Professional Documents
Culture Documents
Citrix Password Manager 4.6 Citrix Presentation Server 4.5 Feature Pack 1, dition Platinum
Avis de copyright et de marque dpose L'utilisation du produit document dans ce guide est sujette votre acceptation pralable du Contrat de licence de l'utilisateur final. Une version imprimable du Contrat de licence d'utilisateur final figure sur le CD-ROM du produit. Les informations contenues dans ce document peuvent faire l'objet de modifications sans pravis. Sauf mention contraire, les socits, noms et donnes utiliss dans les exemples fournis sont fictifs. Aucune partie de ce document ne peut tre reproduite ou transmise, sous quelque forme, par quelque moyen, lectronique ou mcanique, et pour quelque motif que ce soit, sans l'autorisation expresse et crite de Citrix Systems, Inc. Citrix Password Manager remplace des cls de cryptage d'utilisateurs finaux spcifiques chaque fois que leur mthode d'authentification principale est modifie, par exemple par un changement de mot de passe de domaine ou l'mission d'une nouvelle carte puce. Il est possible de configurer Password Manager pour qu'il effectue cette opration automatiquement en utilisant le module de gestion des cls fourni en option. Password Manager peut galement tre configur pour utiliser l'API de protection des donnes de Microsoft (DPAPI). Lorsque vous utilisez le module de gestion des cls en option et/ou le DPAPI, notez que les administrateurs sont en mesure d'accder aux informations d'identification personnelles ou professionnelles d'un utilisateur stockes dans Password Manager, s'ils se connectent sous le compte de cet utilisateur final. Pour plus de scurit, les utilisateurs finaux peuvent tre invits vrifier leur identit l'aide d'informations uniques fournies au systme. Ceci offre une couche de protection supplmentaire pour les informations d'identification secondaires de l'utilisateur. Des rglementations informatiques au niveau des gouvernements rgionaux peuvent ncessiter d'avertir vos utilisateurs finaux des ventuelles implications pour la scurit et la confidentialit du dploiement de configurations de scurit du module de gestion des cls et de DPAPI. Passez en revue les rgles de votre socit et dterminez, le cas chant, le type de notification requis pour vos utilisateurs finaux. 2003-2007 Citrix Systems, Inc. Tous droits rservs. v-GO code 1998-2003 Passlogix, Inc. Tous droits rservs. Citrix, ICA (Independent Computing Architecture) et Program Neighborhood sont des marques dposes ;Citrix Presentation Server, Citrix Password Manager et SpeedScreen sont des marques dposes de Citrix Systems, Inc. aux tats-Unis et dans d'autres pays. Cryptage RSA 1996-1997 RSA Security Inc. Tous droits rservs. Ce produit inclut des composants logiciels dvelopps par The Apache Software Foundation (http://www.apache.org/). Ce produit inclut un logiciel dvelopp par Salamander Software Ltd. 2002 Salamander Software Ltd. Parties 2003 Citrix Systems, Inc. Tous droits rservs. Gestion des licences : les droits de certaines sections de la prsente documentation relatives Globetrotter, Macrovision et FLEXlm appartiennent 2003-2006 Macrovision Corporation et/ou Macrovision Europe Ltd. Tous droits rservs. Reconnaissances de marques Adobe, Acrobat et PostScript sont soit des marques, soit des marques dposes d'Adobe Systems Incorporated aux tats-Unis et/ou dans d'autres pays. Java, Sun et SunOS sont des marques ou des marques dposes de Sun Microsystems, Inc. aux tats-Unis et dans d'autres pays. Solaris est une marque dpose de Sun Microsystems, Inc. Sun Microsystems, Inc. n'a pas test ni approuv ce produit. Certaines parties de ce logiciel sont bases sur le travail du groupe Independent JPEG Group. Certaines parties de ce logiciel contiennent du code d'images appartenant Pegasus Imaging Corporation, Tampa, FL et protg par copyright. Tous droits rservs. Macromedia et Flash sont des marques ou des marques dposes de Macromedia, Inc. aux tats-Unis et/ou dans d'autres pays. Microsoft, MS-DOS, Windows, Windows Vista, Windows Media, Windows Server, Windows NT, Win32, Outlook, ActiveX, Active Directory et DirectShow sont soit des marques dposes, soit des marques de fabrique, de commerce ou de service de Microsoft Corporation aux tats-Unis et/ou dans d'autres pays. Netscape et Netscape Navigator sont des marques dposes de Netscape Communications Corp. aux tats-Unis et/ou dans d'autres pays. Novell Directory Services, NDS et NetWare sont des marques dposes de Novell, Inc. aux tats-Unis et dans d'autres pays. Novell Client est une marque de Novell, Inc. RealOne est une marque de RealNetworks, Inc. Gestion des licences : Globetrotter, Macrovision et FLEXlm sont des marques et/ou des marques dposes de Macrovision Corporation. Toutes les autres marques et marques dposes sont la proprit de leurs dtenteurs respectifs. Code de document : 6 septembre 2007 (FA)
Bienvenue . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Composants de Password Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13 Le magasin central. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14 La Console Password Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14 LAgent Password Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15 Le Service Password Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .17 Gamme de produits Password Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18 Password Manager dition Advanced . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18 Password Manager dition Enterprise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18 Comparatif entre les deux ditions de Password Manager. . . . . . . . . . . . . . . . . . . . . . . .19 Nouvelles fonctionnalits de Citrix Password Manager 4.6. . . . . . . . . . . . . . . . . . . . . . .20 Informations propos de ce document. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21 Lectorat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22 Commentaires propos de ce document. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22 Conventions typographiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22 Complment d'informations et aide . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23 Documentation produit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23 Assistance technique et services disponibles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25 Subscription Advantage. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26 Formations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26
Utilisation des stratgies de mot de passe pour appliquer les critres de mot de passe. . 27
Prsentation des stratgies de mot de passe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27 Groupes de partage de mot de passe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .28 Groupes de partage de mot de passe de domaine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29 Application des stratgies de mot de passe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29
Cration de stratgies de mot de passe : l'assistant de stratgie de mot de passe . . . . . . . . .30 Dfinition des rgles de mot de passe de base . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .31 Dfinition des rgles pour les caractres alphabtiques . . . . . . . . . . . . . . . . . . . . . . . . . .31 Dfinition des rgles pour les caractres numriques. . . . . . . . . . . . . . . . . . . . . . . . . . . .32 Dfinition des rgles pour les caractres spciaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .32 Dfinition de rgles d'exclusion (exclusion de caractres spcifiques) . . . . . . . . . . . . . .33 Dfinition de l'historique et de l'expiration du mot de passe . . . . . . . . . . . . . . . . . . . . . .34 Test de la stratgie de mot de passe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .35 Prfrences d'authentification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .36 Personnalisation de l'assistant de modification de mot de passe . . . . . . . . . . . . . . . . . . .37 Augmentation de la force des mots de passe et renforcement de la scurit dans votre environnement. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .38
Dfinitions d'applications de type Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .52 Rassemblement des informations requises pour les dfinitions d'applications Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .53 Processus de dfinition de formulaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .53 Utilisation de la correspondance avance pour identifier les formulaires Windows . . . .60 Informations de la classe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .60 Recherche de correspondance du contrle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .62 Informations de session SAP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .64 Identificateur de fentre. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .65 Extensions d'identification. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .65 Utilisation de l'diteur d'action pour dfinir la squence d'actions des formulaires. . . . .66 Processus de dfinition d'une squence d'actions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .67 Description des actions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .68 Considrations sur les dfinitions de type Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . .70 Dfinitions d'applications de type Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .71 Rassemblement des informations requises pour les dfinitions d'applications Web . . . .72 Processus de dfinition de formulaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .72 Nom du formulaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .73 Identification du formulaire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .74 Autres rglages. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .75 Confirmation des rglages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .75 Assistant de formulaire Web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .76 Redirection vers une application Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .76 Bote de dialogue Paramtres avancs pour les applications Web . . . . . . . . . . . . . . . . . . . .77 Dfinitions d'applications de type Hte/mainframe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .79 Rassemblement des informations requises pour les dfinitions d'applications hte . . . .80 Processus de dfinition de formulaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .80 Paramtres avancs pour les applications hte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .85 Considrations sur les dfinitions de type hte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .86 Prise en charge de l'mulation de terminal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .87 Dfinition de champs dans mfrmlist.ini . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .89
Cration d'une configuration utilisateur : l'assistant de configuration utilisateur . . . . . . . . .98 Nom de la configuration utilisateur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .99 Slection de l'dition du produit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .100 Dfinition du serveur de synchronisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .100 Choix d'applications. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .100 Configuration de l'interaction de l'Agent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .102 Configuration du systme de licences. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .109 Slection des mthodes de protection des donnes. . . . . . . . . . . . . . . . . . . . . . . . . . . . .110 Slection de la protection secondaire des donnes . . . . . . . . . . . . . . . . . . . . . . . . . . . . .113 Activer les fonctions autonomes de compte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .114 Emplacement des modules du service. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .115 Fin de l'assistant de configuration utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .115 Synchronisation des informations d'identification l'aide de la fonction Association de comptes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .115 Pour synchroniser manuellement les dfinitions d'application entre les domaines. . . . . . .118 Configuration de la fonction Association de comptes dans l'Agent. . . . . . . . . . . . . . . .120 Rinitialisation et suppression des donnes utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . .121 Rinitialisation des donnes utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .121 Supprimer les informations utilisateur du magasin central. . . . . . . . . . . . . . . . . . . . . . .123 Invite des utilisateurs renregistrer leurs questions de scurit. . . . . . . . . . . . . . . . . . . . .124 Affectation d'une priorit aux configurations utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . .125 Affectation d'une configuration utilisateur diffrents utilisateurs. . . . . . . . . . . . . . . . . . .126 Mise niveau des configurations utilisateur existantes . . . . . . . . . . . . . . . . . . . . . . . . . . . .127
Conception des questions de scurit : compromis entre maintien de la scurit et simplicit d'utilisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .139 Notions importantes lies aux questions de scurit. . . . . . . . . . . . . . . . . . . . . . . . . . . .140 Gestion de vos questions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .141 Configuration d'une langue par dfaut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .141 Cration de questions de scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .142 Ajout ou modification du texte de questions existantes (y compris les traductions) . . .143 Cration de groupes de questions de scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .145 Cration et utilisation du questionnaire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .147 Slection de questions pour la rcupration de cl . . . . . . . . . . . . . . . . . . . . . . . . . . . . .148 Activation du masquage des rponses de scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . . .149 Rtrocompatibilit avec Password Manager versions 4.0 et 4.1 . . . . . . . . . . . . . . . . . . . . .151 Activation du renregistrement des rponses aux questions de scurit . . . . . . . . . . . . . . .152
7 Autorisation des utilisateurs grer leurs informations d'identification principales avec les fonctions autonomes de compte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
Prsentation des fonctions autonomes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .154 Considrations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .154 Utilisation de la gestion automatique de cls avec les fonctions autonomes . . . . . . . . .155 Rsum des tches d'implmentation des fonctions autonomes . . . . . . . . . . . . . . . . . . . . .155 Oubli des questions de scurit par l'utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .156 Exprience pour l'utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .156
10 Oprations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
Journalisation des vnements de Password Manager. . . . . . . . . . . . . . . . . . . . . . . . . . . . .203 Fichier Mfrmlist.ini . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .206 L'Agent Password Manager ne soumet pas les informations d'identification . . . . . . . . . . .206 Applications Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .207 Applications d'mulation de terminal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .207 Prise en charge des mulateurs de terminal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .208 Configuration de la prise en charge HLLAPI pour les mulateurs tests . . . . . . . . . . .209 L'Agent Password Manager ne dmarre pas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .210 Mises jour logicielles et chane GINA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .210 Cration d'un certificat de signature . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .211 Signature, retrait de signature, renouvellement de signature et vrification des donnes. .212 Signature des donnes (-s). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .213 Renouvellement de la signature de donnes (-r). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .214 Retrait de la signature des donnes (-u) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .215 Vrification des donnes (-v) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .216 Affichage de l'aide (-h) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .217 Activation et dsactivation du service d'intgrit des donnes dans l'Agent Password Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .217 limination d'objets supprims dans le magasin central . . . . . . . . . . . . . . . . . . . . . . . . . . .217 Dplacement des donnes vers un autre magasin central . . . . . . . . . . . . . . . . . . . . . . . . . .218 Migration de donnes vers un nouveau magasin central . . . . . . . . . . . . . . . . . . . . . . . .219 Sauvegarde des fichiers importants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .221 Sauvegarde des fichiers du service Password Manager . . . . . . . . . . . . . . . . . . . . . . . . .221
10
11
14 Codes clavier virtuel pour les applications d'hte et les applications Windows . . . . . . . . 269
Codes pour VTabKeyN (Windows) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .269 Codes pour VirtualKeyCode (Windows) et VKEY (Windows) . . . . . . . . . . . . . . . . . . . . .270 Codes clavier virtuel pour les mulateurs de terminal HLLAPI . . . . . . . . . . . . . . . . . . . . .271
12
Bienvenue
A l'aide de l'authentification unique, Citrix Password Manager offre un accs sr et protg par mot de passe aux applications d'hte, Windows et Web excutes dans un environnement Citrix ou localement. Les utilisateurs s'authentifient une fois, puis Password Manager ouvre automatiquement des sessions dans les systmes protgs par mot de passe, applique les stratgies de mot de passe, surveille tous les vnements associs aux mots de passe et peut mme automatiser certaines tches de l'utilisateur, telles que la modification des mots de passe. Ce chapitre dcrit les points suivants : Composants de Password Manager , page 13 Gamme de produits Password Manager , page 18 Informations propos de ce document , page 21 Complment d'informations et aide , page 23
14
Le magasin central
Le magasin central est un stockage centralis permettant Password Manager de stocker et de grer les donnes utilisateur et d'administration. Les donnes utilisateur comprennent notamment les informations d'identification, les rponses aux questions de scurit et d'autres donnes relatives l'utilisateur. Les donnes d'administration incluent les stratgies de mot de passe, les dfinitions d'application, les questions de scurit et d'autres donnes de porte plus large. Lorsqu'un utilisateur ouvre une session, Password Manager compare ses informations d'identification celles stockes dans le magasin central. Lorsque l'utilisateur ouvre des applications ou des pages Web protges par mot de passe, les informations d'identification adquates sont extraites du magasin central.
Bienvenue
15
caractres exclure dans les mots de passe et la rutilisation des mots de passe prcdents. La cration de stratgies de mot de passe cohrentes avec les stratgies de scurit de votre entreprise garantit une bonne gestion de la scurit des mots de passe par Password Manager. Vrification d'identit Les questions de scurit cres offre une couche de scurit supplmentaire l'Agent en protgeant contre l'usurpation d'identit, les modifications de mot de passe et les dverrouillages de compte non autoriss. Les utilisateurs qui s'inscrivent et qui rpondent vos questions de scurit peuvent ensuite vrifier leur identit en fournissant les mmes rponses aux questions. Une fois la vrification effectue, les utilisateurs peuvent accomplir les tches des fonctions autonomes sur leur compte, comme la rinitialisation de leur mot de passe principal ou le dverrouillage de leur compte utilisateur. Les questions de scurit peuvent galement servir la rcupration de cls.
