Vous pouvez utiliser le workflow Modifier l'espace pour modifier les paramètres d'authentification à deux facteurs sur les passerelles de l'espace ou désactiver complètement l'authentification à deux facteurs. Lorsque vous modifiez les paramètres, entrez un nouveau nom pour l'ensemble de paramètres d'authentification à deux facteurs, entrez les nouveaux paramètres, assurez-vous que le nouveau nom est sélectionné pour la passerelle spécifique et enregistrez. Vous utilisez le workflow Modifier l'espace pour modifier les paramètres d'authentification à deux facteurs.

Conditions préalables

Si vous conservez l'authentification à deux facteurs activée pour l'une des passerelles, mais que vous modifiez les paramètres spécifiques, vérifiez que vous disposez des informations suivantes :

  • Lorsque le serveur d'authentification à deux facteurs est sur site, vérifiez que vous disposez des informations appropriées pour les champs suivants afin que les instances d'Unified Access Gateway de cette passerelle puissent résoudre le routage vers ce serveur.
    Option Description
    Adresses DNS Spécifiez une ou plusieurs adresses de serveurs DNS pouvant résoudre le nom de votre serveur d'authentification sur site.
    Routes Spécifiez une ou plusieurs routes personnalisées permettant aux instances Unified Access Gateway de l'espace de résoudre le routage réseau vers votre serveur d'authentification sur site.

    Par exemple, si vous disposez d'un serveur RADIUS sur site qui utilise 10.10.60.20 comme adresse IP, vous utiliserez 10.10.60.0/24 et votre adresse de passerelle de route par défaut en tant que route personnalisée. Vous obtenez votre adresse de passerelle de route par défaut dans la configuration Express Route ou VPN que vous utilisez pour cet environnement.

    Spécifiez les routes personnalisées dans une liste, séparées par des virgules, sous la forme ipv4-network-address/bits ipv4-gateway-address, par exemple : 192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2.

  • Vérifiez que vous disposez des informations suivantes utilisées dans la configuration de votre serveur d'authentification, afin de pouvoir les fournir dans les champs appropriés de l'assistant de déploiement de l'espace. Si vous disposez d'un serveur principal et d'un serveur secondaire, procurez-vous les informations pour chacun d'eux.

    • Adresse IP ou nom DNS du serveur d'authentification
    • Secret partagé utilisé pour le chiffrement et le déchiffrement dans les messages de protocole du serveur d'authentification
    • Numéros de port d'authentification, en général le port UDP 1812.
    • Type de protocole d'authentification. Les types d'authentification incluent PAP (Password Authentication Protocol), CHAP (Challenge Handshake Authentication Protocol), MSCHAP1, MSCHAP2 (Microsoft Challenge Handshake Authentication Protocol, versions 1 et 2).
      Note : Consultez la documentation de votre fournisseur RADIUS pour connaître le protocole d'authentification recommandé par votre fournisseur RADIUS et suivez le type de protocole indiqué. La capacité de l'espace à prendre en charge l'authentification à deux facteurs avec RADIUS est fournie par les instances d'Unified Access Gateway. En outre, Unified Access Gateway prend en charge PAP, CHAP, MSCHAP1 et MSCHAP2. PAP est généralement moins sécurisé que MSCHAP2. PAP est également un protocole plus simple que MSCHAP2. Par conséquent, même si la plupart des fournisseurs RADIUS sont compatibles avec le protocole PAP plus simple, certains fournisseurs RADIUS ne sont pas aussi compatibles avec le protocole MSCHAP2 plus sécurisé.

Procédure

  1. Ouvrez la fenêtre Modifier l'espace à partir de la page de détails de l'espace en cliquant sur Modifier.
  2. Dans la fenêtre Modifier l'espace, cliquez sur Suivant pour passer à l’étape Paramètres de la passerelle.
    Cette étape comporte une section relative à la configuration de la passerelle externe et une section relative à la configuration de la passerelle interne. L'interface utilisateur reflète la configuration actuelle de l'espace et les paramètres de la passerelle dont il dispose déjà.
  3. Positionnez la fenêtre sur le type de passerelle pour lequel vous souhaitez modifier l'authentification à deux facteurs, externe ou interne.
  4. Pour désactiver l'authentification à deux facteurs sur la passerelle, désactivez l'option Activer l'authentification à deux facteurs, puis accédez à l'Étape 10 pour enregistrer les modifications.
    Si l'authentification à deux facteurs est également activée sur l'autre passerelle et que vous souhaitez la désactiver, désactivez cette option dans la section de cette autre passerelle.
  5. Pour modifier les paramètres d'authentification à deux facteurs définis sur la passerelle, continuez avec les étapes suivantes.
    Vous créez un nom pour le nouvel ensemble de valeurs d'authentification à deux facteurs et enregistrez la configuration avec ce nouveau nom sélectionné pour cette section de passerelle dans la fenêtre.
  6. Dans le champ Nom, entrez un nom d'identification pour cette configuration.
  7. Dans la section Propriétés, spécifiez les détails relatifs à l'interaction des utilisateurs finaux avec l'écran de connexion qu'ils utiliseront pour s'authentifier pour l'accès.
    Option Description
    Nom d'affichage Vous pouvez laisser ce champ vide. Même si ce champ est visible dans l'assistant, il définit uniquement un nom interne dans Unified Access Gateway. Ce nom n'est pas utilisé par les instances d’Horizon Client.
    Afficher l'astuce Entrez éventuellement une chaîne de texte qui apparaîtra aux utilisateurs finaux dans le message sur l'écran de connexion du client de l'utilisateur final lorsqu'il demande à l'utilisateur son nom d'utilisateur et code secret RADIUS. L'astuce spécifiée apparaît à l'utilisateur final sous la forme Enter your DisplayHint user name and passcode, où DisplayHint est le texte que vous spécifiez dans ce champ.

