L'authentification unique (SSO) permet aux utilisateurs de se connecter à MOVEit sans avoir à saisir à chaque fois leur nom d'utilisateur et leur mot de passe.

Pour l'authentification unique (SSO), vous pouvez procéder de l'une des façons suivantes :
  • Un fournisseur local de services pour vérifier l'identité.
  • Un fournisseur de services fédéré qui vérifie l'identité et gère l'accès.

MOVEit peut utiliser un fournisseur d'identité tiers (IdP) (par exemple, Microsoft Active Directory (AD) ou 365 AD désormais appelé Entra) pour authentifier, autoriser et gérer les utilisateurs. La fonction Authentification unique permet au serveur MOVEit d'authentifier un utilisateur sans qu'il ait à se connecter, à condition que l'utilisateur soit déjà autorisé (par exemple, par le répertoire utilisateur tiers) au moyen de son compte réseau ou d'entreprise.

Remarque : MOVEit peut utiliser des services Open ID Connect, qui sont basés sur OAuth 2.0.

Cette rubrique décrit :

  • Comment configurer le serveur MOVEit comme Fournisseur de services local/Tiers de confiance pour communiquer avec la base de données des utilisateurs.
  • Comment ajouter un fournisseur d'identité fédéré, qui fournit les informations d'authentification d'utilisateur. Vous pouvez ajouter plusieurs fournisseurs d'identité. Un fournisseur d'identité peut être utilisé pour les connexions basées sur SAML ou OIDC.

Configurer les paramètres Local Service Provider/Relying Party (Fournisseur local de services/partie relai)

Vous pouvez utiliser SETTINGS > Security Policies > User Auth > Expiration (PARAMÈTRES > Stratégies de sécurité > Authentification utilisateur > Expiration) pour :
  • Identifier le serveur MOVEit et l'organisation en tant que fournisseur de services.
  • Configurer les communications OIDC et déterminer comment MOVEit recevra les réponses du fournisseur d'identité.
Figure 1. Paramètres (authentification unique) Affichage (affiché avec l'OIDC configuré)

Ajoutez des fournisseurs d'identité fédérés

Ces paramètres ajoutent des fournisseurs d'identité (par exemple, un serveur ADFS) auxquels le serveur MOVEit peut envoyer une requête d'authentification. Le fournisseur d'identité peut être configuré pour permettre deux types de services : Connexion unique SAML (disponible dans le navigateur Web) et WS-Trust (disponible comme méthode d'authentification externe aux autres types de clients).

Remarque : Si vous utilisez déjà une source externe pour l'authentification d'utilisateur, nous vous recommandons d'utiliser le même référentiel d'utilisateurs comme fournisseur d'identité.

La page des SETTINGS (PARAMÈTRES) (authentification unique) affiche la liste des fournisseurs d'identité disponibles (le cas échéant) pour l'organisation.

  1. Pour ajouter un nouveau fournisseur, cliquez sur Add Identity Provider (Ajouter un fournisseur d'identité). La page Add OIDC Identity Provider (Ajouter un fournisseur d'identité OIDC) s'ouvre.

    Remarque : Les IdP qui prennent en charge OIDC, tels que Microsoft Entra, fournissent une URL d'IdP ainsi que des identifiants comprenant un ID de client et un secret de client.
  2. Pour l'IdP OIDC, vous devez fournir l'ID client et le secret client pour ce système MOVEit Transfer qui vous a été fourni lors de votre enregistrement de MOVEit Transfer auprès de l'IdP (par exemple, lorsque vous vous êtes enregistré auprès de 365 Entra).
  3. Veuillez fournir l'URL du fournisseur d'identité. (Si vous utilisez Microsoft 365, cela inclura votre identifiant de locataire.) Si vous utilisez Microsoft 365 Entra comme votre IDP, vous pouvez trouver plus de détails sur le site learn.microsoft.com.
  4. Cliquez sur Save (Enregistrer).

L'entrée du fournisseur d'identité est créée et ajoutée à la liste des fournisseurs d'identité dans la page Settings (Paramètres [Authentification unique]).

Modification d'un fournisseur d'identité

Vous pouvez modifier un fournisseur d'identité et définir la manière dont un compte utilisateur dans le fournisseur d'identité est créé comme utilisateur dans MOVEit.

Pour modifier un fournisseur d'identité, cliquez sur le bouton en forme de crayon situé à droite de l'entrée.

Modifier le fournisseur d'identité OIDC (vue)

Ces paramètres identifient le fournisseur d'identité et définissent la manière dont il communique avec le fournisseur de services (MOVEit). Consultez la documentation de vos fournisseurs d'identité pour connaître la configuration requise.

Identity Provider URL (URL du fournisseur d’identité) : URL d'Open ID (OIDC).

ID de client : Identifiant d'application unique généré lors de l'enregistrement de MOVEit Transfer avec le Gestionnaire d'identité et d'accès 365 (Entra) (anciennement Active Directory) via le Portail de gestion Azure.

Client Secret (Secret du client) : Clé partagée par le Portail de Gestion Azure lors de l'enregistrement de MOVEit Transfer avec le Service de Gestion des Identités et des Accès Entra (IAM) (anciennement Azure Active Directory). Pour plus d’informations sur la façon de générer un ClientSecret (Secret du client), vous pouvez vous référer au site Microsoft Learn.

Friendly Name (Nom convivial) : Nom d'affichage pour cette ressource SSO spécifique à l'organisation.