16
informations d'identification. Les utilisateurs peuvent galement y enregistrer leurs questions de scurit et accder l'aide en ligne. Le menu Fichier permet d'accder de nombreuses fonctionnalits : La commande Nouvelles informations d'identification permet d'ajouter de nouvelles informations d'identification pour les applications Windows, Web ou hte dans Password Manager. La commande Proprits permet d'accder aux proprits associes aux informations d'identification de l'application spcifie. L'utilisateur peut alors modifier son mot de passe, son ID utilisateur et d'autres informations d'identification. La commande Supprimer efface les informations d'identification de l'utilisateur pour l'application slectionne partir du Gestionnaire d'informations d'identification. La commande Copier fournit une copie des informations d'identification slectionnes, que l'utilisateur peut modifier pour crer diffrents ensembles d'informations d'identification pour diffrentes applications.
Les autres commandes accessibles par les utilisateurs sont notamment : La commande Rvler les mots de passe, disponible depuis le menu Affichage, permet l'utilisateur d'afficher les mots de passe des applications figurant dans le Gestionnaire d'informations d'identification. Remarque : les paramtres de stratgie de mot de passe relatifs l'affichage des mots de passe ont priorit sur cette commande. Si vous ne souhaitez pas que les utilisateurs rvlent le mot de passe d'une application, dfinissez une stratgie cette fin. La commande Enregistrement des questions de scurit, disponible dans le menu Outils, permet l'utilisateur de redmarrer l'assistant d'enregistrement des questions de scurit et de fournir de nouvelles rponses aux questions de scurit. La commande Association de comptes, dans le menu Outils, permet l'utilisateur de crer une association entre des comptes dans diffrents domaines. Cette fonctionnalit permet de synchroniser les informations d'identification. Les modifications de mot de passe sont rpercutes sur les diffrents domaines.
Bienvenue
17
Configuration de nouvelle ouverture de session automatise Les utilisateurs peuvent configurer rapidement de nouvelles informations d'identification l'aide de cet assistant. L'Agent Password Manager dtecte la demande d'informations d'identification par une application ou un site Web. Si les informations d'identification de l'utilisateur ne sont pas dj stockes dans Password Manager, l'assistant Nouvelles informations d'identification s'affiche automatiquement et propose leur enregistrement.
Mobilit de l'utilisateur L'Agent Password Manager prend en charge les utilisateurs distants et itinrants. En se procurant une licence avant de se dconnecter, les utilisateurs distants peuvent accder leurs informations d'identification, qu'ils soient ou non dconnects du rseau de l'entreprise. Les utilisateurs itinrants peuvent se dplacer d'un ordinateur un autre et plusieurs utilisateurs peuvent partager une mme station de travail en toute scurit.
Si vous ne mettez pas en place ces modules, n'installez pas le service Password Manager. Veuillez consulter la section Installation et configuration du service Password Manager du Guide d'installation Citrix Password Manager pour plus d'informations sur le Service Password Manager.
18
En outre, Citrix Presentation Server 4.5 Feature Pack 1, dition Platinum, compte une fonctionnalit comparable Password Manager, dition Enterprise nomme Single Sign-on Powered by Password Manager .
L'dition Advanced interagit galement de manire efficace avec d'autres programmes, ce qui simplifie le stockage des informations d'identification ainsi que vos oprations de maintenance pour ce processus et ces informations.
Bienvenue
19
fournit des fonctions de scurit d'entreprise, telles que l'intgration avec des cartes puce et la prise en charge de Kerberos et du Support denvironnement fdr (ADFS et SAML).
Fonctions de scurit Modification automatique des mots de passe Modification transparente des mots de passe Mots de passe crypts en mmoire, stocks et en cours de transmission Application de la stratgie de mot de passe - modification automatique des mots de passe Application de la stratgie de mot de passe - modification manuelle des mots de passe Expiration du mot de passe Prise en charge biomtrique et jetons de mots de passe
dition Advanced X X X X X X X
dition Enterprise X X X X X X X
20
Fonctions de scurit Prise en charge des cartes puce Assurance d'intgrit des donnes cryptographiques Prise en charge de Kerberos et des environnements fdrs (ADFS, SAML)
dition Advanced
dition Enterprise X
X X
Fonctions d'administration Habilitation par lots Intgration aux produits d'habilitation des utilisateurs Prise en charge des partages de fichiers Windows NT Prise en charge de Microsoft Active Directory Prise en charge des partages rseau Novell NetWare Prise en charge des rpertoires LDAP Administration via les groupes Active Directory Prise en charge de Citrix Streaming Server Console Citrix Access Management Console Systme de licences intgr la version Platinum Compatibilit Windows Server 2003 64 bits Licences d'utilisateur dsign Licences Utilisateurs simultans (Citrix Password Manager pour Presentation Server uniquement)
Bienvenue
21
22
Lectorat
Ce document est destin aux administrateurs du systme et de la scurit qui effectuent la mise en place de Password Manager. Le lecteur doit possder une connaissance de base de l'administration Windows Server. Une exprience de Novell NetWare est galement ncessaire s'il s'agit de la plate-forme utilise pour installer ou grer Password Manager.
Conventions typographiques
La documentation des produits Citrix utilise les conventions typographiques suivantes pour dsigner les menus, les commandes, les touches de clavier et les lments de l'interface.
Convention Gras Signification Indique une commande, le nom d'un lment de l'interface tel qu'une zone de texte ou un bouton, ou des donnes entres par l'utilisateur. Signale un emplacement rserv des informations ou des paramtres que vous devez fournir. Par exemple, si une procdure vous demande d'entrer un nom de fichier vous devez entrer le nom d'un fichier. L'italique peut galement indiquer un terme nouveau ou le titre d'un document. Fait rfrence au rpertoire systme Windows. Il peut s'agir de WTSRV, WINNT, WINDOWS ou d'un autre nom dfini lors de l'installation de Windows. Correspond du texte figurant dans un fichier texte. Renferment une srie d'lments dont l'un est ncessaire l'instruction. Par exemple, { yes | no } indique que vous devez spcifier yes ou no. N'entrez pas les accolades. Renferment les lments facultatifs des instructions. Par exemple, [/ping] indique que vous pouvez entrer /ping avec la commande. N'entrez pas les crochets. Spare les lments entre crochets ou accolades dans les instructions. Par exemple, { /hold | /release | /delete } indique que vous devez taper /hold, /release ou /delete.
Italique
%SystemRoot%
{accolades}
[crochets]
| (barre verticale)
Bienvenue
23
Signification Indique que vous pouvez rpter le ou les lments prcdents dans les instructions. Par exemple, / route:NomPriphrique[,] indique que vous pouvez taper plusieurs noms de priphrique en les sparant par des virgules.
Documentation produit
Password Manager contient une vaste bibliothque de documentations. La plupart des publications de cette documentation sont disponibles sur le site Web de Citrix (http://www.Citrix.com). Le fichier Read_Me_First.html, situ dans le dossier Documentation du CD-ROM du produit, contient des liens directs vers la documentation.
Password_Manager_Read_Me_First
Ce document, dont l'autre titre est Bienvenue dans Citrix Password Manager, se trouve dans le dossier Documentation du CD-ROM du produit. Le document contient des liens directs vers la bibliothque de documentation Password Manager sur le site Web de Citrix.
24
Fichier LisezMoi
Le fichier LisezMoi fournit des informations sur les fonctionnalits de Password Manager, les problmes connus, les modifications et d'autres informations importantes dveloppes aprs la publication du Guide de l'administrateur de Citrix Password. Lisez-le attentivement avant d'installer Password Manager. Il se trouve sur le site Web de Citrix et est accessible directement depuis le fichier Password_Manager_Read_Me_First.html.
Check-list d'installation
Ce document fournit des instructions brves et concises pour les administrateurs connaissant dj les procdures d'installation de Password Manager. Il offre une approche large du processus et n'est pas destin remplacer ce Guide d'installation. Il se trouve sur le site Web de Citrix et est accessible directement depuis le fichier Read_Me_First.html.
Bienvenue
25
26
Une autre source d'assistance, les services Citrix Preferred Support Services, vous propose une gamme d'options permettant de personnaliser le niveau et le type d'assistance pour les produits Citrix utiliss dans votre entreprise.
Subscription Advantage
Subscription Advantage vous permet de disposer facilement des dernires fonctionnalits et des dernires informations relatives aux solutions serveur centralises. Tout au long de votre abonnement, vous bnficiez automatiquement : de feature releases ; de mises niveau logicielles ; d'amliorations de fonctionnalits ; d'informations relatives la maintenance ; d'un accs prioritaire d'importantes informations sur les technologies Citrix.
Vous trouverez plus d'informations concernant les offres d'abonnement sur le site Web de Citrix l'adresse http://www.citrix.com/services/ (cliquez sur Subscription Advantage). Vous pouvez galement contacter votre reprsentant commercial Citrix ou un membre du rseau Citrix Solutions Advisors Program.
Formations
Citrix propose de nombreuses formations avec instructeur ou via le Web. Les formations avec instructeur sont proposes dans des centres de formation agrs (CALC : Citrix Authorized Learning Center). Les centres CALC offrent des formations de qualit et utilisent des manuels conus par Citrix. Ces formations dbouchent souvent sur une certification. Les formations par le Web sont disponibles auprs des centres CALC, des revendeurs et sur le site Web de Citrix. Des informations sur les programmes et les cours des formations et certifications Citrix sont disponibles ladresse : http://www.citrix.com/edu/.
Utilisation des stratgies de mot de passe pour appliquer les critres de mot de passe
Citrix Password Manager vous permet de dfinir des rgles afin de contrler les caractristiques des mots de passe stocks par vos utilisateurs et qui sont requis par les applications d'authentification unique. Ces rgles incluent des stratgies de mot de passe, applicables tous les utilisateurs ou des groupes spcifiques d'applications, selon les besoins de votre organisation. Cette section vous indique comment crer des stratgies de mot de passe dans votre environnement Password Manager. Veuillez galement consulter la section Stratgies de mot de passe et accs aux applications dans le Guide d'installation Citrix Password Manager. Prsentation des stratgies de mot de passe , page 27 Cration de stratgies de mot de passe : l'assistant de stratgie de mot de passe , page 30 Augmentation de la force des mots de passe et renforcement de la scurit dans votre environnement , page 38
Remarque : Citrix Presentation Server fournit des rgles de stratgie permettant de configurer et de contrler quels utilisateurs ont accs Password Manager lorsqu'ils se connectent aux serveurs et aux applications publies de la batterie. Pour plus d'informations, veuillez consulter le Guide de l'administrateur Presentation Server.
28
Lorsqu'un utilisateur ajoute ses informations dans le Gestionnaire d'informations d'identification pour une application qui n'a pas t dfinie par l'administrateur, Citrix Password Manager applique la stratgie Default cette application. Si vous souhaitez tendre le groupe de partage de mot de passe un domaine, vous devez lui appliquer la stratgie Domain. Remarque : dans la mesure o le service Password Manager applique la stratgie de mot de passe Default aux applications ajoutes par les utilisateurs, assurez-vous de configurer cette stratgie de faon tre la plus large possible, afin d'accepter les mots de passe de toutes les applications pour lesquelles vous autorisez les utilisateurs stocker des mots de passe. Vous avez la possibilit de crer autant de mots de passe que ncessaire pour votre entreprise. Par exemple, vous pouvez appliquer une stratgie pour votre groupe de partage de domaine et crer des stratgies spcifiques appliquer des groupes individuels d'applications pour mieux cibler vos besoins. Une stratgie de mot de passe vous permet de : automatiser les modifications de mot de passe pour les applications ; mettre en place des plans de scurit comprenant des mots de passe complexes et des mots de passe spcifiques aux applications invisibles pour les utilisateurs ; dfinir une date d'expiration des mots de passe d'application, mme si l'application ne dispose pas d'une telle fonctionnalit.
Remarque : lorsque les utilisateurs modifient leurs mots de passe, Password Manager peut comparer leur ancien mot de passe avec le nouveau. Cette fonctionnalit empche l'utilisation rpte d'un mme mot de passe pour une application. Veuillez consulter la section Dfinition de l'historique et de l'expiration du mot de passe , page 34. Veuillez galement consulter la section Application des stratgies de mot de passe , page 29.
Utilisation des stratgies de mot de passe pour appliquer les critres de mot de passe
29
Mme si les informations d'identification (nom d'utilisateur et champs personnaliss) sont diffrentes pour ces applications, le mot de passe reste identique. Dans ce cas, crez un groupe d'applications qui est galement un groupe de partage de mot de passe pour garantir que l'Agent gre le mot de passe pour toutes les applications du groupe comme s'il s'agissait d'une seule. Lors d'une modification du mot de passe pour l'une d'entre elles, l'Agent s'assure que cette modification est rpercute pour toutes les applications du groupe.
De mme, Password Manager n'applique pas de stratgie de mot de passe sur les mots de passe existants (c'est--dire ceux crs avant la mise en oeuvre de Password Manager dans l'entreprise) car les utilisateurs pourraient se voir refuser l'accs des applications ou des ressources qu'ils utilisent dj.
30
1. 2. 3.
Cliquez sur Dmarrer > Programmes > Citrix > Consoles de gestion > Access Management Console. Dveloppez le nud Password Manager et slectionnez Stratgies de mot de passe. Dans la zone Tches courantes, cliquez sur Crer une nouvelle stratgie de mot de passe.
Utilisation des stratgies de mot de passe pour appliquer les critres de mot de passe
31
L'assistant de stratgie de mot de passe s'affiche. 4. Tapez un nom et une description pour la stratgie de mot de passe, puis cliquez sur Suivant.
Autoriser les majuscules Le mot de passe peut dbuter avec une majuscule.
32
Le mot de passe peut se terminer avec une majuscule. Nombre minimum de majuscules requis (la valeur par dfaut est 0, la valeur maximale 128).
Utilisation des stratgies de mot de passe pour appliquer les critres de mot de passe
33
1. 2.
Cliquez sur Modifier la liste. La fentre Modification de la liste d'exclusion apparat. Tapez les caractres ou groupes de caractres exclure des mots de passe. Vous pouvez copier et coller du texte partir d'un diteur de texte vers la zone de texte de la fentre. Vous pouvez taper un caractre ou un groupe de caractres par ligne (appuyez sur Entre la fin de chaque ligne pour sparer les entres). Chaque groupe peut contenir jusqu' 32 caractres. Les caractres ne respectent pas la casse.
3.
