Ajouter un authentificateur

L'authentificateur définit une méthode d'authentification, telle qu'un mot de passe (par exemple, un mot de passe de console Endpoint Defense) ou une connexion à un tiers pour une authentification commeActive Directory, Okta ou Ping Identity. Vous les ajoutez aux stratégies d'authentification pour spécifier les types d'authentification que les administrateurs doivent effectuer pour se connecter à la console Endpoint Defense et que les utilisateurs doivent effectuer pour activer l'application Aurora Protect Mobile ou l'agent Gateway). Vous pouvez combiner plusieurs authentificateurs dans une stratégie d'authentification pour fournir plusieurs étapes d'authentification. Par exemple, vous pouvez combiner l'authentificateur Enterprise avec une invite de mot de passe à usage unique dans une stratégie pour obliger les utilisateurs à s'authentifier à la fois avec leur mot de passe de console Endpoint Defense ou de poste et un mot de passe à usage unique.
  • Important : Vérifiez que vous avez examiné et effectué les étapes appropriées pour l'Configurer l'authentification pour la connexion sur la console Endpoint Defense avant de configurer votre authentificateur SAML IDP. Si les étapes requises ne sont pas effectuées, l'authentificateur tiers ne pourra pas communiquer avec Cylance Endpoint Security. Pour en savoir plus, consultez les sections suivantes :
  • Si vous ajoutez un authentificateur SAML :
  1. Sur la barre de menus, cliquez sur Paramètres > Authentification.
  2. Cliquez sur Ajouter un authentificateur.
  3. Dans la liste déroulante Type d'authentificateur, sélectionnez l'un des authentificateurs suivants :

    Élément

    Description

    Entra (SAML)

    Sélectionnez cette option si vous souhaitez que les utilisateurs saisissent leurs informations d'identification Entra sur la page d'ouverture de session principale et activent l'accès initié par IDP à la console Endpoint Defense.

    L'URL de rappel SSO au format https://login.eid.blackberry.com/_/resume/saml20/hash> est générée lorsque vous enregistrez l'authentificateur.

    Procédez comme suit :
    1. Saisissez un nom pour l'authentificateur.
    2. Si vous souhaitez que les utilisateurs valident leur adresse e-mail avec un code à usage unique lors de leur première connexion, activez Validation requise. Le code est envoyé à l'adresse e-mail associée à l'utilisateur dans votre locataire.
    3. Dans le champ URL de demande de connexion, saisissez l'URL de connexion spécifiée dans les paramètres d'authentification unique d'enregistrement de l'application correspondant à votre fournisseur d'identité. Par exemple, sur le portail Entra, accédez à Application d'entreprise > <Nom de l'application récemment créée> > section Configuration de nom de l'application > URL de connexion.
    4. Dans le champ Certificat de signature IDP, collez le corps du certificat de signature que vous avez téléchargé, y compris les lignes Début du certificat et Fin du certificat.

      Lorsque vous copiez et collez le corps du certificat, veillez à ne pas modifier les sauts de ligne ou le format des informations du certificat.

    5. Dans le champ ID d'entité SP, saisissez l'Identifiant (ID d'entité) utilisé dans la configuration SAML sur le portail Entra. Ce champ est requis. La valeur « ID d'entité SP » doit correspondre à la valeur « Identifiant (ID d'entité) » que vous avez enregistrée dans la console IDP.
    6. Activez l'option Afficher les paramètres avancés, dans le champ Revendication d'e-mail, collez la valeur du « Nom de la revendication » que vous avez enregistré sur le portail Entra (par exemple, http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress).
    7. Spécifiez tout autre paramètre facultatif.
    8. Cliquez sur Enregistrer.
    9. Ouvrez l'authentificateur que vous avez ajouté. Enregistrez l'URL de rappel SSO. Cette URL sera requise dans le champ Portail Entra > Configuration SAML de base > URL de réponse (URL de l'abonné d'assertions).
    Personnalisé (SAML)

    Sélectionnez cette option si vous souhaitez que les utilisateurs saisissent des informations d'identification personnalisées sur la page d'ouverture de session principale et activent l'accès initié par IDP à la console Endpoint Defense.

