Configurez le service d'authentification utilisateur dans Workspace ONE Access Connector pour utiliser la méthode d'authentification RADIUS (déploiement de cloud) basée sur le connecteur lorsque les utilisateurs se connectent à Workspace ONE. Vous activez la méthode d'authentification RADIUS et configurez les paramètres RADIUS dans la console Workspace ONE Access.

Conditions préalables

  • Installez et configurez le logiciel RADIUS sur un serveur de gestion de l'authentification. Étant donné que les solutions d'authentification à deux facteurs RADIUS fonctionnent avec des gestionnaires d'authentification installés sur des serveurs distincts, le serveur RADIUS doit être configuré et accessible au service Workspace ONE Access. Pour l'authentification RADIUS, suivez la documentation de configuration du fournisseur.

    Les informations suivantes sur le serveur RADIUS sont nécessaires à la configuration de RADIUS sur le service Workspace ONE Access.

    • Adresse IP ou nom DNS du serveur RADIUS.
    • Numéros de port d'authentification. En général, le port d'authentification est le port 1812.
    • Type d'authentification. Les types d'authentification incluent PAP (Password Authentication Protocol), CHAP (Challenge Handshake Authentication Protocol), MSCHAP1, MSCHAP2 (Microsoft Challenge Handshake Authentication Protocol, versions 1 et 2).
    • Code secret partagé RADIUS utilisé pour le chiffrement et le déchiffrement dans les messages de protocole RADIUS.
    • Valeurs du délai d'expiration et de nouvelle tentative nécessaires pour l'authentification RADIUS.
  • Le service d'authentification utilisateur est installé en tant que composant de Workspace ONE Access Connector.

Procédure

  1. Dans la console Workspace ONE Access, sur la page Intégrations > Méthodes d'authentification du connecteur, cliquez sur NOUVEAU et sélectionnez RADIUS (déploiement de Cloud).
  2. Pour procéder à la configuration avec cette méthode d'authentification, sélectionnez le Répertoire et l'Hôte de service, puis cliquez sur SUIVANT.
  3. Configurez les paramètres de la méthode d'authentification RADIUS.
    Option Action
    Nombre de tentatives d'authentification autorisées Entrez le nombre maximum de tentatives de connexion échouées lorsque vous utilisez RADIUS pour vous connecter. La valeur par défaut est de cinq tentatives.
    Conseil pour la phrase secrète de la page de connexion Entrez la chaîne de texte à afficher dans le message sur la page de connexion utilisateur pour demander aux utilisateurs d'entrer le code secret RADIUS approprié. La chaîne de texte par défaut est Code secret RADIUS. Le message par défaut est Entrez le code secret RADIUS.
    Indication de phrase secrète personnalisée pour la page de connexion Si vous entrez une indication de phrase secrète personnalisée dans cette zone de texte, cette indication s'affiche comme message sur la page de connexion de l'utilisateur à la place de l'indication de phrase secrète de la page de connexion. Par exemple, si la zone de texte est configurée avec Entrez votre mot de passe AD en premier, puis le code secret SMS, le message sur la page de connexion indique Entrez votre mot de passe AD en premier, puis le code secret SMS.
    Activer l'authentification directe sur le serveur RADIUS Remplacez NON par OUI pour activer l'authentification utilisateur directe. Les utilisateurs ne sont pas tenus d'entrer de nouveau leurs informations d'identification. Dans ce cas, le même nom d'utilisateur est utilisé pour le mot de passe.

    Activez cette option uniquement lorsque le challenge d'accès est configuré dans le serveur RADIUS.

    Pour utiliser l'authentification directe sur le serveur RADIUS, vous devez configurer le nom d'utilisateur de la même manière sur le serveur RADIUS et dans Active Directory. Notez qu'un nom d'utilisateur JSmith dans Active Directory ne correspond pas à jsmith sur le serveur RADIUS.

    Nombre de tentatives d'accès au serveur RADIUS Spécifiez le nombre total de nouvelles tentatives. Si le serveur principal ne répond pas, le service attend l'heure configurée avant de réessayer.
    Délai d'attente du serveur en secondes

    Entrez le délai d'attente du serveur RADIUS en secondes, après lequel une nouvelle tentative est envoyée si le serveur RADIUS ne répond pas.

    Adresse/Nom d'hôte du serveur RADIUS (Facultatif) Entrez le nom de l'hôte ou l'adresse IP du serveur RADIUS.
    Port d'authentification Entrez le numéro du port d'authentification RADIUS. En général, il s'agit du port 1812.
    Port de gestion Entrez 0 pour le numéro de port. Le port de gestion n'est actuellement pas utilisé.
    Type d'authentification Entrez le protocole d'authentification pris en charge par le serveur RADIUS. PAP, CHAP, MSCHAP1 ou MSCHAP2.
    Code secret partagé Entrez le code secret partagé utilisé entre le serveur RADIUS et le service Workspace ONE Access.
    Préfixe du domaine (Facultatif) L'emplacement du compte d'utilisateur est appelé le domaine. Entrez le préfixe du domaine à utiliser.

    Si vous entrez une chaîne de préfixe du domaine, la chaîne est placée au début du nom d'utilisateur lorsque le nom est envoyé au serveur RADIUS. Par exemple, si le nom d'utilisateur entré est jdoe et que le préfixe de domaine DOMAIN-A\ est spécifié, le nom d'utilisateur DOMAIN-A\jdoe est envoyé au serveur RADIUS. Si vous ne configurez pas les zones de texte du domaine, seul le nom d'utilisateur entré est envoyé.

    Suffixe du domaine (Facultatif) Si vous spécifiez un suffixe du domaine, la chaîne est placée à la fin du nom d'utilisateur. Par exemple, si le suffixe est @myco.com, le nom d'utilisateur [email protected] est envoyé au serveur RADIUS.
    Activer la validation MSCHAPv2 de base Remplacez NON par OUI pour activer la validation MS-CHAPv2 de base. Si cette option est définie sur OUI, la validation supplémentaire de la réponse du serveur RADIUS est ignorée. Par défaut, la validation complète est effectuée.
  4. Vous pouvez activer un serveur RADIUS secondaire pour une haute disponibilité.
    Configurez le serveur secondaire comme décrit à l'étape 4.
  5. Cliquez sur SUIVANT pour vérifier la configuration, puis cliquez sur ENREGISTRER.
    Capture d'écran de la page de configuration du serveur

Que faire ensuite

Ajoutez RADIUS en tant que méthode d'authentification à la page de configuration du fournisseur d'identité intégré.

Ajoutez la méthode d'authentification RADIUS à la stratégie d'accès par défaut. Dans la console, accédez à la page Ressources > Stratégies et modifiez les règles de stratégie par défaut pour ajouter la méthode d'authentification RADIUS à la règle. Reportez-vous à la section Gestion des stratégies d'accès dans le service Workspace ONE Access.

Pour la haute disponibilité, associez cette méthode d'authentification RADIUS à d'autres instances de Workspace ONE Access Connector enregistrées sur lesquelles le composant d'authentification de l'utilisateur du service d'entreprise est installé.