    Cette astuce peut aider à guider les utilisateurs pour entrer le code secret RADIUS correct. Par exemple, spécifier une phrase semblable à Exemple de nom d'utilisateur de société et de mot de passe de domaine ci-dessous générerait un message à l'utilisateur final qui indique Enter your Example Company user name and domain password below for user name and passcode.

    Suffixe d'ID de nom Ce paramètre est utilisé dans les scénarios SAML, où votre espace est configuré pour utiliser TrueSSO pour l'authentification unique. Fournissez éventuellement une chaîne qui s'ajoutera au nom d'utilisateur de l'assertion SAML envoyé dans la demande au gestionnaire d'espace. Par exemple, si le nom d'utilisateur entré est user1 sur l'écran de connexion et si le suffixe d'ID de nom @example.com a été spécifié ici, un nom d'utilisateur d'assertion SAML user1@example.com est envoyé dans la demande.
    Nombre d'itérations Entrez le nombre maximal de tentatives d'authentification autorisé pour un utilisateur lors de la tentative de connexion à l'aide de ce système RADIUS.
    Conserver le nom d'utilisateur Activez cette option pour conserver le nom RADIUS de l'utilisateur lors de l'authentification dans Horizon Cloud. Lorsque cette option est activée :
    • l'utilisateur doit disposer des informations d’identification de nom d’utilisateur pour RADIUS identiques à celles utilisées pour son authentification Active Directory à Horizon Cloud.
    • l'utilisateur ne peut pas modifier le nom d'utilisateur dans l’écran de connexion.

    Si cette option est désactivée, l'utilisateur peut entrer un nom d'utilisateur différent dans l'écran de connexion.

    Note : Pour plus d'informations sur la relation entre l'activation de l'option Conserver le nom d'utilisateur et les paramètres de sécurité de domaine dans Horizon Cloud, reportez-vous à la section Paramètres de sécurité du domaine sur la page Paramètres généraux.
  8. Dans la section Serveur principal, spécifiez les détails sur le serveur d'authentification.
    Option Description
    Nom de l'hôte/Adresse IP Entrez le nom DNS ou l'adresse IP du serveur d'authentification.
    Secret partagé Entrez le code secret pour communiquer avec le serveur d'authentification. La valeur doit être identique à celle qui est configurée sur le serveur.
    Port d'authentification Spécifiez le port UDP configuré sur le serveur d'authentification pour l'envoi ou la réception du trafic d'authentification. Le port par défaut est 1812.
    Port de compte Vous pouvez éventuellement spécifier le port UDP configuré sur le serveur d'authentification pour envoyer ou recevoir le trafic de compte. Le port par défaut est 1813.
    Mécanisme Sélectionnez le protocole d'authentification pris en charge par le serveur d'authentification spécifié et que vous souhaitez que l'espace déployé utilise.
    Délai d'expiration de serveur Spécifiez le nombre de secondes pendant lequel l'espace doit attendre une réponse du serveur d'authentification. Lorsque ce nombre de secondes est écoulé, une nouvelle tentative est envoyée si le serveur ne répond pas.
    Nombre max. de tentatives Spécifiez le nombre maximal de fois que l'espace doit réessayer de renvoyer les demandes ayant échoué au serveur d'authentification.
    Préfixe de domaine Vous pouvez éventuellement fournir une chaîne que le système placera au début du nom d'utilisateur lors de l'envoi du nom au serveur d'authentification. L'emplacement du compte d'utilisateur est appelé domaine.