Pour restreindre encore le mot de passe, slectionnez l'une des options suivantes, ou les deux :
34
Ne pas autoriser le nom d'utilisateur de l'application dans le mot de passe Slectionnez cette option pour interdire l'utilisation de l'ensemble du nom d'utilisateur de l'application dans le mot de passe. Slectionnez Ne pas autoriser certaines parties du nom d'utilisateur de l'application dans le mot de passe pour interdire l'utilisation de parties du nom d'utilisateur de l'application dans le mot de passe. L'option Nombre de caractres des portions vous permet de spcifier le nombre de caractres du nom d'utilisateur qui exclut toute utilisation du mot de passe. Par exemple, si cette valeur est dfinie sur 4, un mot de passe d'utilisateur comprenant les caractres citr, trix ou itri ne pourrait pas tre utilis si le nom d'utilisateur est citrix.4.
Ne pas autoriser le nom d'utilisateur Windows dans le mot de passe Slectionnez cette option pour interdire l'utilisation de l'ensemble du nom d'utilisateur Windows dans le mot de passe. Slectionnez Ne pas autoriser certaines parties du nom d'utilisateur Windows dans le mot de passe pour interdire l'utilisation de parties du nom d'utilisateur Windows dans le mot de passe. L'option Nombre de caractres des portions vous permet de spcifier le nombre de caractres du nom d'utilisateur qui exclut toute utilisation du mot de passe. Par exemple, si cette valeur est dfinie sur 4, un mot de passe d'utilisateur comprenant les caractres citr, trix ou itri ne pourrait pas tre utilis si le nom d'utilisateur est citrix.4.
Utilisation des stratgies de mot de passe pour appliquer les critres de mot de passe
35
Important : l'historique du mot de passe est enregistr utilisateur par utilisateur. Si vous rinitialisez les donnes d'un utilisateur, son historique de mot de passe est supprim et l'historique ne peut pas tre appliqu pour les mots de passe supprims.
36
Dans la page Test de la stratgie de mot de passe, vous pouvez : cliquer sur Test pour tester manuellement un mot de passe ; cliquer sur Gnrer pour que Password Manager cre un mot de passe compatible avec la stratgie de mot de passe ; cliquer sur Gnrer plusieurs mots de passe pour que Password Manager cre une liste de mots de passe conformes aux paramtres dfinis pour cette stratgie de mots de passe.
Prfrences d'authentification
Cette page vous permet de dterminer les paramtres de l'agent relatifs la soumission des informations d'identification et aux erreurs d'ouverture de session. Autoriser l'utilisateur rvler le mot de passe pour les applications Slectionnez cette option pour autoriser les utilisateurs voir dans la configuration de l'utilisateur le mot de passe associ aux applications. Cette option dtermine si le bouton Rvler apparat dans le Gestionnaire d'informations d'identification. Remarque : pour autoriser les utilisateurs voir leurs mots de passe d'application, vous devez galement activer l'option Autoriser les utilisateurs rvler tous les mots de passe dans le Gestionnaire d'informations d'identification dans la configuration de l'utilisateur associe cette stratgie de mot de passe. Veuillez consulter la section Configuration de l'interaction de l'Agent , page 102. Obliger l'utilisateur s'authentifier nouveau avant de soumettre les informations d'identification pour une application Slectionnez cette option pour demander aux utilisateurs de saisir leurs informations d'identification principales avant soumission par l'agent Password Manager de celles destines l'application. Ce paramtre est utile pour les applications accdant des informations confidentielles ou sensibles car il oblige les utilisateurs confirmer leurs informations d'identification. Nombre de nouvelles tentatives d'ouverture de session Ce rglage vous permet de limiter le nombre de fois que l'Agent peut soumettre les informations d'identification une application ou une ressource. Si vous rglez la valeur 0, un message d'erreur s'affiche ds la seconde tentative de soumission des informations d'identification.
Utilisation des stratgies de mot de passe pour appliquer les critres de mot de passe
37
Dlai limite pour les nouvelles tentatives Prcisez la dure (en secondes) pendant laquelle l'Agent est autoris continuer de soumettre les informations d'identification aprs la soumission initiale de l'application ou la ressource. Le rglage Nombre de nouvelles tentatives d'ouverture de session dtermine le nombre maximal de tentatives d'ouvertures de session pendant cette priode.
38
Augmentation de la force des mots de passe et renforcement de la scurit dans votre environnement
En tant qu'administrateur Password Manager, vous pouvez contribuer augmenter la force des mots de passe des utilisateurs en les contrlant par le biais de stratgies de mot de passe rationnelles. Comme toujours, vous tes le seul pouvoir tablir un quilibre entre des mots de passe puissants et la convivialit pour tous les utilisateurs de votre entreprise. Tenez compte des lments suivants. Utilisez le module d'habilitation pour prdfinir les mots de passe des utilisateurs. Dans ce cas, les utilisateurs n'ont pas besoin de connatre les mots de passe, ce qui vite qu'ils les rvlent par inadvertance. Cette technique ncessite une grande coordination entre la configuration de l'utilisateur et la stratgie de mot de passe qui y est associe. Demandez aux utilisateurs de modifier leurs mots de passe intervalles rguliers. N'autorisez pas les mots de passe vides. N'autorisez pas les utilisateurs rvler leurs mots de passe. Assurez-vous que les mots de passe ne sont pas rutiliss ou rpts. N'autorisez pas l'utilisation de noms d'utilisateur ou d'application dans le mot de passe. Obligez les utilisateurs ayant accs des informations confidentielles ou sensibles utiliser des mots de passe plus forts ou plus complexes. Regroupez ces utilisateurs dans des configurations d'utilisateurs contenant ces applications.
L'Agent Citrix Password Manager reconnat et rpond aux applications selon des paramtres dfinis dans les dfinitions d'application. Les dfinitions d'application contiennent des formulaires qui permettent l'Agent d'analyser chaque application au moment de son lancement, de reconnatre certaines des caractristiques qui l'identifient et de dterminer si elle requiert que l'Agent effectue des actions spcifiques, par exemple : soumettre des informations d'identification de l'utilisateur dans une invite d'authentification ; traiter une interface d'informations d'identification changeante ; traiter l'interface de confirmation des informations d'identification.
Les dfinitions d'application consistent en des ensembles de caractristiques d'actions et de reconnaissance de formulaire d'informations d'identification appels dfinitions de formulaires. Elles comprennent galement un groupe d'options de configuration qui s'applique tous les formulaires d'une mme configuration. Les paramtres de la dfinition de formulaire sont configurs pour reconnatre quel moment une application requiert des informations d'identification et dfinissent les actions qui doivent tre effectues pour traiter ces informations d'identification. Une dfinition d'application est l'ensemble de tous les formulaires de gestion des informations d'identification associs une mme application. Bien que la plupart des applications et leurs dfinitions utilisent seulement deux formulaires pour grer les informations d'identification des utilisateurs, une dfinition d'application peut contenir autant de formulaires qu'une application le requiert pour grer les informations d'identification.
40
Password Manager prend en charge un grand nombre d'applications, y compris des applications de type Windows, Web et hte. Il fonctionne avec des applications Java, des solutions SAP ainsi que des applications hberges sur un ordinateur central (mainframe), un systme AS/400 ou un serveur UNIX. Pour permettre de simplifier le processus de dfinition d'application, le site Web de Citrix (http://www.citrix.com/passwordmanager/gettingstarted) vous permet d'importer un grand nombre de modles de dfinitions d'application prdfinis dans Password Manager. Ce site sert d'change interactif permettant aux consultants Citrix, ingnieurs des ventes, intgrateurs de systmes et administrateurs de Password Manager de partager des dfinitions d'application. Le partage des dfinitions d'application facilite la mise en uvre des dfinitions d'application autorisant l'authentification unique. Il est recommand aux administrateurs de toujours utiliser si possible les modles de dfinitions d'application prdfinis pour la cration de dfinitions d'application appropries pour leur environnement. Pour la cration de dfinitions d'application qui n'ont pas de modles prdfinis, l'interface de cration de dfinitions d'application comprend un assistant de dfinition d'application qui vous permet de configurer les caractristiques de tous les formulaires inclus dans une dfinition. Elle comprend galement un assistant de dfinition de formulaire contenant des procdures dtailles pour permettre aux administrateurs de dfinir la prise en charge des applications de type Windows, Web et hte. Password Manager permet galement la prise en charge de la dcouverte d'applications externes et du traitement d'actions correspondantes. Cette fonction permet aux implmenteurs tiers d'tendre les tches de dtection d'applications et de soumission des informations d'identification d'un formulaire en permettant d'accder des processus externes durant les phases de dtection d'applications et de traitement des actions par l'Agent Password Manager. La combinaison de toutes ces fonctions constitue pour les administrateurs Password Manager un environnement de cration de dfinitions d'application flexible et adaptable qui leur permet d'offrir leur communaut d'utilisateurs un accs scuris et flexible aux applications critiques par authentification unique. Ce chapitre comprend les sections suivantes : Prsentation des modles d'application , page 41 Identification des applications et des vnements de gestion des informations d'identification par l'Agent Password Manager , page 45 Dfinitions d'applications de type Windows , page 52 Dfinitions d'applications de type Web , page 71 Dfinitions d'applications de type Hte/mainframe , page 79
41
42
Importation de modles d'applications partir d'un point de partage rseau , page 42 Ajout d'une dfinition d'application partir d'un modle , page 43 Cration de modles d'application , page 44 Exportation de modles d'application , page 44
2. 3. 4. 5. 6.
2. 3.
4.
43
9.
Vous pouvez galement lancer une dfinition d'application partir de la bote de dialogue Gestion des modles en suivant la procdure suivante.
2.
3.
4.
44
Si vous excutez une application qui n'est pas associe un modle, utilisez la console Password Manager ou l'outil de dfinition d'application pour crer des dfinitions appropries pour cette application spcifique (pour plus d'informations, veuillez consulter la section Identification des applications et des vnements de gestion des informations d'identification par l'Agent Password Manager , page 45). Une fois que vous avez cr une dfinition d'application, vous pouvez crer un modle que vous pouvez exporter soit pour des besoins d'archivage, soit l'usage d'autres administrateurs Password Manager en le chargeant sur le site Web Citrix (http://www.citrix.com/passwordmanager/gettingstarted).
2. 3.
2. 3.
45
Identification des applications et des vnements de gestion des informations d'identification par l'Agent Password Manager
Les dfinitions d'applications sont cres l'aide de la console Password Manager ou de l'outil de dfinition d'application. Une dfinition d'application prend en charge tous les vnements de gestion des informations d'identification associs une application spcifique, dont notamment : l'authentification de l'utilisateur ; la modification des informations d'identification de l'utilisateur ; la confirmation des modifications des informations d'identification.
Lorsque vous crez une dfinition d'application, le type d'application est identifi au moment o l'assistant de dfinition d'application est lanc. Le type d'application slectionn dtermine les informations qui doivent tre rassembles. Les dfinitions d'applications se divisent en trois catgories principales : applications Windows (y compris les applications Java et SAP LogonPad) ; applications Web (y compris les applets Java) ; applications htes (accessibles au moyen d'un mulateur de terminal conforme la norme HLLAPI).
Une dfinition d'application se compose des lments suivants. Caractristiques de l'application qui s'appliquent tous les formulaires inclus dans la dfinition. Celles-ci sont dfinies l'aide de l'assistant de dfinition d'application. Donnes spcifiques au formulaire permettant de reconnatre chaque vnement de gestion des informations d'identification associ l'application. Celles-ci sont dfinies l'aide de l'assistant de dfinition de formulaire lanc partir de l'assistant de dfinition d'application.
Les caractristiques de l'application contiennent des informations de configuration similaires pour tous les types d'applications. Cependant, les donnes spcifiques au formulaire d'une dfinition d'application varient largement selon le type d'application dfinie.
46
Pour pouvoir crer une dfinition d'application, l'administrateur doit avoir accs l'application sur l'ordinateur sur lequel la dfinition d'application est cre. tant donn que certaines signatures d'applications varient considrablement selon le systme d'exploitation sous-jacent, il est recommand que les administrateurs testent les dfinitions d'application dans tous les environnements de systme d'exploitation prsents dans leur entreprise. Toutes les modifications ou mises niveau apportes une application aprs qu'une dfinition d'application a t cre et dploye doivent tre testes pour vrifier qu'il n'existe aucun changement de signature qui require de modifier la dfinition de l'application.
47
Donnes collectes Identification de l'application Gestion des formulaires Nom des champs personnaliss Dsignation de l'icne Configuration de la dtection avance Configuration de l'expiration du mot de passe Confirmation des rglages
Windows X X X X X X X
Web X X X
Hte X X X
X X X
X X X
Identification de l'application
Cette page permet de dfinir le nom de la dfinition d'application et d'entrer sa description. Vous pouvez donner un nom quelconque l'application. Notez que : ce nom peut permettre de distinguer entre plusieurs versions multiples de la mme application ; ce nom est celui rechercher dans le magasin central ; les utilisateurs de l'Agent verront ce nom et cette description s'afficher dans le Gestionnaire d'informations d'identification.
48
Une fois un formulaire dfini, utilisez la fentre Proprits pour fournir un rsum des proprits associes au formulaire slectionn dans le volet Formulaires d'application dfinis. Ces proprits sont galement indiques dans la page Confirmation des rglages de l'assistant de dfinition de formulaire.
Dsignation de l'icne
Par dfaut, Password Manager utilise une icne diffrente pour chaque type d'application dans le Gestionnaire d'informations d'identification. Cependant, pour les applications Windows, vous pouvez dfinir une icne personnalise pour aider vos utilisateurs identifier des applications spcifiques au sein du Gestionnaire d'informations d'identification. Notez que lorsque vous utilisez une icne personnalise pour identifier une application Windows spcifique, le chemin d'accs du fichier de l'icne doit tre accessible tous les utilisateurs.
49
La fermeture de l'application met fin la session et Password Manager soumet les informations d'identification lors de l'ouverture suivante de l'application.
Pour excuter un script lorsque la stratgie de mot de passe associe la dfinition d'application expire, activez l'option d'excution du script et identifiez le script cr par l'utilisateur excuter. Le chemin d'accs au script doit tre accessible tous les utilisateurs.
50
Le script cr par l'utilisateur peut demander aux utilisateurs de modifier rgulirement leur mot de passe pour toutes les applications ou seulement certaines d'entre elles, modifier automatiquement une partie ou l'ensemble de leurs applications ou utiliser une combinaison de ces processus pour l'adapter votre politique de scurit. En gnral, le script appelle une application associe en utilisant une interface de ligne de commande l'aide d'un paramtre de modification du mot de passe ou similaire. Vous pouvez galement activer la notification d'expiration de Citrix Password Manager. Lorsque vous activez cette option, une notification d'expiration du mot de passe Citrix Password Manager s'affiche lorsque la stratgie de mot de passe associe l'application indique que le mot de passe a expir. Cette action affiche un message rcurrent indiquant que la priode associe a expir sans obliger l'utilisateur changer son mot de passe.
