Pour définir les stratégies par défaut des interfaces HTTP, FTP, SSH et mobile pour les nouveaux utilisateurs de l'organisation :

Connectez-vous en tant qu'administrateur. Sélectionnez SETTINGS > Security Policies > Interface (PARAMÈTRES > Stratégies de sécurité > Interface) et sélectionnez un type d'interface.

Ces paramètres déterminent les paramètres par défaut pour les nouveaux utilisateurs de l'organisation. Si vous effectuez des modifications ultérieures, vous pouvez appliquer ces modifications à tous les utilisateurs (nouveaux et existants) ou aux nouveaux utilisateurs de l'organisation uniquement.

Vous pouvez modifier la stratégie pour les utilisateurs individuels dans USERS (UTILISATEURS) > username (nom d'utilisateur) > User Authentication (Authentification d'utilisateur). Pour plus d'informations, voirProfil utilisateur - Authentification d'utilisateur.

Remarque : Pour toutes ces interfaces, si vous avez prévu d'utiliser différentes stratégies d'interface pour différents groupes d'utilisateurs, reportez-vous aux options de création des utilisateurs comme clones de... disponibles dans MOVEit Transfer. Par exemple, pour que tous les utilisateurs (sauf ceux utilisant une authentification externe) présentent un certificat lors de leur authentification, définissez les valeurs de l'interface par défaut de l'organisation de manière à réclamer les certificats client. Définissez la source d'authentification externe de manière à cloner un utilisateur modèle qui ne nécessite pas d'authentification par certificat client lors de la création d'un nouvel utilisateur avec authentification externe.

HTTP

Cette page permet aux administrateurs de définir la stratégie d'interface HTTP par défaut pour tous les nouveaux utilisateurs de l'organisation. Les modifications de la stratégie sur cette page ont la possibilité d'être appliquées à tous les utilisateurs existants de l'organisation. Les options de stratégie disponibles sont :

  • Allow HTTPS Access via Web Interface by Default: (Autoriser l'accès HTTPS via l'interface Web par défaut :) Détermine si les utilisateurs seront autorisés à accéder au système via les navigateurs Web.
  • Allow HTTPS Access via HTTP Clients by Default: (Autoriser l'accès HTTPS via les clients HTTP par défaut :) Détermine si les utilisateurs seront autorisés à accéder au système via d'autres clients HTTP, comme MOVEit Automation, l'API MOVEit Transfer et l'assistant MOVEit.
  • SSL Client Cert Required by Default: (Certificat de client SSL obligatoire par défaut :) Détermine si les utilisateurs se connectant via l'interface HTTPS devront présenter un certificat client SSL valide afin de s'authentifier sur le système.
    Remarque : Pour les utilisateurs à authentification unique SAML, l'option SSL Client Required (Client SSL obligatoire) doit être définie sur No (Non).
  • Password Also Required with SSL Client Cert by Default: (Mot de passe également obligatoire avec certificat client SSL :) Détermine si les utilisateurs qui se connectent sur l'interface HTTPS avec un certificat client SSL valide devront également soumettre un mot de passe valide afin de s'authentifier sur le système.
  • Match Cert CN to Username/Full Name (Faire correspondre le certificat de nom courant au nom d'utilisateur/nom complet) : Lorsque cette option est activée, le certificat client SSL qui dispose d'une valeur Nom courant qui correspond au nom utilisateur ou au nom complet de l'utilisateur entrant ET qui est signé par une autorité de certification jugée fiable par le système sera considéré valide et acceptable aux fins de l'authentification.
  • Allow Username from Client Certificate (Autoriser le nom utilisateur du certificat client) : Lorsque cette option est activée, les utilisateurs disposent d'une option sur la page de connexion pour que MOVEit Transfer détermine automatiquement leur nom d'utilisateur à partir de leur certificat client et tente de les connecter. MOVEit Transfer recherche tout d'abord un certificat correspondant dans son magasin interne de certificats, puis, si cela est possible, il recherche les sources d'authentification externes LDAP correctement configurées. Si un certificat correspondant est trouvé, le nom d'utilisateur associé est accepté et une tentative de connexion est effectuée. Si aucun certificat correspondant n'est trouvé, ou si l'utilisateur doit disposer d'un mot de passe en plus du certificat client, il est redirigé vers la page de connexion. Un message apparaît, indiquant que des informations d'identification supplémentaires sont nécessaires.
  • Si un certificat client a été trouvé et que l'utilisateur s'est connecté avec succès avec le nom d'utilisateur associé, un cookie à long terme est défini qui permet à MOVEit Transfer de diriger automatiquement à l'avenir les utilisateurs vers les routines de détection automatique des noms d'utilisateur. Par conséquent, l'utilisateur se connecte toujours directement sur le système, aussi longtemps que son certificat client est fourni et valide.

FTP

Cette page permet aux administrateurs de définir la stratégie d'interface FTP par défaut pour tous les nouveaux utilisateurs de l'organisation. Les modifications de la stratégie sur cette page ont la possibilité d'être appliquées à tous les utilisateurs existants de l'organisation. Les options de stratégie disponibles sont :