Modifiez les paramètres utilisateur d'un fournisseur d'identité fédéré

Ces paramètres définissent la manière dont MOVEit utilise les informations utilisateur du fournisseur d'identité pour créer ou modifier le compte utilisateur dans MOVEit.

Ces paramètres dépendent des attributs utilisateur du fournisseur d'identité disponibles. Vous devez vous organiser avec l'administrateur du fournisseur d'identité.

Nom de connexion : Paramètres de modèle pour le nom de connexion du nouvel utilisateur (s'il est ajouté à MOVEit).

Full Name (Nom complet) : Paramètre de modèle pour le nom complet du nouvel utilisateur (s'il est ajouté à MOVEit).

E-mail : Paramètres de modèle pour l'adresse e-mail des nouveaux utilisateurs (s’ils sont ajoutés à MOVEit).

Auto-create account on signon (Création automatique d'un compte lors de la connexion) :

Les paramètres des modèles de Login name (Nom de connexion), Full name (Nom complet) et Email (E-mail) déterminent quelles valeurs sont utilisées dans les champs du nom de connexion, du nom complet et d'adresse e-mail du nouvel utilisateur, s'ils sont ajoutés au compte utilisateur MOVEit.

Auto-create account on signon (Création automatique d'un compte lors de la connexion) : Par défaut, lorsqu'un nouvel utilisateur se connecte avec succès, un compte est créé dans MOVEit. Si vous voulez désactiver cette fonction, cliquez sur No (Non).

Create user as a clone of (Création d'un utilisateur comme clone de) : Vous permet (l'administrateur) de sélectionner un utilisateur existant comme modèle pour les utilisateurs créés par la source d'authentification. Lorsque ce paramètre est désactivé, l'utilisateur sélectionné est cloné pour créer un nouveau compte utilisateur.

Modifiez les paramètres de groupe d'un fournisseur d'identité fédéré

Ces paramètres définissent la manière dont MOVEit utilise les informations de groupe du fournisseur d'identité pour ajouter un paramètre de groupe au nouvel utilisateur MOVEit.

Group membership behavior (Comportement de l'appartenance au groupe) : Ce paramètre détermine comment les appartenances aux groupes seront traitées. Lorsqu'il est défini sur Ignore Differences (Ignorer les différences), les appartenances aux groupes du fournisseur d'identité sont ignorées, sauf dans le cas du paramètre Group Check Mask (Masque de contrôle du groupe). Lorsqu'il est défini sur Report Differences (Rapporter les différences), les différences entre les membres du groupe MOVEit et les membres du groupe du fournisseur d'identité seront rapportées dans le journal. Lorsqu'il est défini sur Correct Differences (Corriger les différences), les différences entre les appartenances aux groupes MOVEit et les appartenances aux groupes du fournisseur d'identité seront corrigées, si cela est possible. Les groupes MOVEit ne sont PAS ajoutés automatiquement, seules les appartenances aux groupes sont ajoutées. Les groupes existants dans le fournisseur d'identité mais pas sur le serveur MOVEit seront signalés en tant qu'erreurs.

Group membership attribute (Attribut des appartenances aux groupes) : Effectuez un choix dans la liste des propriétés d'objet pour définir le nom du groupe, si un groupe existe sur le fournisseur d'identité.

Attribute name (Nom d'attribut) : Comme pour les paramètres utilisateur, si un fournisseur d'identité ne recommande aucun des attributs de groupe disponibles dans le fichier de métadonnées, vous pouvez utiliser le champ Attribute name (Nom d'attribut) pour saisir manuellement un nom d'attribut dans les paramètres utilisateur. Reportez-vous à la documentation du fournisseur d'identité pour connaître le schéma et les valeurs à utiliser.

Group Mask (Masque de groupe) : Ce paramètre détermine quels groupes seront inclus lors de la synchronisation des appartenances aux groupes du fournisseur d'identité et des appartenances aux groupes MOVEit. La règle peut être définie de manière à inclure tous les groupes sauf ceux correspondant à un ou plusieurs masques, ou de manière à ignorer tous les groupes sauf ceux correspondant à un ou plusieurs masques. La liste des masques peut contenir un ou plusieurs masques de nom de groupe, séparés par des virgules. Les masques de nom de groupe peuvent contenir plusieurs caractères génériques (*), et/ou un caractère générique simple (?)

Group Check Mask (Masque de contrôle du groupe) : Ce paramètre est similaire en termes de fonctionnement au paramètre Group Mask (Masque de groupe), mais il définit les appartenances aux groupes qu'utilise le système afin de déterminer si un utilisateur doit être autorisé à se connecter ou doit être automatiquement créé (ou consigné dans les rapports d'erreur si la source est configurée pour ne pas créer d'utilisateur automatiquement). Par défaut, ce paramètre est défini pour autoriser tous les utilisateurs, peu importe leurs appartenances aux groupes. La règle peut également être définie de manière à refuser tous les utilisateurs sauf ceux appartenant à des groupes correspondant à un ou plusieurs masques, ou de manière à autoriser les utilisateurs, sauf ceux appartenant à des groupes correspondant à un ou plusieurs masques. Comme pour le paramètre Group Mask (Masque de groupe), la liste de masque peut contenir un ou plusieurs masques de nom de groupe, séparés par des virgules. Les masques de nom de groupe peuvent contenir plusieurs caractères génériques (*), et/ou un caractère générique simple (?).

Cliquez sur Save (Enregistrer) pour que les modifications du fournisseur d'identité soient prises en compte.

Rendre le mode SSO requis ou optionnel pour tous les utilisateurs de l'organisation

Figure 2. Modifier le mode d'authentification SSO (optionnel affiché)