51
d'identification requises pour changer le mot de passe utilisateur permettant d'accder l'application. Formulaire de modification de mot de passe russie Il permet de dfinir l'interface de modification du mot de passe d'une application et de grer les actions de soumission d'informations d'identification requises pour confirmer la russite du changement du mot de passe utilisateur permettant d'accder l'application. Formulaire d'chec de modification de mot de passe Il permet de dfinir l'interface indiquant l'chec du changement du mot de passe et de dfinir les actions effectuer dans ces cas. Les versions 4.0 et 4.1 de l'Agent Password Manager ne prennent pas en charge les formulaires d'chec ou de russite de modification des informations d'identification et ne rpondent pas aux dfinitions d'application contenant ces formulaires. Les donnes collectes pour chaque formulaire remplissent deux fonctions : reconnatre quel moment un formulaire spcifique une application est lanc ; effectuer les actions de traitement des informations d'identification associes au formulaire.
Toutes les dfinitions de formulaire sont initialement cres l'aide de l'assistant de dfinition de formulaire; celui-ci est lanc lors du processus de dfinition d'une dfinition d'application l'aide de l'assistant de dfinition d'application. Veuillez consulter Prsentation de l'assistant de dfinition d'application , page 46, pour obtenir des informations complmentaires. Pour lancer l'assistant de dfinition de formulaire, slectionnez l'option Ajouter un formulaire de la page Gestion de l'application de l'assistant de dfinition d'application. Le tableau suivant indique les informations de formulaire qui sont requises pour chaque type d'application (Windows, Web et Hte) lors de l'utilisation de l'assistant de dfinition de formulaire.
Donnes collectes Nom du formulaire Identification du formulaire Dfinition des actions de formulaire Dfinition des rgles de dtection de champ Windows X X X X Web X X Hte X X
52
Windows X X
Web X X
Hte X X
Chaque type d'application implique un processus diffrent pour identifier les formulaires requrant une action. Les sections ci-dessous dcrivent les informations requises pour crer des formulaires pour chaque type d'application : Dfinitions d'applications de type Windows , page 52 Dfinitions d'applications de type Web , page 71 Dfinitions d'applications de type Hte/mainframe , page 79
Le type d'application dfinie est identifi au moment de la cration d'une nouvelle dfinition d'application. Pour plus d'informations, veuillez consulter les sections Prsentation de l'assistant de dfinition d'application , page 46 et Prsentation de l'assistant de dfinition de formulaire , page 50.
53
Lorsque vous avez effectu les actions requises dans une page spcifique, cliquez sur Suivant pour passer l'tape suivante de l'assistant. Un bouton Prcdent est gnralement disponible sur chaque page pour revenir aux options configurs prcdemment. Toutefois, pour modifier certaines options que vous avez configures prcdemment, il peut tre ncessaire de modifier d'autres paramtres.
Nom du formulaire
Lorsque vous crez des dfinitions pour des applications de type Windows, la page Nom du formulaire de l'assistant de dfinition de formulaire vous permet d'attribuer un nom dfini par l'utilisateur au formulaire cr et de dfinir le type de formulaire cr. Notez que le nom attribu au formulaire s'affiche dans la page Gestion des formulaires de l'assistant de dfinition d'application. Choisissez un nom appropri pour le type de formulaire dfini.
54
L'assistant de dfinition de formulaire permet de dfinir plusieurs types de formulaires de gestion des informations d'identification standard. Formulaire d'authentification Il permet de dfinir l'interface d'authentification d'une application et de grer les actions de soumission d'informations d'identification requises pour accder l'application associe. Formulaire de modification de mot de passe Il permet de dfinir l'interface de modification du mot de passe d'une application et de grer les actions de soumission d'informations d'identification requises pour changer le mot de passe utilisateur permettant d'accder l'application. Formulaire de modification de mot de passe russie Il permet de dfinir l'interface de modification du mot de passe d'une application et de grer les actions de soumission d'informations d'identification requises pour confirmer la russite du changement du mot de passe utilisateur permettant d'accder l'application. Formulaire d'chec de modification de mot de passe Il permet de dfinir l'interface indiquant l'chec du changement du mot de passe et de dfinir les actions effectuer dans ces cas. Les versions 4.0 et 4.1 de l'Agent Password Manager ne prennent pas en charge les formulaires d'chec ou de russite de modification des informations d'identification et ne rpondent pas aux dfinitions d'application contenant ces formulaires.
Identification du formulaire
Lorsque vous crez des dfinitions pour des applications de type Windows, la page Identification du formulaire vous permet de fournir des informations requises pour que l'Agent Password Manager puisse reconnatre sans quivoque le formulaire dfini. Ces informations d'identification incluent le titre de la fentre et le nom du fichier excutable. Lorsque l'Agent dtecte le nom du fichier excutable, il surveille l'application pour rechercher les titres de fentres dfinis. Lorsqu'il dtecte un titre de fentre, l'Agent effectue les actions dfinies pour le formulaire. Pour simplifier le processus de dfinition, assurez-vous que l'application Windows concerne a t lance et que le formulaire correspondant aux actions d'identification effectuer est affich (par exemple, le formulaire d'authentification ou le formulaire de modification de mot de passe).
55
Cliquez sur Slectionner pour identifier le programme ouvert sur votre ordinateur. Cette action ouvre la bote de dialogue Slection d'une fentre de programme qui vous permet de dfinir le titre Windows et le nom du fichier excutable du formulaire. La bote de dialogue Slection d'une fentre de programme contient une zone intitule Fentre de programmes ainsi que trois options. La zone Fentres de programmes affiche les informations suivantes pour chaque programme dfini : le titre de fentre ; le nom du fichier excutable ; la classe de fentre.
La zone Fentres de programmes vous permet de localiser et de slectionner le formulaire d'application dfini parmi toutes les applications en cours d'excution sur votre ordinateur. Pour vous aider identifier l'application correcte, celle-ci est indique l'cran par une bordure visible lorsqu'elle est slectionne. Deux options vous permettent d'tendre le nombre de choix disponibles. Si l'excutable recherch est ouvert sur votre systme mais n'est pas encore affich, cochez l'une ou les deux cases pour afficher d'autres choix : Afficher les fentres de programmes masques Afficher les fentres enfants
Utilisez la troisime option (Inclure le nom complet du chemin d'accs excutable dans l'identification (chemin d'accs scuris)) pour dfinir les informations de chemin explicites requises lorsque vous utilisez des chemins d'accs scuriss. Une fois que vous avez slectionn l'application cible, la page Identification de formulaire affiche les informations correspondantes aux options slectionnes. Les identificateurs de formulaire sont les suivants. Titres de fentre pour ce formulaire Ils contiennent les titres de fentres associs au formulaire. Noms et chemins d'accs des fichiers excutables Ils affichent le nom du fichier excutable et toute information facultative requise pour utiliser des chemins d'accs scuriss.
56
Titres de fentre pour ce formulaire Le titre de fentre peut tre modifi pour permettre le traitement des donnes de titres de fentre dynamiques telles qu'une date ou un identificateur de session. Pour permettre la prise en charge des donnes dynamiques, vous pouvez utiliser des caractres gnriques la place des donnes dynamiques qui s'affichent dans le titre d'une fentre, comme suit :
Caractre Description gnrique ? * n'utiliser que pour un seul caractre dynamique/changeant dans un titre de fentre Windows. Utilisez cette valeur pour reprsenter un ou plusieurs caractres de donnes dynamiques dans un titre. Cette valeur est recommande pour les titres vides. Utilisez NULL dans ces situations. Utilisez cette valeur pour les titres Windows vides. Le mot NULL doit tre en majuscules.
NULL
Noms et chemins d'accs des fichiers excutables La zone Noms et chemins d'accs des fichiers excutables affiche le nom du fichier excutable dfini et toutes les informations de chemin scuris. Les chemins scuriss limitent la reconnaissance de l'application aux instances de programmes lancs partir des chemins d'accs spcifis. Si un ou plusieurs chemins scuriss sont dfinis, l'Agent soumet les informations d'identification uniquement lorsque le programme identifi est excut partir du chemin d'accs dfini et que tous les autres identificateurs du formulaire sont prsents. Si aucune information de chemin n'est dfinie, Non fourni(e)(s) s'affiche et l'Agent transmet les informations d'identification tous les programmes correspondant aux autres identificateurs du formulaire. Utilisez des points-virgules pour sparer les chemins d'accs multiples. Des chemins d'accs absolus ou des variables d'environnement peuvent tre utiliss pour dfinir le chemin d'accs. Remarque : les dfinitions d'applications qui incluent des informations de chemin scuris peuvent tre utilises pour crer un modle de dfinition d'application. Cependant, le chemin d'accs n'est pas inclus dans le modle.
57
Correspondance avance Bien que la plupart des formulaires Windows puissent tre identifis l'aide des fonctions de la page Identification de formulaire, certains types de formulaires requirent des options de correspondance plus avances accessibles dans la bote de dialogue Correspondance avance. Cliquez sur Correspondance avance pour accder la bote de dialogue du mme nom. Pour plus d'informations sur cette bote de dialogue, veuillez consulter la section Utilisation de la correspondance avance pour identifier les formulaires Windows , page 60.
La partie infrieure de la page indique la squence d'actions dfinie. Cette page a pour fonction de dfinir les actions que l'Agent doit effectuer pour soumettre les informations d'identification requises au formulaire identifi. Pour la plupart des applications Windows, le processus suivant est le seul requis :
58
1.
Slectionnez le lien hypertexte Dfinir/Modifier associ aux informations d'identification d'un utilisateur spcifique. Cette action ouvre la bote de dialogue Configuration du texte de contrle qui permet d'identifier le contrle qui doit recevoir les informations d'identification slectionnes. Si le formulaire est dj ouvert, cette bote de dialogue affiche tous les types de contrle possibles pour les informations d'identification slectionnes ou pour l'option de soumission.
Informations d'identification Nom d'utilisateur/ID Mot de passe Ancien mot de passe Nouveau mot de passe Confirmer le mot de passe Champ personnalis 1 Champ personnalis 2 OK Type de contrle Modifier, Liste, Liste droulante, Non dfini Modifier, Liste, Liste droulante, Non dfini Modifier, Liste, Liste droulante, Non dfini Modifier, Liste, Liste droulante, Non dfini Modifier, Liste, Liste droulante, Non dfini Modifier, Liste, Liste droulante, Non dfini Modifier, Liste, Liste droulante, Non dfini Bouton. Non dfini
Si le formulaire d'informations d'identification de l'application n'est pas ouvert, lancez l'application et affichez le formulaire appropri. Slectionnez l'option Slectionnez un programme excut sur votre ordinateur dans cette bote de dialogue pour slectionner le programme. Une fois que vous avez slectionn le formulaire de l'application, cette bote de dialogue affiche les types de contrle appropris pour les informations d'identification slectionnes. 2. Slectionnez le type de contrle qui doit recevoir les informations d'identification. mesure que vous slectionnez diffrentes options, le type de contrle correspondant est mis en surbrillance dans l'application pour permettre de mieux voir la faon dont les informations d'identification slectionnes et le bouton de soumission seront affiches.
59
3.
Rptez cette procdure pour toutes les informations d'identification requises pour le formulaire ainsi que pour le bouton utilis pour soumettre le formulaire. Certains formulaires requirent des domaines ou d'autres informations d'identification configures par l'utilisateur, qui doivent tre correctement soumises pour que le formulaire puisse tre trait. Pour rpondre ces exigences, deux champs personnalisables sont disponibles. Utilisez ces champs pour dfinir des informations d'identification spciales. Les noms associs ces champs sont dfinis dans la page Nom des champs personnaliss de l'assistant de dfinition d'application (pour plus d'informations, veuillez consulter la section Prsentation de l'assistant de dfinition d'application , page 46) une fois le formulaire dfini. Remarque : toutes les informations d'identification identifies au haut de la page Dfinition des actions du formulaire ne doivent pas obligatoirement tre configures.
Pour la plupart des applications Windows, une fois que vous avez dfini les champs du formulaire qui doivent recevoir les informations d'identification slectionnes et le bouton permettant de soumettre le formulaire, le processus de dfinition des actions de formulaire est termin et vous pouvez passer la page suivante de l'assistant. Cependant, certains formulaires requirent des informations, tapes, cls spciales et autres actions supplmentaires pour complter le processus de configuration des informations d'identification. Pour ce type de formulaire, cliquez sur diteur d'action pour ouvrir la bote de dialogue diteur d'action (pour plus d'informations sur la dfinition d'actions de formulaire l'aide de l'diteur d'actions, veuillez consulter la section Utilisation de l'diteur d'action pour dfinir la squence d'actions des formulaires , page 66).
Autres rglages
Pour les dfinitions Windows, cette page est utilise pour spcifier si le bouton de soumission est automatiquement activ par l'Agent ou si l'utilisateur doit slectionner le bouton manuellement. Cochez la case L'Agent soumet ce formulaire automatiquement pour soumettre le formulaire automatiquement, sans intervention de l'utilisateur.
60
Informations de la classe
Ce paramtre permet de dfinir les identificateurs de classe de fentres ignorer ou l'identificateur de classe devant provoquer une raction lorsque plusieurs fentres correspondent au titre spcifi et au fichier excutable associ. N'utilisez pas ce type de correspondance pour les applications .NET ou les applications qui utilisent la classe de fentres 32770 (classe par dfaut).
61
Ce paramtre est utile lorsque la classe de la fentre est dynamique. Dans ce cas, utilisez des caractres gnriques pour remplacer un identificateur de classe de fentre dynamique.
Caractre Description gnrique ? * utiliser uniquement pour un seul caractre dynamique/changeant. Utilisez cette valeur pour reprsenter un ou plusieurs caractres de donnes d'identificateur dynamiques. Cette valeur n'est pas recommande pour les identificateurs de classe de fentre vides. Utilisez NULL dans ces situations. Utilisez cette valeur pour les identificateurs de classe de fentre vides. Le mot NULL doit tre en majuscules.
NULL
Ce contrle est galement utile pour identifier une classe de fentre parmi plusieurs classes de fentres possibles. Les conditions suivantes s'appliquent. Le titre de fentre spcifi et le fichier excutable associ sont inclus dans les rsultats de correspondance multiples. Cette condition se produit gnralement lorsque le titre de fentre contient des donnes dynamiques et que des caractres gnriques sont spcifis. Le formulaire cible doit tre associ un identificateur de classe de fentre unique et toutes les autres correspondances doivent utiliser des identificateurs de classe de fentre diffrents.
Lors de la dfinition de formulaires d'vnements de traitement des informations d'identification rpondant ces conditions, ce paramtre permet d'identifier les identificateurs de classe de fentre ignorer et l'identificateur autoriser. Pour les dfinitions d'applications rpondant ces conditions, dfinissez une application Windows jusqu' ce que vous atteigniez la page Identification du formulaire de l'assistant de dfinition de formulaire (pour plus d'informations, veuillez consulter la section Processus de dfinition de formulaire , page 72). Cliquez sur Correspondance avance, puis slectionnez l'option Information de la classe. Procdez comme suit : 1. Cliquez sur Slectionner pour choisir l'application cible parmi les applications actuellement ouvertes sur votre ordinateur. Remarque : pour tendre les choix, cochez la case Afficher les fentres de programmes masques et/ou la case Afficher les fentres enfants. Si la case Inclure le nom complet du chemin d'accs excutable dans l'identification (chemin d'accs scuris) est coche, le chemin d'accs est ignor.
