Portail captif

L'authentification par portail captif consiste à envoyer à l'utilisateur une page de connexion : l'utilisateur doit entrer son identifiant et son mot de passe, et ceux-ci sont vérifiés dans l'annuaire avant que l'utilisateur puisse accéder à internet.


La solution Olfeo propose également un type de portail captif destiné à gérer les utilisateurs invités, appelé portail public. Pour le portail public, les identifiants et mots de passe des utilisateurs sont créés et gérés par l'Olfeo et non via un annuaire. Cette fonctionnalité est différente du portail captif décrit dans cette section. Elle est traitée dans le chapitre suivant : Gérer des portails publics.

Portail captif transparent pour l'utilisateur avec NTLM

Si vous utilisez un annuaire Active Directory, vous pouvez coupler la fonctionnalité de portail captif avec NTLM pour mettre en place une authentification faible transparente pour l'utilisateur. Une seule action d'authentification est réalisée avant de passer à l'identification, mais cette authentification est faite directement par NTLM et l'utilisateur ne reçoit pas de page de connexion au portail captif. La page de connexion n'est envoyée que dans le cas où l'authentification NTLM échouerait.

Cette fonctionnalité est une très bonne alternative au mécanisme d'authentification forte NTLM géré par le proxy. D'une part, elle permet d'avoir un mécanisme transparent pour l'utilisateur avec une intégration connecteur où les flux ne passent pas par un proxy Olfeo. Plus généralement, la solution "portail captif avec NTLM" permet de ne pas avoir d’exceptions à gérer, et fait baisser le coût réseau de l'authentification. Il faut cependant tenir compte des limitations suivantes :
  • Vous devez utiliser un annuaire Active Directory et l'Olfeo doit être joint au domaine Windows.
  • L'Olfeo doit être déclaré comme membre de la zone locale du navigateur.
    • Configuration dans Firefox : à la page about:config, entrez l'adresse IP du proxy dans le paramètre network.automatic-ntlm-auth.trusted-uris.
    • Configuration dans Chrome et Internet Explorer : dans les Options Internet, dans l'onglet Sécurité, cliquez sur Intranet local. Cliquez sur Sites, puis sur Avancé. Ajoutez l'adresse IP de l'Olfeo à la liste.

Modes d'intégration compatibles

Le portail captif peut être utilisé avec tous les types d'intégration.

Contraintes et limitations

Fonctionnement

Le portail captif fonctionne selon 2 phases : pour la première requête reçue, l'Olfeo réalise une action d'authentification, puis pour toutes les autres ne fait plus que des actions d'identification.

  1. Lorsque l'utilisateur tente d'accéder à internet, le moteur de filtrage lui envoie une page demandant son identifiant et son mot de passe (la page de connexion au portail captif).
  2. L'utilisateur entre son identifiant et son mot de passe : l'Olfeo vérifie que l'identifiant existe dans la liste des utilisateurs, puis vérifie les informations dans l'annuaire.
    • Si l'authentification échoue, l'Olfeo renvoie la page de connexion, sauf si un compte invité a été défini dans la zone d'authentification (dans ce cas, l'utilisateur est authentifié sur le compte invité).
    • Si l'authentification est validée, la requête est envoyée au moteur de filtrage, qui applique les règles et politiques correspondant à l'utilisateur.
  3. Une fois l'authentification faite, l'Olfeo stocke en interne la correspondance entre l'identifiant de l'utilisateur et son adresse IP.
  4. Pour toutes les autres requêtes : une fois les informations d'authentification stockées, et tant que le stockage dure, lorsqu’une requête est reçue, l'Olfeo se base sur l'adresse IP pour identifier l'utilisateur.

Déconnexion :

Mettre en place une authentification par portail captif

  1. Synchronisez le ou les annuaires contenant vos utilisateurs.
  2. Créez une zone d'authentification contenant le ou les annuaires désirés.
  3. Rendez-vous à la page du moteur de règles en suivant les menus Administration > Utilisateurs.
  4. Dans l'onglet Accès du tableau du haut, ajoutez une règle grâce au bouton "ajouter" en bas à gauche du tableau.
  5. Dans la colonne Source, définissez à quels utilisateurs le portail captif sera fourni.
  6. Dans la colonne Action, cliquez sur l'icône . La fenêtre Action s'ouvre.
    1. Dans le menu Sélectionner, choisissez Portail captif.
    2. Dans le menu Portail, sélectionnez la zone d'authentification désirée.
    3. Si vous souhaitez que l'authentification soit transparente pour l'utilisateur, cochez la case Utiliser NTLM. Voir la section ci-dessus, Portail captif transparent pour l'utilisateur avec NTLM.
    4. Cliquez sur Valider pour enregistrer les changements. La fenêtre Action se ferme.
  7. Cliquez sur Valider en bas à droite du tableau pour enregistrer les changements.
  8. Si le déchiffrement SSL n'est pas activé, activez les pages de blocage en HTTPS : en effet, si la première requête de l'utilisateur est une requête HTTPS, son navigateur attendra une réponse en HTTPS (il faut donc lui fournir la page de connexion au portail captif en HTTPS). Si le déchiffrement SSL est activé, aucun paramétrage n'est nécessaire.