L'authentification par portail captif consiste à envoyer à l'utilisateur une page de connexion : l'utilisateur doit entrer son identifiant et son mot de passe, et ceux-ci sont vérifiés dans l'annuaire avant que l'utilisateur puisse accéder à internet.
- Vous pouvez personnaliser la page de connexion au portail captif envoyée par l'Olfeo afin de l'adapter à la charte graphique de votre organisation.
- Une fois l'utilisateur connecté au portail captif, l'authentification reste valable pour toute requête émanant de la machine. Toutes les applications qui ne savent pas s'authentifier fonctionneront tant que l'utilisateur restera connecté. Il n'est donc pas nécessaire de définir d'exceptions au portail captif.
La solution Olfeo propose également un type de portail captif destiné à gérer les utilisateurs invités, appelé portail public. Pour le portail public, les identifiants et mots de passe des utilisateurs sont créés et gérés par l'Olfeo et non via un annuaire. Cette fonctionnalité est différente du portail captif décrit dans cette section. Elle est traitée dans le chapitre suivant : Gérer des portails publics.
Portail captif transparent pour l'utilisateur avec NTLM
Si vous utilisez un annuaire Active Directory, vous pouvez coupler la fonctionnalité de portail captif avec NTLM pour mettre en place une authentification faible transparente pour l'utilisateur. Une seule action d'authentification est réalisée avant de passer à l'identification, mais cette authentification est faite directement par NTLM et l'utilisateur ne reçoit pas de page de connexion au portail captif. La page de connexion n'est envoyée que dans le cas où l'authentification NTLM échouerait.
Cette fonctionnalité est une très bonne alternative au mécanisme d'authentification forte NTLM géré par le proxy. D'une part, elle permet d'avoir un mécanisme transparent pour l'utilisateur avec une intégration connecteur où les flux ne passent pas par un proxy Olfeo. Plus généralement, la solution "portail captif avec NTLM" permet de ne pas avoir d’exceptions à gérer, et fait baisser le coût réseau de l'authentification. Il faut cependant tenir compte des limitations suivantes :
- Vous devez utiliser un annuaire Active Directory et l'Olfeo doit être joint au domaine Windows.
- L'Olfeo doit être déclaré comme membre de la zone locale du navigateur.
- Configuration dans Firefox : à la page about:config, entrez l'adresse IP du proxy dans le paramètre network.automatic-ntlm-auth.trusted-uris.
- Configuration dans Chrome et Internet Explorer : dans les Options Internet, dans l'onglet Sécurité, cliquez sur Intranet local. Cliquez sur Sites, puis sur Avancé. Ajoutez l'adresse IP de l'Olfeo à la liste.
Modes d'intégration compatibles
Le portail captif peut être utilisé avec tous les types d'intégration.
Contraintes et limitations
- Le portail captif est un mécanisme d'authentification faible (LDAP basique) dont la fiabilité diminue au cours du temps.
- L'authentification par portail captif est réalisée par le moteur de filtrage. Elle est indépendante de toute authentification faite au niveau du proxy HTTP, et n'est pas compatible avec elle. Si vous avez configuré le proxy HTTP pour demander une authentification, définissez une exception pour les utilisateurs du portail captif. Sans cela, les utilisateurs ne recevraient jamais la page de portail captif : si l'authentification proxy échouait, le proxy utiliserait la méthode de fallback correspondante.
- L'authentification par portail captif n'est pas pertinente pour gérer des serveurs TSE ou Citrix (car l'adresse IP du serveur est la seule récupérée par l'Olfeo) : utilisez plutôt un mécanisme d'authentification forte (NTLM, Kerberos AD ou Kerberos natif).
- Le portail captif ne peut authentifier que des utilisateurs synchronisés dans l'Olfeo.
Fonctionnement
Le portail captif fonctionne selon 2 phases : pour la première requête reçue, l'Olfeo réalise une action d'authentification, puis pour toutes les autres ne fait plus que des actions d'identification.
- Lorsque l'utilisateur tente d'accéder à internet, le moteur de filtrage lui envoie une page demandant son identifiant et son mot de passe (la page de connexion au portail captif).
- L'utilisateur entre son identifiant et son mot de passe : l'Olfeo vérifie que l'identifiant existe dans la liste des utilisateurs, puis vérifie les informations dans l'annuaire.
- Si l'authentification échoue, l'Olfeo renvoie la page de connexion, sauf si un compte invité a été
défini dans la zone d'authentification (dans ce cas, l'utilisateur est authentifié sur le compte invité).
- Si l'authentification est validée, la requête est envoyée au moteur de filtrage, qui applique les règles et politiques correspondant à l'utilisateur.
- Une fois l'authentification faite, l'Olfeo stocke en interne la correspondance entre l'identifiant de l'utilisateur et son adresse IP.
- Pour toutes les autres requêtes : une fois les informations d'authentification
stockées, et tant que le stockage dure, lorsqu’une requête est reçue, l'Olfeo se base sur l'adresse IP pour identifier l'utilisateur.
Déconnexion :
- Lorsque l'utilisateur se connecte au portail captif, une fenêtre popup contenant un lien de déconnexion s'ouvre. Si le navigateur bloque les popups, on affiche pendant quelques secondes une page d'information à ce sujet avant de rediriger vers la page demandée.
- Si l'utilisateur n'a pas la popup de déconnexion (si celle-ci a été bloquée ou il s'il l'a fermée), il peut se déconnecter en se rendant à la page
http://keyword.olfeo.com/logout.
- L'utilisateur est automatiquement déconnecté du portail captif au bout de 10 minutes
d'inactivité.
Mettre en place une authentification par portail captif
- Synchronisez le ou les annuaires contenant vos utilisateurs.
- Créez une zone d'authentification contenant le ou les annuaires désirés.
- Rendez-vous à la page du moteur de règles en suivant les menus .
- Dans l'onglet Accès du tableau du haut, ajoutez une règle grâce au bouton "ajouter" en bas à gauche
du tableau.
- Dans la colonne Source, définissez à quels utilisateurs le
portail captif sera fourni.
- Dans la colonne Action, cliquez sur l'icône . La fenêtre
Action s'ouvre.
- Dans le menu Sélectionner, choisissez Portail
captif.
- Dans le menu Portail, sélectionnez la zone d'authentification
désirée.
- Si vous souhaitez que l'authentification soit transparente pour l'utilisateur,
cochez la case Utiliser NTLM. Voir la section ci-dessus, Portail captif transparent pour l'utilisateur avec NTLM.
- Cliquez sur Valider pour enregistrer les changements. La
fenêtre Action se ferme.
- Cliquez sur Valider en bas à droite du tableau pour
enregistrer les changements.
- Si
le déchiffrement SSL n'est pas activé, activez les pages de blocage en HTTPS : en effet, si la première requête de
l'utilisateur est une requête HTTPS, son navigateur attendra une réponse en HTTPS (il
faut donc lui fournir la page de connexion au portail captif en HTTPS). Si le déchiffrement SSL est activé, aucun paramétrage n'est nécessaire.