62
2. 3.
Lorsque vous avez choisi une application cible, cliquez sur OK pour revenir la bote de dialogue Correspondance avance. Indiquez la classe des fentres ignorer dans le champ Ignorer cette classe de fentre et la classe de la fentre que l'Agent doit reconnatre dans le champ Autoriser la classe de fentre. Lorsque vous avez termin, cliquez sur OK et continuez dfinir les actions du formulaire (pour plus d'informations, veuillez consulter la section Dfinition des actions du formulaire , page 57).
4.
63
3.
Slectionnez l'application cible dans la liste, puis cliquez sur Suivant. Remarque : pour afficher les fentres masques, cochez la case Afficher les fentres masques. Cette action affiche les paramtres de classe, de texte de lgende et de style de chaque ID de contrle identifi pour l'application slectionne.
4.
Cliquez avec le bouton droit de la souris sur une entre d'ID de contrle. Cette action ouvre une fentre contextuelle permettant de slectionner la caractristique d'ID de contrle (Classe, Style ou Texte) qui doit tre utilise pour associer le formulaire l'ID de contrle slectionn. Slectionnez la caractristique (ou Aucune pour fermer la fentre contextuelle sans effectuer de slection). Une icne reprsentant la caractristique slectionne s'affiche gauche de l'entre. Rptez les tapes 4 et 5 pour chaque ID de contrle qui doit tre utilis pour identifier le formulaire. Lorsque vous avez effectu toutes les slections et attributions, cliquez sur Terminer pour fermer la bote de dialogue Dfinition des critres de correspondance. L'ID de contrle et la caractristique associe utiliser pour identifier le formulaire sont maintenant dfinis. Vous devez prsent attribuer des valeurs chaque caractristique d'ID de contrle. Mettez un ID de contrle en surbrillance, puis slectionnez Modifier Cette action ouvre la bote de dialogue Dfinition des lments de recherche qui vous permet de modifier le contenu de l'ID de contrle slectionn. Dfinissez les variables associes chaque ID de contrle sur gal ou non gal (condition) aux valeurs dfinies pour identifier le formulaire. Lorsque vous avez dfini toutes les valeurs, assurez-vous que vous avez spcifi le nom de la correspondance avant de cliquer sur OK et d'enregistrer les donnes. Cette action vous renvoie la bote de dialogue Correspondance avance qui contient prsent les valeurs de correspondance de l'ID de contrle nouvellement dfini, enregistres sous le nom de correspondance que vous avez indiqu.
5.
6.
7.
8.
Lorsque vous avez termin, cliquez sur OK et continuez dfinir les actions du formulaire (pour plus d'informations, veuillez consulter la section Dfinition des actions du formulaire , page 57).
64
65
4.
Lorsque vous avez termin, cliquez sur OK et continuez dfinir les actions du formulaire (pour plus d'informations, veuillez consulter la section Dfinition des actions du formulaire , page 57).
Remarque : pour dfinir un formulaire de modification de mot de passe, utilisez les fonctions de correspondance de contrle (pour plus d'informations, veuillez consulter la section Recherche de correspondance du contrle , page 62). Les messages de scripts d'interface graphique SAP peuvent tre gnrs chaque fois qu'un programme tente d'tablir une connexion au SAP LogonPad l'aide de l'interface graphique SAP. Dans ce cas, il suffit de modifier un paramtre de registre pour viter de recevoir ce message. La cl de registre est HKEY_CURRENT_USER\Software\SAP\SAPGUI Front\SAP Frontend Server\Security\WarnOnAttach. Il s'agit d'une cl DWORD. Si cette valeur de cl est dfinie sur 0, aucun message ne s'affiche. La valeur par dfaut est 1.
Identificateur de fentre
Cette page permet de dfinir un ID de contrle Windows qui identifie un formulaire lorsque plusieurs fentres peuvent tre identifies simplement l'aide du titre Windows et du nom de fichier excutable dfinis. Elle est uniquement utile si l'ID de contrle Windows peut tre utilis pour distinguer entre les multiples formulaires qui peuvent tre identifis. Cochez la case Activer la correspondance par identificateur de contrle de fentre et indiquez l'ID de contrle permettant de distinguer la fentre du formulaire dfini de tous les autres formulaires possibles.
Extensions d'identification
Les extensions d'identification font partie des extensions de dfinitions d'application. Ces extensions permettent la prise en charge d'applications qui sont externes l'Agent pour reconnatre la prsence d'un vnement de traitement des informations d'identification et effectuer le processus de soumission de ces informations. Bien que les administrateurs Password Manager puissent gnralement crer des dfinitions d'applications l'aide de la console Password Manager et de l'Outil de dfinition d'application, certaines applications ont des exigences spciales qui requirent un autre moyen de dtecter l'application et de soumettre les informations d'identification de l'utilisateur ou d'effectuer des actions similaires.
66
Pour pouvoir prendre en charge ces applications, les administrateurs Password Manager peuvent utiliser des extensions de dfinitions d'application pour obtenir une abstraction des contrles de l'application et des mcanismes de saisie des donnes associes. Les extensions d'identifications sont dveloppes par des implmenteurs tiers et leur mise en uvre est spcifique l'application. Par consquent, les procdures requises pour configurer leur utilisation sont spcifiques l'application. En gnral, les administrateurs Password Manager ne sont pas impliqus dans le dveloppement de ces extensions. Les extensions sont cres par des implmenteurs tiers. tant donn que la configuration de ces extensions est spcifique chaque application, les instructions de configuration des extensions sont gnralement livres avec l'extension. Veuillez consulter la section Extensions de dfinitions d'applications , page 259, pour obtenir des informations complmentaires.
67
La partie infrieure de la bote de dialogue diteur d'action comprend le bouton Paramtres avancs, qui permet d'accder la bote de dialogue Paramtres avancs. La bote de dialogue Paramtres avancs propose les deux commandes suivantes. Nombres ordinaux de contrle Cochez cette case pour utiliser des nombres ordinaux de contrle (souvent appels ordreZ) la place des numros d'ID de contrle. Les nombres ordinaux de contrle sont numrs indpendamment durant le processus de dfinition (et par l'Agent) pour identifier les contrles indpendamment des numros d'ID de contrle dfinis par l'application. Citrix recommande de slectionner cette fonction lorsque vous dfinissez des applications .NET qui gnrent dynamiquement des numros d'ID de contrle ou pour des applications qui ont des numros d'ID de contrle en double. Pause initiale Slectionnez cette option et dfinissez la priode de temps pendant laquelle l'Agent doit retarder le traitement avant de commencer la squence d'actions. Une pause peut tre configure soit l'aide de cette option, soit en lanant la squence d'actions l'aide de l'action Insertion d'une pause (pour plus d'informations, veuillez consulter la section Description des actions , page 68). Contrairement l'option Insertion d'une pause, accessible dans la zone Actions disponibles de la bote de dialogue diteur d'action et dfinie comme une opration de frappe clavier, l'option Pause initiale peut tre utilise pour viter d'avoir crer une dfinition d'application uniquement prise en charge par les versions 4.5 et 4.6 de l'Agent.
3. 4.
68
5.
Lorsque vous tes satisfait de la squence d'actions, cliquez sur OK. Cette action vous renvoie la page Dfinition des actions du formulaire qui contient maintenant la squence d'actions dfinie dans la zone Squence d'action. Cliquez sur Suivant pour continuer le processus de dfinition du formulaire de la page Autres rglages. Si une combinaison d'actions de formulaire limite la squence dfinie aux versions 4.5 ou 4.6 de l'Agent, un message s'affiche pour vous permettre de continuer ou de revenir en arrire pour modifier votre configuration.
6.
Soumission du formulaire
L'action Soumission du formulaire permet d'associer une action de soumission un bouton. Ce contrle d'action vous permet de cliquer sur un bouton de fentre (opration d'ID de contrle) ou d'appuyer sur la touche Entre (opration de frappe clavier). Slectionnez l'opration Cliquer sur un bouton de fentre associer au bouton qui sera utilis pour la soumission du formulaire.
69
Lorsque vous slectionnez un bouton de fentre, le contrle associ est mis en surbrillance dans l'application pour vous aider affecter la valeur d'informations d'identification correcte au contrle. Lorsque vous avez effectu votre slection, cliquez sur Insrer.
70
Pour pouvoir prendre en charge ces applications, les administrateurs Password Manager peuvent utiliser des extensions de dfinitions d'application pour obtenir une abstraction des contrles de l'application et des mcanismes de saisie des donnes associes. Les extensions dveloppes par des implmenteurs tiers sont spcifiques aux applications. Par consquent, les procdures requises pour configurer leur utilisation sont spcifiques l'application. En gnral, les administrateurs Password Manager ne sont pas impliqus dans le dveloppement de ces extensions. Les extensions sont cres par des implmenteurs tiers. tant donn que la configuration de ces extensions est spcifique chaque application, les instructions de configuration des extensions sont gnralement livres avec l'extension. Veuillez consulter Extensions de dfinitions d'applications , page 259, pour obtenir des informations complmentaires.
71
Les paramtres qui sont slectionns au niveau de la dfinition d'application s'appliquent tous les formulaires contenus dans une dfinition d'application. Certains paramtres slectionns au niveau de la dfinition d'application peuvent tre ignors au niveau du formulaire. Par exemple, pour une application ayant trois formulaires dfinis, la soumission automatique peut tre active au niveau de la dfinition d'application. Chaque fois que l'Agent rencontre l'un de ces trois formulaires pour l'application, les informations d'identification sont soumises automatiquement. Toutefois, la soumission automatique peut tre dsactive pour l'un des formulaires au niveau du formulaire et l'Agent ne soumet alors pas automatiquement ces informations. Dans ce cas, l'utilisateur doit cliquer sur Soumettre ou sur OK pour le formulaire slectionn. Pour crer une touche d'accs rapide dans le nom de champ personnalis, placez une esperluette (&) immdiatement avant la lettre utiliser comme touche d'accs rapide. Si aucune touche d'accs rapide n'est dfinie, l'Agent associe dynamiquement une valeur numrique comme touche d'accs rapide la commande. Celle-ci apparat sous la forme (1) ou (2) sur le bouton, selon le nombre de champs personnaliss qui ont t dfinis. N'oubliez pas de tester le formulaire final pour vous assurer que le nom dfini ne dpasse pas le nombre de caractres autoris pour le champ personnalis.
72
L'assistant de dfinition de formulaire est lanc lorsque : L'assistant de dfinition d'application est utilis pour crer une nouvelle dfinition d'application. Un formulaire d'une dfinition d'application existante est modifi. Un formulaire est ajout une dfinition d'application existante.
Le type d'application dfinie est identifi au moment de la cration d'une nouvelle dfinition d'application. Pour plus d'informations, veuillez consulter les sections Prsentation de l'assistant de dfinition d'application , page 46 et Prsentation de l'assistant de dfinition de formulaire , page 50.
73
Lorsque vous avez effectu les actions requises dans une page spcifique, cliquez sur Suivant pour passer l'tape suivante de l'assistant. Un bouton Prcdent est gnralement disponible sur chaque page pour revenir aux options configurs prcdemment. Toutefois, pour modifier certaines options que vous avez configures prcdemment, il peut tre ncessaire de modifier d'autres paramtres.
Nom du formulaire
Lorsque vous crez des dfinitions d'application pour des applications de type Web, la page Nom du formulaire de l'assistant de dfinition de formulaire vous permet d'effectuer les oprations suivantes : affecter un nom dfini par l'utilisateur au formulaire cr ; dfinir le type du formulaire cr ; dfinir des actions spciales ventuelles.
Notez que le nom attribu au formulaire s'affiche dans la page Gestion des formulaires de l'assistant de dfinition d'application. Choisissez un nom appropri pour le type de formulaire dfini. L'assistant de dfinition de formulaire permet de dfinir plusieurs types de formulaires de gestion des informations d'identification standard. Formulaire d'authentification Il permet de dfinir l'interface d'authentification d'une application et de grer les actions de soumission d'informations d'identification requises pour accder l'application associe. Formulaire de modification de mot de passe Il permet de dfinir l'interface de modification du mot de passe d'une application et de grer les actions de soumission d'informations d'identification requises pour changer le mot de passe utilisateur permettant d'accder l'application. Formulaire de modification de mot de passe russie Il permet de dfinir l'interface de modification du mot de passe d'une application et de grer les actions de soumission d'informations d'identification requises pour confirmer la russite du changement du mot de passe utilisateur permettant d'accder l'application. Formulaire d'chec de modification de mot de passe Il permet de dfinir l'interface indiquant l'chec du changement du mot de passe et de dfinir les actions effectuer dans ces cas.
74
Les versions 4.0 et 4.1 de l'Agent Password Manager ne prennent pas en charge les formulaires d'chec ou de russite de modification des informations d'identification et ne rpondent pas aux dfinitions d'application contenant ces formulaires. Utilisez la zone Actions spciales pour identifier tout traitement spcial pour le formulaire dfini : Aucune action spciale Slectionnez cette option pour effectuer un traitement de formulaire Web normal. Redirection vers application Windows Choisissez cette option lorsque aucun formulaire n'est reconnu pour l'application Web dans l'assistant de formulaire Web (voir Identification du formulaire ). Ceci se produit lorsque l'application Web utilise des contrles ActiveX, Flash, certains types de contrles Ajax ou d'autres contrles non HTML pour grer les vnements de gestion des informations d'identification. Pour plus d'informations, veuillez consulter la section Redirection vers une application Windows , page 76. Ignorez ce formulaire lorsqu'il est dtect par l'Agent. Slectionnez cette option pour que l'Agent ignore le formulaire.
Identification du formulaire
Lorsque vous crez des dfinitions pour des applications de type Web, la page Identification du formulaire vous permet de fournir des informations requises pour que l'Agent Password Manager puisse reconnatre sans quivoque le formulaire dfini. Les applications Web sont identifies l'aide de l'adresse URL associe au formulaire de gestion des informations d'identification dfini. Cliquez sur Slectionner pour ouvrir l'assistant de formulaire Web qui vous permet d'identifier l'adresse URL et de dfinir les actions de gestion des informations d'identification pour le formulaire dfini (voir Assistant de formulaire Web , page 76). Lorsque vous avez termin l'assistant de formulaire Web, vous revenez cette page. Deux cases cocher sont disponibles pour contrler la faon dont les URL identifies doivent tre interprtes :
75
Recherche d'URL stricte Cochez cette case pour reconnatre uniquement les vnements de gestion des informations d'identification des applications Web qui sont lances partir des URL spcifies. Certaines URL peuvent contenir des donnes dynamiques telles que des identificateurs de gestion de session, des paramtres d'application ou d'autres identificateurs qui peuvent varier pour chaque instance. Dans ces circonstances, l'utilisation de la correspondance stricte risque de ne pas permettre la reconnaissance de l'URL.
