au proxy HTTP et des règles du moteur, à condition d'ajouter des exceptions à l'authentification proxy. En effet, si le proxy HTTP est configuré pour demander une authentification, c'est l'authentification auprès du proxy qui est réalisée en premier, avant que les règles du moteur de règles ne soient traitées.
Si le proxy HTTP est paramétré pour demander une authentification, vous devez définir des exceptions pour toutes les populations concernées par une méthode d'identification gérée par le moteur de filtrage.
Exemple : on veut envoyer le portail public à certains utilisateurs : il faut définir une exception à l'authentification au proxy HTTP pour ces utilisateurs. Sans cela, ils ne pourront pas recevoir la page de connexion au portail public (l'authentification sera considérée comme échouée).
Pour exclure des populations de l’authentification au proxy HTTP, dans les règles d'authentification, définissez des plages d'IPs (colonne Source), ou des ports d'écoute du proxy (colonne Ports du proxy).
Exemple : Votre organisation utilise un annuaire Novell et un annuaire AD, dont les utilisateurs sont situés sur le même réseau. Les utilisateurs Novell sont identifiés par un mécanisme SSO Novell, les utilisateurs de l'AD par un portail captif. Vous devez créer 2 règles dans le moteur de filtrage, et le mécanisme SSO Novell doit être positionné en premier. En effet, si l'identification par mécanisme SSO Novell échoue, le moteur passe à la règle suivante et envoie une page de portail captif à l’utilisateur. Si l'on positionnait le portail captif en premier, dans le cas où l'authentification échouerait, le moteur de filtrage renverrait indéfiniment la page de connexion au portail et ne passerait jamais au mécanisme SSO Novell.
Définissez les règles sur les plages d'IPs correspondant à vos populations d'utilisateurs (que ceux-ci soient situés sur le même réseau ou sur des 2 réseaux différents).
Proxy HTTP (intégration en mode proxy explicite uniquement) |
|
---|---|
Moteur de filtrage (tous modes d'intégration) |
|