    Par exemple, si le nom d'utilisateur entré est user1 sur l'écran de connexion et que le préfixe de domaine DOMAIN-A\ a été spécifié ici, le système envoie DOMAIN-A\user1 au serveur d'authentification. Si vous ne spécifiez pas de préfixe de domaine, seul le nom d'utilisateur entré est envoyé.

    Suffixe de domaine Vous pouvez éventuellement fournir une chaîne que le système ajoutera au nom d'utilisateur lors de l'envoi du nom au serveur d'authentification. Par exemple, si le nom d'utilisateur entré est user1 sur l'écran de connexion et que le suffixe de domaine @example.com a été spécifié ici, le système envoie user1@example.com au serveur d'authentification.
  9. (Facultatif) Dans la section Serveur secondaire, spécifiez éventuellement les détails concernant un serveur d'authentification auxiliaire.
    Vous pouvez configurer un serveur d'authentification secondaire pour fournir la haute disponibilité. Activez l'option Serveur auxiliaire et remplissez les champs, comme décrit dans la section Serveur principal.
  10. Une fois que vous avez défini tous les paramètres souhaités, cliquez sur Enregistrer et quitter.
    Un message de confirmation s’affiche et vous demande de confirmer le démarrage du workflow.
  11. Cliquez sur Oui pour démarrer le workflow.

Résultats

Tant que le système n'a pas terminé le déploiement de la nouvelle configuration dans l'espace, la section de la page de résumé de l'espace de la passerelle sur laquelle vous avez ajouté l'authentification à deux facteurs affiche l'état En attente.

Une fois le workflow terminé, l'état indiquera Prêt et les paramètres de l'authentification à deux facteurs de la passerelle s'afficheront sur la page.

Note : Lors de l'exécution de ce workflow pour un espace dans Microsoft Azure Chine, l'exécution du processus peut prendre plus d’une heure. Le processus est soumis à des problèmes de réseau liés à la géographie, qui peuvent entraîner une baisse de la vitesse de téléchargement, du fait que les fichiers binaires sont téléchargés depuis le plan de contrôle de cloud.

Que faire ensuite

Important : Lorsque vous remplacez les valeurs des paramètres d'authentification à deux facteurs d'une passerelle par d'autres, avant que les utilisateurs finaux puissent de nouveau utiliser la passerelle qui comprend les nouvelles valeurs d'authentification à deux facteurs, vous devez effectuer les tâches suivantes.
  • Si vous avez configuré une passerelle externe avec des paramètres RADIUS et que le serveur RADIUS n'est pas accessible dans le même réseau virtuel que celui utilisé par l'espace, ou dans la topologie de réseau virtuel liée si vous avez déployé la passerelle externe dans son propre réseau virtuel, vérifiez que le serveur RADIUS que vous avez spécifié dans la configuration de passerelle autorise les connexions client à partir de l'adresse IP de l'équilibrage de charge de la passerelle externe. Dans une configuration de passerelle externe, les instances d'Unified Access Gateway tentent de contacter le serveur RADIUS à l'aide de cette adresse d'équilibrage de charge. Pour autoriser les connexions, assurez-vous que l'adresse IP de la ressource d'équilibrage de charge qui se trouve dans le groupe de ressources de la passerelle externe est spécifiée en tant que client dans la configuration du serveur RADIUS.
  • Si vous avez configuré une passerelle interne ou une passerelle externe et que votre serveur RADIUS est accessible dans le même réseau virtuel que celui utilisé par l'espace, vérifiez que le serveur RADIUS est configuré pour autoriser les connexions à partir des cartes réseau appropriées qui ont été créées dans le groupe de ressources de la passerelle dans Microsoft Azure. Votre administrateur réseau détermine la visibilité du réseau du serveur RADIUS sur le réseau virtuel Azure et les sous-réseaux de l'espace. Votre serveur RADIUS doit autoriser les connexions client à partir des adresses IP des cartes réseau de la passerelle qui correspondent au sous-réseau pour lequel votre administrateur réseau a accordé une visibilité réseau au serveur RADIUS. Le groupe de ressources de la passerelle dans Microsoft Azure a quatre cartes réseau qui correspondent à ce sous-réseau, deux qui sont actuellement actives pour les deux instances d'Unified Access Gateway et deux inactives qui deviennent actives après la mise à jour de l'espace. Pour prendre en charge la connectivité entre la passerelle et le serveur RADIUS pour les opérations d'espace en cours et après chaque mise à jour de l'espace, assurez-vous que les adresses IP de ces quatre cartes réseau sont spécifiées en tant que clients dans la configuration du serveur RADIUS.

Pour plus d'informations sur l'obtention de ces adresses IP, reportez-vous à la section Mettre à jour votre système RADIUS avec les informations de passerelle d'espace Horizon Cloud requises.