URL sensible la casse Cochez cette case pour utiliser l'URL avec la casse exacte.
Autres rglages
Pour les dfinitions Web, cette page est utilise pour spcifier si le bouton de soumission est automatiquement activ par l'Agent ou si l'utilisateur doit slectionner le bouton manuellement. Cochez la case L'Agent soumet ce formulaire automatiquement pour soumettre le formulaire automatiquement, sans intervention de l'utilisateur. Certaines applications Web utilisent des URL dynamiques. Si c'est le cas, cliquez sur Avanc pour accder la bote de dialogue Paramtres avancs qui vous permet de dfinir des critres de dfinition de formulaire supplmentaires correspondant au formulaire Web (pour plus d'informations, veuillez consulter la section Bote de dialogue Paramtres avancs pour les applications Web , page 77).
76
77
Dans ce cas, assurez-vous que la case Rediriger vers application Windows est coche dans la page Identification du formulaire (voir Identification du formulaire , page 54). Cliquez sur Suivant pour avancer dans les pages restantes de l'assistant de dfinition de formulaire, puis cliquez sur Terminer sur la page Confirmation des rglages. Les caractristiques de reconnaissance de formulaire et les actions d'informations d'identification doivent maintenant tre dfinies l'aide de dfinitions de type Windows et d'actions de type Envoyer frappe clavier (pour plus d'informations, veuillez consulter la section Dfinitions d'applications de type Windows , page 52).
78
2.
Dans la bote de dialogue Paramtres avancs, cliquez sur Ajouter. Cette action ouvre la bote de dialogue Dtails des lments de dtection. Utilisez cette bote de dialogue pour crer une entre de correspondance de dtection qui sera utilise pour identifier le formulaire dfini. Cette bote de dialogue se compose des zones suivantes. Balise Ce champ indique la balise HTML rechercher. Si vous connaissez l'instance spcifique de la balise, cochez la case Correspondance d'instance de balise et spcifiez quelle instance doit tre utilise. Si aucune instance spcifique n'est identifie, toutes les instances du document sont values. Seule la balise doit tre spcifie et non le dlimiteur (par exemple p et non <p>). Pour ne pas vous tromper, slectionnez la balise la plus proche du contenu recherch. Remarque : tant donn que l'option Instance peut varier d'un navigateur l'autre, utilisez cette fonction uniquement lorsque c'est ncessaire et veillez tester votre configuration. Critres Cette zone permet de dfinir les critres de correspondance. Slectionnez l'un des critres suivants. Texte : il peut s'agir de toute chane de texte incluse dans le code HTML. HTML : tout code spcifique inclus dans la balise spcifie. Attribut : tout attribut du code HTML (par exemple, un attribut nom d'une balise formulaire).
Valeur Ce champ zone permet d'entrer la valeur de recherche de correspondance. Cochez la case Valeur entire pour rechercher une correspondance exacte de la valeur (la prsence de texte non spcifi dans la balise fait chouer la correspondance). Incluez tous les dlimiteurs et guillemets qui peuvent tre inclus. Remarque : cochez la case Valeur entire uniquement lorsqu'il existe plusieurs instances de critres de correspondance similaires.
79
Oprateur Cette zone permet de dfinir la relation entre l'entre courante et les autres entres dfinies pour ce formulaire. Les oprateurs disponibles sont les suivants. AND : slectionnez cette option lorsque l'entre doit tre associe d'autres entres pour permettre d'identifier le formulaire. Lorsque vous slectionnez cette option, le rsultat de la correspondance courante est compar au rsultat suivant. Si les deux rsultats sont vrais, il y a correspondance. OR : slectionnez cette option lorsqu'une entre de correspondance seule permet d'identifier le formulaire. Lorsque vous slectionnez cette option, le rsultat de la correspondance courante est compar au rsultat suivant. Si l'un des deux rsultats est vrai, il y a correspondance. Cette option est utilise pour les dfinitions correspondance unique. NOT : slectionnez cette opration pour appliquer une logique ngative l'oprateur. Cet oprateur est utilis pour dfinir des critres de correspondance qui ne doivent pas apparatre sur la page pour qu'il y ait correspondance.
3.
Lorsque vous avez termin de crer l'entre de correspondance de dtection, cliquez sur OK. Cette action affiche les entres de correspondance de dtection nouvellement cres dans la bote de dialogue Paramtres avancs. Rptez les tapes 2 et 3 pour chaque entre de correspondance de dtection requise pour identifier le formulaire de gestion d'informations d'identification que vous dfinissez. Si plusieurs entres de correspondance de dtection s'affichent dans la bote de dialogue Paramtres avancs, utilisez les boutons haut et bas pour rorganiser les entres dans l'ordre de traitement correct. Les entres de dtection sont values de haut en bas et la squence d'valuation peut tre trs importante pour obtenir une correspondance correcte.
4.
5.
80
Le type d'application dfinie est identifi au moment de la cration d'une nouvelle dfinition d'application. Pour plus d'informations, veuillez consulter les sections Prsentation de l'assistant de dfinition d'application , page 46 et Prsentation de l'assistant de dfinition de formulaire , page 50.
81
Identification du formulaire Dfinition des rgles de dtection de champ Autres rglages Confirmation des rglages
Lorsque vous avez effectu les actions requises dans une page spcifique, cliquez sur Suivant pour passer l'tape suivante de l'assistant. Un bouton Prcdent est gnralement disponible sur chaque page pour revenir aux options configurs prcdemment. Toutefois, pour modifier certaines options que vous avez configures prcdemment, il peut tre ncessaire de modifier d'autres paramtres.
Nom du formulaire
Lorsque vous crez des dfinitions d'application pour des applications de type hte, la page Nom du formulaire de l'assistant de dfinition de formulaire vous permet d'effectuer les oprations suivantes : affecter un nom dfini par l'utilisateur au formulaire cr ; dfinir le type du formulaire cr ;
Notez que le nom attribu au formulaire s'affiche dans la page Gestion des formulaires de l'assistant de dfinition d'application. Choisissez un nom appropri pour le type de formulaire dfini. L'assistant de dfinition de formulaire permet de dfinir plusieurs types de formulaires de gestion des informations d'identification standard. Formulaire d'authentification Il permet de dfinir l'interface d'authentification d'une application et de grer les actions de soumission d'informations d'identification requises pour accder l'application associe. Formulaire de modification de mot de passe Il permet de dfinir l'interface de modification du mot de passe d'une application et de grer les actions de soumission d'informations d'identification requises pour changer le mot de passe utilisateur permettant d'accder l'application. Formulaire de modification de mot de passe russie Il permet de dfinir l'interface de modification du mot de passe d'une application et de grer les actions de soumission d'informations d'identification requises pour confirmer la russite du changement du mot de passe utilisateur permettant d'accder l'application.
82
Formulaire d'chec de modification de mot de passe Il permet de dfinir l'interface indiquant l'chec du changement du mot de passe et de dfinir les actions effectuer dans ces cas.
Les versions 4.0 et 4.1 de l'Agent Password Manager ne prennent pas en charge les formulaires d'chec ou de russite de modification des informations d'identification et ne rpondent pas aux dfinitions d'application contenant ces formulaires. Si l'mulateur utilis affiche plus d'une page d'ouverture de session ou de modification de mot de passe, vous devez crer un formulaire pour chaque page.
Identification du formulaire
Lorsque vous crez des dfinitions pour des applications de type hte, la page Identification du formulaire vous permet de fournir des informations requises pour que l'Agent Password Manager puisse reconnatre sans quivoque le formulaire dfini. Les applications hte sont identifies en recherchant des chanes de texte qui s'affichent sur des lignes et des colonnes spcifies dans la page de l'application hte. Vous devez uniquement dfinir un nombre suffisant de correspondances de chanes de texte pour permettre d'identifier l'hte. Pour ajouter une entre de qualification de correspondance de texte, procdez comme suit : 1. Assurez-vous que l'application hte est lance et que vous avez dj dtermin les chanes de texte qui doivent tre utilises pour identifier l'application cible. Cliquez sur Ajouter pour ajouter une nouvelle entre de correspondance de texte la liste des entres utilises pour identifier l'application. Cette action ouvre la bote de dialogue Texte rechercher. Renseignez les champs suivants de la bote de dialogue Texte rechercher. Chane de texte Entrez le texte exact qui doit tre utilis pour identifier l'application. Ligne Entrez le numro de ligne exact de la chane. Colonne Entrez le numro de colonne exact de la chane.
2.
3.
83
Remarque : lorsque l'Agent analyse une application hte, il examine l'cran pour rechercher la chane de texte exacte l'emplacement de ligne et de colonne dfini. Si le texte situ aux coordonnes dfinies ne correspond pas au texte spcifi, l'cran est ignor. 4. Lorsque vous avez entr la chane de comparaison et les coordonnes dans lesquelles elle apparat, cliquez sur OK. Le texte rechercher dfini s'affiche dans la page Identification du formulaire. Il est souvent ncessaire de dfinir plusieurs chanes de texte pour permettre d'identifier l'application hte cible. Si des chanes de texte rechercher supplmentaires sont requises, rptez les tapes 2 4 pour chaque chane. Lorsque vous avez dfini toutes les entres de Texte rechercher, cliquez sur Suivant pour continuer.
5.
6.
84
Frappes aprs Entrez les codes de touches requis pour dplacer le curseur vers le champ d'informations d'identification suivant ou pour effectuer l'action de soumission des informations.
Remarque : slectionnez le lien Code clavier virtuel pour accder aux informations d'aide sur les codes clavier valides. 3. Lorsque vous avez entr toutes les donnes requises pour l'entre de champ, cliquez sur OK. Cette action affiche l'entre de champ dfinie dans la page Dfinition des rgles de dtection de champ. Rptez les tapes 1 3 pour chaque champ requis pour le formulaire dfini. Les entres de champ affiches dans la page Dfinition des rgles de dtection de champ sont traites de haut en bas telles qu'elles apparaissent sur la page. Utilisez les flches haut et bas pour organiser les entres selon la squence requise par le formulaire d'informations d'identification dfini. Une fois que vous avez dfini toutes les entres de champ et leur squence, cliquez sur Suivant pour continuer.
4. 5.
6.
Autres rglages
La page Autres rglages vous permet d'accder aux options de paramtres avancs pour le formulaire dfini. Les paramtres avancs permettent de : dfinir une pause avant le traitement initial du formulaire ; dfinir les touches requises pour accder au formulaire de gestion des informations d'identification dfini ; dfinir si la touche ENTRE doit tre utilise la place de la touche TAB pour dplacer le curseur d'un champ l'autre du formulaire ; dfinir les critres de correspondance de chane de texte indiquant l'Agent d'ignorer le traitement.
Si une configuration avance supplmentaire est requise pour le formulaire dfini, cliquez sur Avanc pour ouvrir la bote de dialogue Paramtres avancs et procdez la page Paramtres avancs pour les applications hte , page 85 ou cliquez sur Suivant pour continuer.
85
Si des paramtres de configuration avancs sont requis pour un formulaire de gestion des informations d'identification, cliquez sur Avanc... dans la page Autres rglages (voir Autres rglages , page 84) pour ouvrir la bote de dialogue Paramtres avancs. La bote de dialogue Paramtres avancs contient deux pages de configuration accessibles partir du volet gauche de la page : Paramtres supplmentaires d'un formulaire d'application hte Texte ignorer
86
Frappes prliminaires Entrez les codes de touches virtuels qui doivent tre entrs pour accder au premier champ du formulaire de gestion des informations d'identification trait. Slectionnez le lien Code clavier virtuel pour accder aux informations d'aide sur les codes clavier valides.
Utiliser Entre au lieu de TAB pour se dplacer entre les champs Slectionnez cette case le cas chant.
Texte ignorer
Slectionnez l'option Texte ignorer dans le volet gauche pour accder l'option Texte bloquant la soumission des informations d'identification. Cette option permet de spcifier des chanes de texte qui apparaissent dans la page de l'application pour les formulaires qui doivent tre ignors. Ces options sont identiques celles dcrites dans la section Identification du formulaire , page 82.
87
La documentation relative votre application hte peut inclure des identificateurs uniques, tels que des numros d'crans, pour les crans utiliss pour soumettre les informations d'identification. Dans ce cas, utilisez le numro d'cran comme identificateur unique pour faire en sorte que l'Agent puisse identifier et soumettre les informations d'identification au formulaire correct.
88
;EMU21=HostExplorer8 [Rumba6] DisplayName=Rumba RegistryLoc=WALLDATA\Install ValueName= DLLFile=SYSTEM\EHLAPI32.DLL UpdateNotificationHandling=0.FirstLogin Process=shared ConvertPosType=long QuerySessionsType=long QuerySessionStatusType=long QueryHostUpdateType=long StartNotificationType=long IntSize=16 WindowClass=WdPageFrame WindowTitle=RUMBA
Les entres d'mulateur de la section [Emulators] du fichier doivent suivre une squence numrique, de EMU1 EMU99. Toute rupture de la squence entrane la fin du processus ssomho.exe avant la lecture de toutes les entres. La suppression ou l'ajout de marque de commentaire pour des mulateurs inutiliss permet parfois d'amliorer le dmarrage. Ssomho.exe ne recherche pas l'emplacement de DLL HLLAPI inutilises (conomie de ressources et de temps). Pour placer un commentaire devant une entre, dplacez celleci avec le bas de la liste, faites-la prcder d'un point virgule, puis renumrotez les entres EMU restantes pour viter une rupture de la squence. Password Manager ne peut pas mettre jour le fichier mfrmlist.ini. Vous devez le modifier manuellement aprs installation de l'Agent. Pour les dploiements grande chelle, Citrix recommande d'utiliser des fichiers de traitement par lot ou des scripts excuts lors de l'installation avec SMS (System Management Server), CA-Unicenter ou Active Directory.
89
GroupName DisplayName
RegistryLoc
ExplicitPath
IntSize WindowClass
90
Champ WindowTitle
Dfinitions Une partie du titre de fentre pouvant tre utilise par Password Manager pour identifier cette fentre est associe l'mulateur. Elle doit contenir au moins un mot qui sera toujours prsent dans le nom de fentre. Des caractres gnriques sont placs automatiquement des deux cts du texte. Indique Password Manager qu'il doit utiliser l'envoi de frappes clavier pour communiquer avec l'mulateur. Cette option n'est pas la mme que celle utilise pour les applications Windows.
