Vous pouvez configurer et modifier l'authentification par mot de passe (cloud) dans la console Workspace ONE Access, page Authentification d'entreprise, une fois que le service de synchronisation d'annuaire est configuré avec votre annuaire Active Directory.

Les zones de texte que vous configurez pour l'authentification par mot de passe (cloud) dépendent du type d'annuaire que vous sélectionnez. La liste suivante présente le type d'annuaires pour l'authentification par mot de passe.
  • Active Directory avec hôte et port fixes
  • Active Directory avec recherche DNS
  • Annuaire de catalogue global
  • Annuaire IWA
  • Annuaire LDAP

Pour savoir comment le service de synchronisation d'annuaire s'intègre à votre annuaire Active Directory, consultez le Guide d'intégrations d'annuaires à Workspace ONE Access.

Conditions préalables

  • Le service de synchronisation d'annuaire est installé sur une instance de Workspace ONE Access Connector.
  • Les annuaires sont configurés dans la section Identité et gestion de l'accès de la console Workspace ONE Access.
  • Les attributs utilisateur sont correctement mappés à Active Directory.

Procédure

  1. Dans l'onglet Gestion des identités et des accès de la console Workspace ONE Access, sélectionnez Gérer > Méthodes d'authentification d'entreprise.
  2. Cliquez sur NOUVEAU, puis sélectionnez Mot de passe (déploiement de Cloud).
  3. Dans l'écran Annuaire et hôtes, sélectionnez l'annuaire et l'hôte de service à configurer avec l'authentification par mot de passe.
  4. Sur la page Configuration, configurez la méthode d'authentification par mot de passe (cloud).
    Type d'annuaire Option Action
    Tous les types Nombre de tentatives d'authentification autorisées. Entrez le nombre maximal de tentatives de connexion échouées lors de l'utilisation de l'authentification par mot de passe sur un annuaire. La valeur par défaut est de 2 tentatives.
    Tous les types Type d'annuaire Sélectionnez le type d'annuaire que vous avez configuré lorsque vous avez installé le service de synchronisation d'annuaire sur le serveur de connecteur.

    Active Directory avec hôte et port fixes Port du serveur Sélectionnez le port utilisé pour Active Directory, soit 389, soit 636 pour les requêtes LDAP standard.

    Pour les requêtes de catalogue global, entrez les ports 3268 ou 3269.

    Active Directory avec hôte et port fixes Hôte du serveur Sélectionnez une ou plusieurs instances de service de synchronisation d'annuaire à utiliser.
    Tous les types Mode de communication Le mode de base est sélectionné par défaut. Vous pouvez modifier le mode de communication.
    • Sélectionnez SSL, si SSL/TLS est utilisé pour la communication avec l'annuaire.
    • Sélectionnez STARTTLS, si l'emplacement du service DNS et SSL sont utilisés pour la communication avec l'annuaire. Ajoutez les certificats.
    Tous les types Certificat de l'annuaire Si l'annuaire d'entreprise nécessite un accès via SSL, copiez et collez le certificat SSL de l'autorité de certification racine du serveur d'annuaire d'entreprise dans la zone de texte. Assurez-vous que le certificat est au format PEM et incluez les lignes « BEGIN CERTIFICATE » et « END CERTIFICATE ».
    Active Directory avec recherche DNS Utiliser l'emplacement du service DNS Cochez cette case pour utiliser les enregistrements d'emplacement du service DNS pour localiser les domaines Active Directory.

    Si vous n'utilisez pas la recherche d'emplacement de service DNS, décochez la case et entrez le nom d'hôte et le port du serveur Active Directory.

    • Active Directory avec hôte et port fixes
    • Active Directory avec recherche DNS
    • Annuaire IWA
    • Annuaire LDAP
    DN de base Entrez le DN à partir duquel commencer les recherches dans l'annuaire. Par exemple, cn=users,dc=example,dc=com.
    Tous les types Nom unique de liaison/nom d'utilisateur (IWA) Entrez le nom d'utilisateur à utiliser pour rechercher des utilisateurs. Par exemple : CN=binduser,OU=myUnit,DC=myCorp,DC=com.
    Note : Il est recommandé d'utiliser un compte d'utilisateur à nom unique de liaison avec un mot de passe sans date d'expiration.
    Tous les types Mot de passe de liaison Entrez le mot de passe de l'utilisateur à nom unique de liaison.
    • Active Directory avec hôte et port fixes
    • Active Directory avec recherche DNS
    • Annuaire IWA
    Attribut de recherche Entrez l'attribut de compte qui contient le nom de l'utilisateur. Il peut s'agir de sAMAcountName, UPN ou Personnalisé.
    • Annuaire LDAP
    Attribut de recherche d'annuaire personnalisé pour les utilisateurs Lorsque vous entrez Personnalisé dans la zone de texte Attribut de recherche, entrez l'attribut de recherche personnalisé à utiliser pour interroger votre annuaire LDAP afin d'obtenir les noms d'utilisateur et de groupe. Par exemple, UID.
    • Active Directory avec hôte et port fixes
    • Active Directory avec recherche DNS
    • Annuaire IWA
    Requête de filtre pour obtenir des utilisateurs AD. Entrez les filtres de recherche utilisés pour interroger votre annuaire d'entreprise.
    • Filtre de recherche de groupes pour obtenir des groupes. Par exemple, (objectClass=groupOfNames).
    • Filtre de recherche d'utilisateurs pour obtenir des utilisateurs à synchroniser. Par exemple, (&(objectClass=user) (objectCategory=person))
    • Active Directory avec hôte et port fixes
    • Active Directory avec recherche DNS
    • Annuaire IWA
    • Annuaire de catalogue global
    Format d'ID de nom SAML Entrez la valeur nameIdFormat utilisée pour identifier l'utilisateur après l'authentification. Par défaut, la valeur est l'attribut UID de recherche d'annuaire.
    Tous les types Fonctionnalité de modification du mot de passe activée Activez cette fonctionnalité pour permettre aux utilisateurs de réinitialiser leurs mots de passe Active Directory à partir de la page de connexion à Workspace ONE Access.
    Tous les types Afficher le domaine sur la page de connexion Activez cette option pour afficher le domaine système comme option lorsque des utilisateurs se connectent. Si cette option est désactivée et si seul un domaine est disponible, la page de sélection de domaine ne s'affiche pas.
  5. Cliquez sur SUIVANT pour vérifier la configuration, puis cliquez sur ENREGISTRER.

Résultats

Que faire ensuite

Ajoutez un mot de passe (déploiement de Cloud) comme méthode d'authentification au fournisseur d'identité intégré.

Ajoutez la méthode d'authentification à la stratégie d'accès par défaut. Accédez à la page Identité et gestion de l'accès > Gérer > Stratégies, puis modifiez les règles de stratégie par défaut pour ajouter la méthode d'authentification par mot de passe à la règle. Voir #GUID-25549B4D-F2D7-4658-85CB-53EED8149438.