  • Allow FTP/SSL Access by Default: (Autoriser l'accès FTP/SSL par défaut :) Détermine si les utilisateurs seront autorisés à accéder au système via le FTP avec SSL sécurisé.
  • Allow Insecure FTP Access by Default: (Autoriser l'accès FTP/SSL non sécurisé par défaut :) Détermine si les utilisateurs seront autorisés à accéder au système via le FTP plein texte non sécurisé. Nécessite l'activation du FTP non sécurisé et l'autorisation des adresses IP pour chaque utilisateur. Reportez-vous à la section Configuration FTP pour plus d'informations.
  • SSL Client Cert Required by Default: (Certificat de client SSL obligatoire par défaut :) Détermine si les utilisateurs connectés sur l'interface FTP sur SSL devront présenter un certificat client SSL valide afin de s'authentifier sur le système.
  • Password Also Required with SSL Client Cert by Default: (Mot de passe également obligatoire avec certificat client SSL :) Détermine si les utilisateurs qui se connectent sur l'interface FTP avec SSL au moyen d'un certificat client SSL valide devront également soumettre un mot de passe valide afin de s'authentifier sur le système.
  • Match Cert CN to Username/Full Name (Faire correspondre le certificat de nom courant au nom d'utilisateur/nom complet) : Lorsque cette option est activée, le certificat client SSL qui dispose d'une valeur Nom courant qui correspond au nom utilisateur ou au nom complet de l'utilisateur entrant ET qui est signé par une autorité de certification jugée fiable par le système sera considéré valide et acceptable aux fins de l'authentification.
  • Holding Tank retention: (Conservation du dossier de stockage :) Détermine la durée pendant laquelle les certificats client SSL et les clés client SSL saisis dans le dossier de stockage de certificats/clés pourront y rester. Les certificats ou clés dépassant cette durée (nombre de jours) seront supprimés du dossier de stockage.

La gestion des autorités de certificat (AC) de confiance et des certificats du dossier de stockage utilisateur est également réalisée ici. Pour plus d'informations sur les autorités de certificat (AC), reportez-vous à la page Configuration système - SSL et SSH - SSL - Certificats client - Autorités de certificat de confiance. Pour plus d'informations sur le dossier de stockage de certificat client SSL, reportez-vous à la page Configuration système - SSL et SSH - SSL - Certificats client - Dossier de stockage.

Certificats client

Tous les certificats client sont « auto-signés » ou « Signé par une AC ». « AC » indique qu'une « Autorité de certification » a signé le certificat client et garantit l'identité du détenteur. De plus, les AC sont divisés en « AC commerciales » qui vendent des certificats client et des services signés au grand public (par exemple : Thawte, GeoTrust, etc.) et les « AC d'entreprise » qui permettent les mêmes fonctions de certificat client pour leurs utilisateurs propres.

MOVEit prend en charge les certificats auto-signés, les certificats signés par une AC commerciale et les certificats signés par une AC d'entreprise. Un certificat client peut être livré sous forme de fichier « .pfx » associé à un mot de passe, ou les utilisateurs peuvent devoir demander un certificat à une AC.

Les navigateurs ont des façons différentes d'installer les certificats client. Internet Explorer (IE) utilise le magasin de certificats Windows ; vous pouvez installer et gérer les certificats client dans la boîte de dialogue « Certificat » de IE. Windows exécute également un assistant d'importation de certificat client qui installe automatiquement la plupart des certificats client dans IE, si vous double-cliquez simplement sur le fichier certificat client « .pfx ».

Les navigateurs Mozilla/Firefox utilisent leur propre magasin de certificats clients. Pour installer des certificats client dans ces navigateurs, vous devez utiliser leur « Gestionnaire de certificat ».

Les navigateurs ont des façons différentes de sélectionner les certificats client pour l'authentification. La procédure la plus commune consiste pour le navigateur à ouvrir une boîte de dialogue qui vous demande quel certificat client utiliser. Lors de la connexion au serveur MOVEit, les utilisateurs peuvent être invités par leur navigateur à sélectionner un certificat client après avoir rempli les champs du nom d'utilisateur et du mot de passe, avant d'afficher la page de connexion.

Cependant, la plupart des navigateurs disposent également d'options permettant de présenter automatiquement un certificat client s'il n'y en a qu'un seul installé, ou de ne pas demander à sélectionner un certificat client si aucun n'a été présenté. Dans ces cas, l'authentification des certificats client peut être utilisée en arrière-plan (dans le cas « un seul certificat, ne plus demander ») ou ne pas être utilisée du tout (dans le cas « aucun certificat installé, ne plus demander »).

Enfin, la clé privée d'un certificat client peut être protégée par un mot de passe. Si c'est le cas, les utilisateurs peuvent avoir besoin de saisir le mot de passe qu'ils ont créé lorsqu'ils ont choisi de protéger ce magasin de certificats clients ou de clés. (Généralement, une telle demande n'a lieu qu'une fois par session.)

SSH

Cette page permet aux administrateurs de définir la stratégie d'interface SSH par défaut pour tous les nouveaux utilisateurs de l'organisation. Les modifications de la stratégie sur cette page ont la possibilité d'être appliquées à tous les utilisateurs existants de l'organisation. Les options de stratégie disponibles sont :

  • Allow SSH Access by Default: (Autoriser l'accès SSH par défaut :) Détermine si les utilisateurs seront autorisés à accéder au système via le SSH.
  • SSH Key Required by Default: (Clé SSH obligatoire par défaut : Détermine si les utilisateurs connectés sur l'interface SSH devront présenter une clé client SSH valide afin de s'authentifier sur le système.
  • Password also required with valid SSH Key by Default: (Mot de passe également obligatoire avec clé client SSH par défaut :) Détermine si les utilisateurs qui se connectent sur l'interface SSH avec une clé client SSH valide devront également soumettre un mot de passe valide afin de s'authentifier sur le système.
  • Holding Tank retention: (Conservation du dossier de stockage :) Détermine la durée pendant laquelle les certificats client SSL et les clés client SSL saisis dans le dossier de stockage de certificats/clés pourront y rester. Les certificats ou clés dépassant cette durée (nombre de jours) seront supprimés du dossier de stockage.

La gestion des clés du dossier de stockage utilisateur est également réalisée ici. Pour plus d'informations sur le dossier de stockage des clés client SSH, reportez-vous à la page Dossier de stockage des clés SSH.