UseSendKeys
Vous trouverez plus d'informations sur les mulateurs de terminal la section Oprations , page 203. Prise en charge des mulateurs de terminal , page 208 Applications d'mulation de terminal , page 207
Remarque : si vous utilisez un dossier partag Novell pour votre magasin central, vous ne pouvez crer qu'une seule configuration utilisateur. Citrix Password Manager ne prend pas en charge les configurations pyramidales ou au niveau de l'utilisateur dans ce cas. Une configuration utilisateur vous permet de contrler le comportement et l'aspect de l'Agent au niveau des utilisateurs. La cration d'une ou plusieurs configurations utilisateur est la dernire tape suivre avant de distribuer l'agent Citrix Password Manager vers les utilisateurs de votre environnement. Notez que vous pouvez ajouter ou modifier tout moment les configurations utilisateur existantes. Cette section traite les points suivants : Dfinition d'une configuration utilisateur , page 92 Avant de commencer , page 96 Cration d'une configuration utilisateur : l'assistant de configuration utilisateur , page 98 Synchronisation des informations d'identification l'aide de la fonction Association de comptes , page 115 Rinitialisation et suppression des donnes utilisateur , page 121 Invite des utilisateurs renregistrer leurs questions de scurit , page 124 Affectation d'une priorit aux configurations utilisateur , page 125 Affectation d'une configuration utilisateur diffrents utilisateurs , page 126
92
Remarque : veuillez consulter la section Planification de votre environnement Password Manager du Guide d'installation Citrix Password Manager.
93
Afficher l'icne de notification Pause de l'Agent avant soumission des informations d'identification Prise en charge d'application Dtection des dfinitions d'application sur le client Activer la prise en charge des mulateurs de terminal Nombre de niveaux de nom de domaine de correspondance
94
Proprit de configuration utilisateur Intervalle de temps avant que l'Agent vrifie d'ventuelles modifications d'mulateur de terminal Interaction de base de l'agent Autoriser les utilisateurs placer l'agent en pause Autoriser les utilisateurs rvler tous les mots de passe dans le Gestionnaire d'informations d'identification Dtecter automatiquement les applications et inviter l'utilisateur stocker les informations didentification Traiter automatiquement les formulaires dfinis lorsque l'Agent les dtecte Forcer une nouvelle authentification avant de rvler les mots de passe de l'utilisateur Informer l'utilisateur lorsque la synchronisation de l'Agent choue Dure sparant les requtes de nouvelle authentification de l'Agent Interaction ct client Supprimer le dossier de donnes et les cls de registre de l'utilisateur l'arrt de l'agent Autoriser les utilisateurs annuler le stockage des informations d'identification lorsqu'une nouvelle application est dtecte Effectuer une vrification de mot de passe lors de la dfinition initiale des informations d'identification Limiter le nombre de jours de suivi des informations didentification supprimes Journaliser les vnements (Observateur d'vnements Windows) Mthodes de protection des donnes Autoriser la protection des donnes l'aide d'un mot de passe vide Permettre le code secret de carte puce API de protection des donnes de Microsoft Rglementer l'accs des administrateurs de comptes aux donnes Certificat de carte puce
Valeur personnalise
Oui Non
Oui
Non Oui
95
Valeur par dfaut Protection des donnes par carte puce Oui
Valeur personnalise
Donnes d'authentification des utilisateurs Bureau dynamique Activer le graphique Activer l'indicateur de session Chemin d'accs du graphique Dlai d'expiration du verrouillage Chemin d'accs du fichier de paramtres de scripts de session Dlai d'expiration de session Module de gestion des cls Emplacement de service Systme de licences Autoriser l'utilisation de la licence en mode dconnect Dure de mode dconnect pour une licence utilisateurs simultans Continuer sans valider les informations de licence Nom et numro de port du serveur de licences Dure de mode dconnect pour une licence d'utilisateur dsign dition du produit dition du produit Module d'habilitation Excuter l'habilitation Emplacement du service d'habilitation Protection secondaire des donnes Mthode de vrification d'identit Fonctions autonomes de compte Rinitialiser le mot de passe du domaine
Non Oui
10 minutes
5 minutes
Non
Non
96
Proprit de configuration utilisateur Dverrouiller le compte de domaine Synchronisation Permettre l'Agent de fonctionner mme s'il ne peut pas se reconnecter au magasin central Autoriser les utilisateurs actualiser les rglages de l'Agent Permettre l'accs aux informations d'identification par le module de synchronisation des informations d'identification Synchroniser chaque lancement d'applications reconnues ou du Gestionnaire d'informations d'identification par l'utilisateur Dure entre les requtes de synchronisation automatique
Valeur personnalise
Non
0 minute
Avant de commencer
Remarque : veuillez consulter la section Exigences lies aux comptes pralables l'installation et l'utilisation de Password Manager du Guide d'installation Citrix Password Manager. Avant de crer vos configurations utilisateur, assurez-vous que vous avez dj cr ou dfini les lments suivants : Magasin central Dfinitions d'application Stratgies de mot de passe Questions de scurit
Vous devez crer une configuration avant de dployer l'Agent Password Manager vers vos utilisateurs. Entre autres paramtres, une configuration utilisateur contient le serveur et les informations de licences requis pour le fonctionnement de l'Agent.
La section suivante dcrit les lments prendre en compte avant de crer votre configuration utilisateur.
97
98
Guide de l'administrateur Citrix Password Manager Pour spcifier un contrleur de domaine pour une configuration utilisateur existante
1. 2. 3. 4. 5.
Cliquez sur Dmarrer > Programmes > Citrix > Consoles de gestion > Access Management Console. Dveloppez le nud Password Manager et Configurations utilisateur. Slectionnez une configuration utilisateur. Dans la zone Tches courantes, slectionnez Modifier la configuration utilisateur. L'assistant Modification de la configuration utilisateur s'affiche. Slectionnez Serveur de synchronisation dans les options dans la partie gauche de la page de l'assistant. Slectionnez un contrleur de domaine disponible ou Tout contrleur de domaine autorisant l'criture. Cliquez sur OK pour enregistrer vos modifications.
6. 7.
En fonction du paramtre slectionn, les utilisateurs de la configuration utilisateur spcifie sont lis au contrleur de domaine maintenant dsign ou autorisant l'criture lors de leur prochaine connexion Password Manager.
99
Emplacement des modules du service , page 115 Fin de l'assistant de configuration utilisateur , page 115
1. 2. 3.
Cliquez sur Dmarrer > Programmes > Citrix > Consoles de gestion > Access Management Console. Dveloppez le nud Password Manager et slectionnez Configurations utilisateur. Cliquez sur Ajouter une nouvelle configuration utilisateur dans la zone Tches courantes.
100
Choix d'applications
Ajoutez les applications pour la configuration utilisateur. Lorsque vous cliquez sur le bouton Ajouter, une bote de dialogue apparat et affiche les dfinitions d'application prcdemment cres. Vous pouvez maintenant les ajouter pour crer un groupe d'application. Nom de votre groupe d'applications Pensez nommer le groupe d'applications en fonction de la manire dont vous prvoyez de regrouper vos applications. Par exemple, Applications Web, Logiciel Citrix, etc. Un groupe peut galement comporter une seule application. Slectionnez la stratgie de mot de passe. Slectionnez la stratgie Default, Domain ou une stratgie de mot de passe personnalise appliquer toutes les applications du groupe. Convertir ce groupe d'applications en groupe de partage de mot de passe Vous pouvez crer un groupe de partage de mot de passe pour automatiser et simplifier le processus de modification des mots de passe. En cas de modification du mot de passe d'une dfinition d'application appartenant un groupe de partage de mot de passe, l'Agent s'assure que la modification de mot de passe est prise en compte dans les informations d'identification stockes pour toutes les applications du groupe.
101
Les groupes de partage de mot de passe permettent l'Agent de grer plusieurs combinaisons d'informations d'identification pour des applications utilisant la mme autorit d'authentification. Par exemple, si vous disposez de deux applications utilisant la mme base de donnes Oracle pour l'authentification (telles qu'une application de gestion financire et une application de gestion des ressources humaines), vous pouvez les placer dans le mme groupe de partage de mot de passe. Si vos utilisateurs modifient leur mot de passe pour l'une de ces applications, ceux de l'autre application sont automatiquement mis jour. Important : pour optimiser les rsultats, assurez-vous que tous les mots de passe compris dans le groupe de partage sont grs par une autorit d'authentification commune. Par exemple, vous mettez en uvre un groupe de partage de mot de passe si les applications d'un groupe de partage utilisent une autorit d'authentification principale commune, telle qu'une base de donnes, o l'utilisateur soumet les mmes informations d'identification chaque application pour l'authentification la base de donnes. Vous ne regroupez pas des applications non lies, telles qu'un programme de messagerie, une application Web et un programme d'authentification principale sur votre rseau Intranet, o un utilisateur peut ventuellement soumettre trois ensembles diffrents d'informations d'identification mais utilise seulement par hasard les mmes informations d'identification pour les trois applications. Dans ce cas, si un utilisateur modifie des informations d'identification pour une application dans ce groupe de partage de mot de passe, elles ne seront pas obligatoirement valides pour les deux autres applications. Activer la dfinition initiale des informations d'identification Slectionnez cette option pour permettre aux utilisateurs d'ajouter des informations d'identification pour l'application lors de la premire utilisation de l'Agent Password Manager (c'est--dire, au cours du processus d'inscription et d'enregistrement). Cette fonctionnalit fait gagner du temps vos utilisateurs en leur permettant de configurer en une seule opration les informations d'identification pour les applications. Ne slectionnez pas cette fonction si vous souhaitez demander aux utilisateurs de fournir des informations d'identification pour chaque application lors du dmarrage de l'application concerne.
102
Remarque : si vous ajoutez des applications ultrieurement cette configuration utilisateur et que cette option est slectionne, les utilisateurs sont invits mmoriser les informations d'identification lors du dmarrage suivant de l'Agent sur son poste de travail ou sur la machine cliente.
103
Informer l'utilisateur lorsque la synchronisation de l'Agent choue Slectionnez cette option pour signaler les checs de synchronisation de l'Agent aux utilisateurs. Selon le rglage de l'option Permettre l'Agent de fonctionner mme s'il ne peut pas se reconnecter au magasin central de la page Paramtres avancs - Synchronisation, les utilisateurs peuvent tre en mesure de continuer de travailler aprs un chec de synchronisation.
Dtecter automatiquement les applications et inviter l'utilisateur stocker les informations didentification Slectionnez cette option pour inviter les utilisateurs soumettre leurs informations d'identification Password Manager pour les applications rcemment dtectes par l'Agent. Dslectionnez cette option pour dsactiver la capacit de l'Agent Password Manager dtecter des applications qui ne sont pas associes cette configuration utilisateur. Si cette option n'est pas active, les utilisateurs doivent soumettre manuellement les informations d'identification auprs de ces applications. Utilisez ce paramtre pour empcher les utilisateurs d'ajouter leur ensemble d'applications d'authentification unique des applications qui ne font actuellement pas partie de la configuration utilisateur qui leur est affecte. Si elle est dslectionne, cette option remplace l'option Autoriser les utilisateurs annuler le stockage des informations d'identification lorsqu'une nouvelle application est dtecte disponible dans la page Paramtres avancs - Interactions ct client. En outre, si vous envisagez d'utiliser l'habilitation, la dslection de cette option vitera que les utilisateurs ne soient invits entrer leurs informations d'identification. La section Automatisation de la saisie des informations d'identification l'aide de l'habilitation , page 159, dcrit le module d'habilitation.
Traiter automatiquement les formulaires dfinis lorsque l'Agent les dtecte Slectionnez cette pour permettre l'Agent de soumettre automatiquement les informations d'identification mmorises sans que l'utilisateur n'ait intervenir. Les champs d'informations d'identification dans l'application sont renseigns automatiquement si vous avez activ le paramtre L'Agent soumet ce formulaire automatiquement correspondant dans la dfinition d'application associe cette configuration utilisateur.
Dure sparant les requtes de nouvelle authentification de l'Agent Il s'agit de l'intervalle sparant les demandes d'authentification. Lorsque ce dlai expire, l'ordinateur de l'utilisateur est verrouill et les utilisateurs doivent de nouveau s'authentifier en tapant leurs informations d'identification Windows. La valeur minimale autorise est d'une minute.
104
Paramtres avancs
Cliquez sur le bouton Paramtres avancs dans la page Configuration de l'interaction de l'Agent pour accder ces paramtres.
Interface utilisateur de l'Agent Afficher le nom de l'ordinateur dans la bulle d'aide de l'icne de notification Cette option dtermine si le nom de l'ordinateur apparat dans la bulle d'aide de l'icne de notification (dans la zone de notification de la barre d'outil de l'utilisateur). Si cette option est slectionne, le nom de l'ordinateur est ajout dans la bulle d'aide de l'icne de notification. Cette option est utile dans les environnements Citrix Presentation Server ou les environnements mixtes (publis et les applications locales) pour permettre aux utilisateurs d'identifier l'Agent en cours d'excution. Active par dfaut. Cette option permet d'afficher l'icne de notification de Citrix Password Manager lorsque l'Agent est actif. Lorsque cette option est dslectionne, les utilisateurs ne peuvent pas dmarrer ou arrter l'Agent ou accder aux autres options contrles par l'utilisateur. Cette option spcifie le dlai (en secondes) de soumission d'informations d'identification de l'Agent aprs dtection d'une application autorise. Ce paramtre permet de s'assurer que l'application est prte recevoir les informations didentification. Pendant cet intervalle, l'Agent affiche un indicateur de progression, signalant le traitement en cours. Permet de dsigner les colonnes affiches dans la vue Dtails du Gestionnaire d'informations d'identification et leur ordre de prsentation. Il n'affecte pas les vues Liste ou Icnes dans le Gestionnaire d'informations d'identification.
Dfinir les colonnes par dfaut et leur ordre dans le Gestionnaire d'informations d'identification
Interaction ct client Effectuer une vrification de mot de passe lors de la dfinition initiale des informations d'identification Active par dfaut. Cette option permet d'obliger les utilisateurs entrer deux fois les mots de passe en guise de confirmation lors de la dfinition initiale des informations d'identification. Cette option permet d'activer la journalisation des erreurs et avertissements de l'agent dans le journal d'vnements de Windows sur l'ordinateur local. Cette option permet de supprimer le dossier de donnes (y compris les informations d'identification cryptes) et les cls de registre de l'utilisateur l'arrt de l'agent.
Journaliser les vnements (Observateur d'vnements Windows) Supprimer le dossier de donnes et les cls de registre de l'utilisateur l'arrt de l'agent
105
Autoriser les utilisateurs annuler le stockage des informations d'identification lorsqu'une nouvelle application est dtecte
Active par dfaut. Cette option permet d'activer l'invite demandant aux utilisateurs s'ils souhaitent stocker leurs informations d'identification chaque fois que l'Agent reconnat une application pour laquelle aucune information n'est stocke. Si cette option est dsactive, les utilisateurs peuvent stocker leurs informations d'identification dans le Gestionnaire d'informations d'identification tout de suite ou ultrieurement. Remarque : si le paramtre Dtecter automatiquement les applications et inviter l'utilisateur stocker les informations didentification est dsactiv, l'Agent n'invite pas les utilisateurs stocker leurs informations didentification. Une description de ce paramtre se trouve la section Configuration de l'interaction de l'Agent , page 102.