    L'URL de rappel SSO au format https://login.eid.blackberry.com/_/resume/saml20/hash> est générée lorsque vous enregistrez l'authentificateur.

    1. Saisissez un nom pour l'authentificateur.
    2. Si vous souhaitez que les utilisateurs valident leur adresse e-mail avec un code à usage unique lors de leur première connexion, activez Validation requise.
    3. Dans le champ URL de demande de connexion, saisissez l'URL d'authentification unique du fournisseur d'identité.
    4. Dans le champ Certificat de signature IDP, collez le corps du certificat de signature que vous avez téléchargé, y compris les lignes Début du certificat et Fin du certificat.

      Lorsque vous copiez et collez le corps du certificat, veillez à ne pas modifier les sauts de ligne ou le format des informations du certificat.

    5. Dans le champ ID d'entité SP, saisissez l'« URI d'audience (ID d'entité SP) » que vous avez enregistrée dans le portail IDP personnalisé. Ce champ est requis. La valeur « ID d'entité SP » doit correspondre à la valeur « URI d'audience (ID d'entité SP) » que vous avez enregistrée dans la console IDP.
    6. Dans le champ format de l'ID de nom, spécifiez le format de l'identifiant de nom à demander à l'IDP (par exemple, urn:oasis:names:tc:SAML:1,1:nameid-format:emailAddress).
    7. Dans le champ Revendication d'e-mail, saisissez NameID. Cette valeur doit correspondre au « format NameID » que vous avez spécifié dans la console IDP. L'adresse e-mail garantit que le bon utilisateur se connecte à la console de gestion.
    8. Spécifiez tout autre paramètre facultatif.
    9. Cliquez sur Enregistrer.
    10. Ouvrez l'authentificateur que vous avez ajouté. Enregistrez l'URL d'authentification unique. Cette URL sera ajoutée à l'IDP personnalisé.

    Mot de passe administrateur Cylance
    Sélectionnez cette option si vous souhaitez que les utilisateurs saisissent leurs informations d'identification de console Endpoint Defense. Procédez comme suit :
    1. Saisissez un nom pour l'authentificateur.
    2. Cliquez sur Enregistrer.

    Refuser l'authentification
    Sélectionnez cette option si vous souhaitez utiliser une stratégie d'authentification pour empêcher les utilisateurs ou les groupes d'utilisateurs d'accéder à la console Endpoint Defense ou à un autre service. Vous pouvez ajouter une autre stratégie ou une exception d'application pour autoriser l'accès à un sous-ensemble d'utilisateurs.
    1. Saisissez un nom pour l'authentificateur.
    2. Cliquez sur Enregistrer.

    Duo MFA (obsolète)

    Duo a mis fin à la prise en charge de son invite Duotraditionnelle. Pour plus d'informations, consultez la base de connaissances Duo. Si cet authentificateur a été ajouté, il sera visible dans la console en lecture seule. Pour ajouter une authentification multifactorielle Duo, reportez-vous à la section Authentification multifactorielle Duo Universal ci-dessous.

    Sélectionnez cette option si vous souhaitez que les utilisateurs s'authentifient à l'aide de l'authentification multifactorielle Duo.

    Avant d'ajouter Duo en tant qu'authentificateur, vous devez créer une application d'API d'authentification. Pour obtenir des instructions, consultez les informations de Duo.

    Procédez comme suit :
    1. Saisissez un nom pour l'authentificateur.
    2. Dans la section Configuration DUO MFA, saisissez le nom d'hôte de l'API, la clé d'intégration et la clé secrète. Vous trouverez ces informations dans l'onglet Applications du compte Duo de votre organisation. Pour plus d'informations, consultez la documentation Duo.

    Duo MFA Universal

    Sélectionnez cette option si vous souhaitez que les utilisateurs s'authentifient à l'aide de l'authentification multifactorielle Duo.

    Avant d'ajouter Duo en tant qu'authentificateur, vous devez créer une application SDK Web. Pour obtenir des instructions, consultez la documentation Duo.

    Procédez comme suit :
    1. Saisissez un nom pour l'authentificateur.
    2. Dans la section Configuration DUO Universal MFA, saisissez le nom d'hôte de l'API, l'ID de client et le secret de client. Vous trouverez ces informations dans l'onglet Applications du compte Duo de votre organisation. Pour plus d'informations, consultez la documentation Duo.

    Enterprise
    Sélectionnez cette option si vous souhaitez que les utilisateurs s'authentifient à l'aide de leurs informations d'identification pour Active Directory, LDAP ou myAccount. Les informations d'identification qu'un utilisateur utilisera dépendent du type de compte qui est la source de son compte utilisateur dans la console. Procédez comme suit :
    1. Saisissez un nom pour l'authentificateur.
    2. Cliquez sur Enregistrer.

    FIDO

    Sélectionnez cette option si vous souhaitez que les utilisateurs enregistrent un terminal FIDO2 et l'utilisent pour vérifier leur identité. Les types de terminaux pris en charge incluent les smartphones, les clés de sécurité USB ou Windows Hello

    1. Saisissez un nom pour l'authentificateur.
    2. Cliquez sur Enregistrer.

    Lorsque FIDO est le premier facteur d'authentification et qu'un utilisateur enregistre un terminal pour la première fois, un mot de passe à usage unique est également envoyé à l'adresse e-mail qu'il utilise pour se connecter. Lorsque FIDO est utilisé comme deuxième facteur dans une stratégie, un mot de passe à usage unique n'est pas requis lorsqu'un utilisateur enregistre un terminal pour la première fois.

    Pour plus d'informations sur la suppression des terminaux enregistrés d'un compte d'utilisateur, reportez-vous à la section Supprimer un terminal FIDO enregistré pour un compte utilisateur dans le contenu relatif à l'administration.

    Annuaire intégré (Active Directory/Entra ID/LDAP)
    Sélectionnez cette option si vous souhaitez que les utilisateurs saisissent leur mot de passe Active Directory. Si vous sélectionnez cette option, votre locataire Aurora Endpoint Security doit disposer d'une connexion à l'instance de l'annuaire de l'entreprise. Pour plus d'informations, reportez-vous à Association à votre annuaire d'entreprise. Procédez comme suit :
    1. Saisissez un nom pour l'authentificateur.
    2. Cliquez sur Enregistrer.

    Adresse IP

    Sélectionnez cette option si vous souhaitez restreindre l'accès des utilisateurs en fonction de leur adresse IP. Vous pouvez créer plusieurs authentificateurs d'adresses IP et les utiliser pour gérer l'accès de différents groupes, mais vous ne pouvez attribuer qu'un seul authentificateur d'adresses IP par stratégie.

    1. Saisissez un nom pour l'authentificateur.
    2. Dans le champ Plages d'adresses IP, spécifiez une ou plusieurs adresses IP, plages IP ou CIDR. Séparez les entrées par une virgule. Par exemple, plage d'adresses IP : 192.168.0.100-192.168.1.255 ou CIDR : 192.168.0.10/24.
    3. Cliquez sur Enregistrer.

    Compte local
    Sélectionnez cette option si vous souhaitez que les utilisateurs saisissent leurs informations d'identification BlackBerry Online Account (myAccount). Procédez comme suit :
    1. Saisissez un nom pour l'authentificateur.
    2. Cliquez sur Enregistrer.

    Okta MFA
    Sélectionnez cette option si vous souhaitez que les utilisateurs s'authentifient à l'aide de Okta. Procédez comme suit :
    1. Saisissez un nom pour l'authentificateur.
    2. Dans la section Configuration Okta MFA, saisissez la clé d'API d'authentification et le domaine d'authentification.
    3. Cliquez sur Enregistrer.

    Okta (OIDC)
    Sélectionnez cette option si vous souhaitez que les utilisateurs s'authentifient à l'aide de Okta. Procédez comme suit :
    1. Dans la liste déroulante située sous Okta, sélectionnez OIDC.
    2. Saisissez un nom pour l'authentificateur.
    3. Dans la section Client du fournisseur d'identité, saisissez l'URL du document de découverte OIDC, l'ID du client et la clé privée JWKS.
    4. Cliquez sur Enregistrer.

    Okta (SAML)

    Sélectionnez cette option si vous souhaitez que les utilisateurs saisissent leurs informations d'identification Okta sur la page d'ouverture de session principale et activent l'accès initié par IDP à la console Endpoint Defense.

    L'URL de rappel SSO au format https://login.eid.blackberry.com/_/resume/saml20/hash> est générée lorsque vous enregistrez l'authentificateur.

    1. Dans la liste déroulante située sous Okta, sélectionnez SAML.
    2. Saisissez un nom pour l'authentificateur.
    3. Si vous souhaitez que les utilisateurs valident leur adresse e-mail avec un code à usage unique lors de leur première connexion, activez Validation requise.
    4. Dans le champ URL de demande de connexion, saisissez l'URL d'authentification unique du fournisseur d'identité.
    5. Dans le champ Certificat de signature IDP, collez le corps du certificat de signature que vous avez téléchargé, y compris les lignes Début du certificat et Fin du certificat.

      Lorsque vous copiez et collez le corps du certificat, veillez à ne pas modifier les sauts de ligne ou le format des informations du certificat.

    6. Dans le champ ID d'entité SP, saisissez l'« URI d'audience (ID d'entité SP) » que vous avez enregistrée sur le portail Okta. Ce champ est requis. La valeur « ID d'entité SP » doit correspondre à la valeur « URI d'audience (ID d'entité SP) » que vous avez enregistrée dans la console IDP.
    7. Dans le champ ID d'entité IDP, collez l'« émetteur du fournisseur d'identité » que vous avez enregistré à partir de Okta.
    8. Dans le champ Format de l'identifiant de nom, sélectionnez le format NameID que vous avez spécifié dans le système Okta (par exemple, urn:oasis:names:tc:SAML:2,0:nameID-format:persistent).
    9. Dans le champ Revendication d'e-mail, saisissez E-mail. Cela doit correspondre au nom « Attribut » que vous avez configuré dans la console Okta. L'adresse e-mail garantit que le bon utilisateur se connecte à la console de gestion.
    10. Spécifiez tout autre paramètre facultatif.
    11. Cliquez sur Enregistrer.
    12. Ouvrez l'authentificateur que vous avez ajouté. Enregistrez l'URL d'authentification unique. Cette URL sera ajoutée aux champs suivants dans la console Okta > écran Paramètres SAML.
      • URL d'authentification unique
      • URL SSO à demander

    OneLogin (OIDC)
    Sélectionnez cette option si vous souhaitez que les utilisateurs s'authentifient avec OneLogin. Procédez comme suit :
    1. Dans la liste déroulante située sous OneLogin, sélectionnez OIDC.
    2. Saisissez un nom pour l'authentificateur.
    3. Si vous souhaitez que les utilisateurs valident leur adresse e-mail avec un code à usage unique lors de leur première connexion, activez Validation requise.
    4. Dans la section Configuration OneLogin, saisissez l'URL du document de découverte OIDC, l'ID client, le secret de client et la méthode d'authentification.
    5. Cliquez sur Enregistrer.

    OneLogin (SAML)

    Sélectionnez cette option si vous souhaitez que les utilisateurs saisissent leurs informations d'identification OneLogin sur la page d'ouverture de session principale et activent l'accès initié par IDP à la console Endpoint Defense.

    L'URL de rappel SSO au format https://login.eid.blackberry.com/_/resume/saml20/hash> est générée lorsque vous enregistrez l'authentificateur.

    1. Saisissez un nom pour l'authentificateur.
    2. Si vous souhaitez que les utilisateurs valident leur adresse e-mail avec un code à usage unique lors de leur première connexion, activez Validation requise.
    3. Dans le champ URL de demande de connexion, saisissez l'URL d'authentification unique du fournisseur d'identité.
    4. Dans le champ Certificat de signature IDP, collez le corps du certificat de signature que vous avez téléchargé, y compris les lignes Début du certificat et Fin du certificat.

      Lorsque vous copiez et collez le corps du certificat, veillez à ne pas modifier les sauts de ligne ou le format des informations du certificat.

    5. Dans le champ ID d'entité SP, saisissez l'« Identifiant (ID d'entité) » enregistré dans la console OneLogin. Ce champ est requis. La valeur « ID d'entité SP » doit correspondre à la valeur « Identifiant (ID d'entité) » que vous avez enregistrée dans la console IDP.
    6. Spécifiez tout autre paramètre facultatif.
    7. Cliquez sur Enregistrer.
    8. Ouvrez l'authentificateur que vous avez ajouté. Enregistrez l'URL d'authentification unique. Cette URL sera ajoutée aux champs suivants dans la console OneLogin :
      • Validateur d'URL ACS (abonné)*
      • URL ACS (abonné)*
      • URL de déconnexion unique

    Password à usage unique
    Sélectionnez cette option si vous souhaitez que les utilisateurs saisissent un mot de passe à usage unique en plus d'un autre type d'authentification.
    Remarque : Si vous sélectionnez cette option, vous devez également ajouter un autre authentificateur à votre stratégie d'authentification et le classer plus haut que le mot de passe à usage unique.
    Procédez comme suit :
    1. Saisissez un nom pour l'authentificateur.
    2. Dans la section Configuration du mot de passe à usage unique, dans la première liste déroulante, sélectionnez un certain nombre d'intervalles dans la liste déroulante. Tout code dans la fenêtre est valide s'il précède ou suit le code attendu par le nombre d'intervalles d'actualisation que vous spécifiez. L'intervalle d'actualisation est de 30 secondes et le paramètre par défaut est 0.
    3. Dans la section Configuration du mot de passe à usage unique, dans la deuxième liste déroulante, indiquez le nombre de fois où les utilisateurs peuvent ignorer la configuration de l'application OTP et s'authentifier sans saisir de code.

    Ping Identity (OIDC)
    Sélectionnez cette option si vous souhaitez que les utilisateurs s'authentifient à l'aide de Ping Identity. Procédez ainsi :
    1. Dans la liste déroulante située sous Ping, sélectionnez OIDC.
    2. Saisissez un nom pour l'authentificateur.
    3. Dans la section Client du fournisseur d'identité, saisissez l'URL du document de découverte OIDC, l'ID du client et la clé privée JWKS.
    4. Dans la liste déroulante Algorithme de signature du jeton d'ID, sélectionnez l'un des algorithmes de connexion.
    5. Cliquez sur Enregistrer.

    Ping Identity (SAML)

    Sélectionnez cette option si vous souhaitez que les utilisateurs saisissent leurs informations d'identification Ping Identity sur la page d'ouverture de session principale et activent l'accès initié par IDP à la console Endpoint Defense.

    L'URL de rappel SSO au format https://login.eid.blackberry.com/_/resume/saml20/hash> est générée lorsque vous ajoutez l'authentificateur.

    1. Dans la liste déroulante située sous Identité Ping, sélectionnez SAML.
    2. Saisissez un nom pour l'authentificateur.
    3. Si vous souhaitez que les utilisateurs valident leur adresse e-mail avec un code à usage unique lors de leur première connexion, activez Validation requise.
    4. Dans le champ URL de demande de connexion, saisissez l'URL d'authentification unique du fournisseur d'identité.
    5. Dans le champ Certificat de signature IDP, collez le corps du certificat de signature que vous avez téléchargé, y compris les lignes Début du certificat et Fin du certificat.

      Lorsque vous copiez et collez le corps du certificat, veillez à ne pas modifier les sauts de ligne ou le format des informations du certificat.

    6. Dans le champ ID d'entité SP, saisissez l'«ID d'entité » enregistré dans la console OneLogin. Ce champ est requis. La valeur « ID d'entité SP » doit correspondre à la valeur «ID d'entité » que vous avez enregistrée dans la console IDP.
    7. Spécifiez tout autre paramètre facultatif.
    8. Cliquez sur Enregistrer.
    9. Ouvrez l'authentificateur que vous avez ajouté. Enregistrez l'URL d'authentification unique. Cette URL sera requise dans les champs suivants de l'écran Configuration de la console PingOne :
      • Service d'abonné d'assertions (ACS)
      • URL de l'application
  4. Cliquez sur Enregistrer.
Ajouter une stratégie d'utilisateur pour l'authentification et Configurer les stratégies d'authentification par défaut pour votre locataire.