Active par dfaut, avec la valeur de 180 jours. Spcifie en jours la dure pendant laquelle le magasin central effectue le suivi des informations d'identification supprimes du Gestionnaire d'informations d'identification. Si elles sont stockes sur plusieurs machines clientes, l'Agent supprime les informations d'identification lors de la synchronisation avec le magasin central dans le dlai imparti. Si elles sont encore stockes sur la machine cliente lorsque le dlai a expir, elles sont restaures la synchronisation.
Synchronisation Autoriser les utilisateurs actualiser les rglages de l'Agent Active par dfaut. Cette option permet d'autoriser les utilisateurs rafrachir les paramtres dans le Gestionnaire d'informations d'identification. Lorsque ce paramtre est dsactiv, la commande Actualiser du Gestionnaire d'informations d'identification l'est aussi. Cette option ontrle la synchronisation des informations de configuration utilisateur ds que l'utilisateur lance une application reconnue ou le Gestionnaire d'informations d'identification. Remarque : une synchronisation frquente peut entraner une dgradation des performances sur le client et le serveur, ainsi qu'un accroissement du trafic rseau. Permettre l'Agent de fonctionner mme s'il ne peut pas se reconnecter au magasin central Active par dfaut. Cette option permet Password Manager de continuer fonctionner lorsqu'il ne peut pas se connecter au magasin central pour la synchronisation. Lorsque cette option est active, une instance de l'Agent disposant d'une licence continue fonctionner mme en l'absence de connexion. Si cette option est indisponible, l'Agent ne fonctionne qu'avec une connexion au magasin central.
Synchroniser chaque lancement d'applications reconnues ou du Gestionnaire d'informations d'identification par l'utilisateur
106
Cette option spcifie l'intervalle en minutes sparant les tentatives de synchronisation automatique. La synchronisation automatique ne dpend pas de l'activit utilisateur et s'ajoute la synchronisation provoque par certains vnements. Cette option contrle l'accs des clients distants aux informations d'identification de l'utilisateur par le biais de ce module. Cette option est utilise par la fonction Association de comptes, qui autorise un utilisateur de l'agent se connecter n'importe quelle application l'aide d'au moins un compte Windows.
Permettre l'accs aux informations d'identification par le module de synchronisation des informations d'identification
Association de comptes Reportez-vous la section Synchronisation des informations d'identification l'aide de la fonction Association de comptes , page 115 pour configurer cette fonction. Veuillez galement consulter la section Utilisation de l'association de comptes avec plusieurs magasins centraux et informations d'identification de compte utilisateur dans une entreprise multidomaine dans le Guide d'installation Citrix Password Manager.
107
Prise en charge d'application Dtecter les dfinitions d'application sur le client Active par dfaut. Cette option permet l'Agent de dtecter les dfinitions d'applications ct client en slectionnant l'une des options suivantes. Toutes les applications : cette option dtecte les applications (et y rpond) dfinies par un administrateur ou un utilisateur (dans le Gestionnaire d'informations d'identification) et dfinies dans les paramtres par dfaut lors de l'installation. Applications incluses dans l'Agent Password Manager uniquement : cette option dtecte les applications (et y rpond) dfinies par un administrateur et dfinies dans les paramtres par dfaut lors de l'installation. Les utilisateurs ne peuvent pas crer leurs propres dfinitions d'application partir du Gestionnaire d'informations d'identification. Applications dfinies par les utilisateurs dans le Gestionnaire uniquement : cette option dtecte les applications (et y rpond) dfinies par un administrateur et un utilisateur dans le Gestionnaire d'informations d'identification. L'agent ne reconnat pas celles dfinies dans les paramtres par dfaut l'installation. Activer la prise en charge des mulateurs de terminal Cette option permet d'activer la prise en charge des mulateurs de terminal. L'Agent ncessite la prise en charge d'mulateurs de terminal pour dtecter les applications hte ou mainframe. Lorsque cette option est slectionne, l'Agent excute un processus qui dtecte les mulateurs de terminal. Si vous le souhaitez, vous pouvez slectionner, en millisecondes, la Frquence de surveillance par l'Agent des modifications dans l'mulateur. Cette option spcifie le dlai respecter avant que l'Agent vrifie la prsence de changements dans l'affichage de l'mulateur d'hte. Des valeurs plus faibles peuvent requrir plus de temps d'UC sur le client et augmentent le trafic rseau. Si vous ne slectionnez pas ce paramtre, l'Agent utilise une valeur par dfaut de 3 000 millisecondes.
108
Cette option spcifie le nombre minimum de niveaux de nom de domaine de correspondance pour les applications Web autorises. Par exemple, une valeur infrieure ou gale 2 correspond *.domaine1.domainedepremierniveau; une valeur de 3 *.domaine2.domaine1.domainedepremierniveau. Les niveaux de nom de domaine suprieurs au nombre spcifi ne sont pas pris en compte. Pour contrler de faon stricte la correspondance d'adresse URL pour les applications Web, il est possible de dfinir une recherche plus contraignante dans vos dfinitions d'application.
Bureau dynamique (voir aussi Paramtres de configuration utilisateur du Bureau dynamique , page 190) Chemin d'accs du fichier de paramtres de scripts de session Cette option spcifie le chemin d'accs du fichier de paramtres de session dfinissant les scripts excuter au dbut et la fin d'une session de Bureau dynamique. Le script de dmarrage permet de dmarrer des applications. Le script d'arrt permet d'effectuer des tches de nettoyage telles que la suppression de fichiers. Le fichier utilis doit tre accessible par tous les utilisateurs. Cette option spcifie en minutes la dure pendant laquelle une session de Bureau dynamique reste active lorsque le poste de travail est inactif. Si ce dlai est dpass, le bureau est verrouill. La valeur par dfaut est 10 minutes. Cette option spcifie la dure pendant laquelle une session de Bureau dynamique est excute alors que le bureau est verrouill. Si ce dlai est dpass, il est mis fin la session et une nouvelle session s'ouvre lorsque le bureau est dverrouill. La valeur par dfaut est cinq minutes. Active par dfaut. Cette option permet d'activer une fentre identifiant la session de Bureau dynamique. Lorsque cette option est slectionne, une fentre transparente (qu'il est possible de dplacer) est affiche sur le bureau pendant les sessions de Bureau dynamique. Cette fentre indique le nom de l'utilisateur et le temps coul dans la session active. Cette option spcifie le chemin du fichier graphique affich dans l'Indicateur de session de Bureau dynamique. Le fichier utilis doit tre accessible tous les utilisateurs et enregistr au format bitmap (.bmp) de Windows.
109
110
Licences Utilisateurs simultans (ditions Enterprise et Platinum uniquement) Cette option est active si vous avez slectionn les ditions Presentation Server Platinum ou Password Manager Enterprise. Elle est dsactive si vous avez slectionn l'dition Password Manager Advanced. Remarque : ce modle de licences est activ si vous avez effectu une mise niveau partir de Password Manager version 4.1. Citrix Systems considre que cette version prcdente est quivalente l'dition Enterprise de Password Manager 4.6 pour ce qui est des licences lors de la mise niveau. Ce type de licence permet de partager une seule licence Password Manager entre diffrents utilisateurs (mais pas en mme temps ; ce type de licence est parfois aussi appel licence flottante). Autoriser l'utilisation de la licence en mode dconnect Slectionnez cette option pour spcifier la dure pendant laquelle l'utilisateur peut tre dconnect (hors connexion) avant l'expiration de la licence et son retour dans l'ensemble de licences disponibles. Si elle est active, la licence est consomme pour la dure spcifie, mme si l'ordinateur de l'utilisateur s'arrte. La dure par dfaut est de 21 jours, mais elle peut aller de 2 jours 365. Si cette option n'est pas slectionne, la licence expire et retourne dans l'ensemble aprs 1 heure et 30 minutes. Cette dure n'est pas modifiable. Reportez-vous galement au paramtre de Synchronisation Permettre l'Agent de fonctionner mme s'il ne peut pas se reconnecter au magasin central dcrit dans la section Paramtres avancs , page 104.
111
Remarque : si vous avez mis niveau votre magasin central Password Manager de la version 4.1 la version 4.6, l'option Utiliser la mme protection des donnes qu'avec Password Manager 4.1 et versions prcdentes est slectionne automatiquement.
Important : pour utiliser les cartes puce dans un environnement Windows Vista, vous devez activer l'option Microsoft Data Protection API (DPAPI) dans vos configurations utilisateur. Devez-vous rglementer l'accs des administrateurs aux donnes utilisateurs ? Slectionnez Oui si vous souhaitez interdire l'accs des administrateurs aux informations d'identification des utilisateurs. Oui est le rglage par dfaut sur cette page. Avec cette configuration, l'administrateur de comptes ou autres ne peut pas accder aux mots de passe ou aux donnes de l'utilisateur. Ce paramtre permet d'empcher un administrateur de prendre l'identit d'un utilisateur. L'administrateur ne peut pas se connecter l'agent sous l'identit de l'utilisateur avec le paramtre par dfaut et ventuellement accder aux donnes situes dans le magasin central local de l'utilisateur. Si vous slectionnez Oui, les options Microsoft Data Protection API (y compris l'option DPAPI avec profil dans le menu droulant de sources de cl sur carte puce) de cette page et l'option Ne pas interroger les utilisateurs, restaurer automatiquement la protection principale des donnes sur le rseau de la page Slection de la protection secondaire des donnes sont dsactives. Slectionnez Non si vous souhaitez autoriser l'utilisation de toutes les fonctions d'authentification de cette page et des mthode de protection secondaire de donnes la page suivante de l'assistant (dcrite la section Slection de la protection secondaire des donnes , page 113). Pour amliorer le processus d'ouverture de session pour les utilisateurs, veuillez slectionner toutes les mthodes de protection des donnes qui s'appliquent. Cette slection vous permet d'utiliser les diffrentes fonctions d'authentification principale comprises dans cette version de Password Manager et de contrler le comportement de l'Agent. Ces options sont notamment :
112
Un secret de l'utilisateur permet d'accder aux donnes de l'utilisateur et de les protger. Le secret d'authentification peut tre un mot de passe de l'utilisateur ou un priphrique de saisie de code confidentiel install dans votre environnement. Pour amliorer encore la protection des donnes des utilisateurs, vous pouvez galement slectionner les options suivantes : Permettre le code secret de carte puce Cette option vous permet d'utiliser le code secret d'une carte puce en guise de secret de l'utilisateur pour protger les donnes. Elle n'est recommande que si votre entreprise ou votre environnement possde une stratgie forte en matire de codes secrets. Autoriser la protection des donnes l'aide d'un mot de passe vide Ne slectionnez cette option que si les besoins de scurit de votre domaine sont faibles et admettent des mots de passe de domaine vides. Si vous le faites et que l'Agent dtecte que le mot de passe de l'utilisateur est vide, un secret de l'utilisateur est calcul partir de l'ID de l'utilisateur. Si vous ne slectionnez pas cette option, l'Agent ne calcule pas de secret de l'utilisateur ou n'assure pas de protection des donnes l'aide du mot de passe vide. Si vous slectionnez Donnes d'authentification des utilisateurs mais pas Permettre le code secret de carte puce ni Autoriser la protection des donnes l'aide d'un mot de passe vide, un message d'erreur s'affiche lorsque l'utilisateur tente d'ouvrir une session pour procder l'inscription et l'enregistrement initiaux et l'Agent est dsactiv.
Slectionnez cette option si vous utilisez des profils itinrants exploitant un protocole d'authentification de rseau Kerberos pour les utilisateurs. Cette option ne fonctionne que si des profils itinrants sont prsents. Par exemple, slectionnez Donnes d'authentification des utilisateurs ainsi que cette option si vos utilisateurs se servent de mots de passe pour accder leurs ordinateurs et d'un protocole d'authentification de rseau Kerberos pour accder une batterie de serveurs Citrix Presentation Server. Cette mthode admet galement l'utilisation d'informations d'identification de l'utilisateur et de cartes puce pour l'ouverture de session.
Cette option permet d'utiliser des cartes cryptographiques autorisant le cryptage et le dcryptage des donnes d'authentification. Citrix vous conseille de slectionner cette option, dans la mesure du possible, si vous utilisez Bureau dynamique dans votre environnement.
113
Utiliser la mme protection des donnes qu'avec Password Manager 4.1 et versions prcdentes Slectionnez cette option et l'une des mthodes suivantes dans le menu droulant Source de cl de carte puce si vous souhaitez autoriser les l'utilisation d'une mthode d'authentification principale unique et/ou si vous utilisez la version 4.0 ou 4.1 de l'Agent. En outre, si vous avez mis niveau votre magasin central Password Manager de la version 4.1 vers la version 4.6, cette option est slectionne automatiquement: code secret en tant que mot de passe ; protection des donnes par carte puce ; DPAPI avec profil (non disponible si l'option Non est slectionne pour la question Devez-vous rglementer l'accs des administrateurs de comptes aux donnes utilisateurs ?
114
Grce cette option, les utilisateurs reoivent une invite en fonction de la mthode de vrification qu'ils ont choisie. Elle comporte cette sous-option : Utiliser la question de vrification d'identit comme dans les versions prcdentes de Password Manager. Slectionnez cette option en cas de mise niveau de la version 4.0 ou 4.1 de Password Manager et de l'activation de l'authentification avec questions ou des questions de vrification d'identit. Les versions 4.0 et 4.1 de l'Agent n'ont pas besoin d'accder au service dans ce cas.
Aucune invite aux utilisateurs ; restauration automatique de la protection principale des donnes sur le rseau Slectionnez cette option si vous mettez en uvre le module de gestion des cls pour contourner la vrification d'identit et dverrouiller automatiquement les informations d'identification des utilisateurs. Cette mthode est moins sre que les autres mthodes de protection de donnes mais elle est plus pratique pour vos utilisateurs, dans la mesure o les informations d'identification sont rcupres automatiquement.
115
116
Sans la fonction Association de comptes, une personne possdant plusieurs comptes Windows doit modifier manuellement ses informations de connexion sparment dans chaque compte Windows.
2. Dployer le certificat racine de confiance sur tous les ordinateurs de l'entreprise qui doivent utiliser la fonction Association de comptes. 3. Synchroniser manuellement les dfinitions d'application entre les domaines. 4. Configurer les paramtres utilisateur de l'Association de compte dans les autres domaines, pour la connexion au module de synchronisation des informations d'identification. 5. Obliger chaque utilisateur activer la fonction Association de comptes dans l'Agent.
Configuration de la fonction Association de comptes dans l'Agent , page 120 Pour configurer la fonction Association de comptes dans l'Agent , page 120
Choix et configuration d'un domaine pour l'hbergement du module de synchronisation des informations d'identification
Choisissez le domaine qui contient les comptes de tous les utilisateurs de votre entreprise qui vont utiliser la fonction Association de comptes. Le module de synchronisation des informations d'identification fait office de concentrateur pour toutes les informations d'identification au sein de l'entreprise. Installez ce module dans ce domaine de la mme manire qu'un autre service Password Manager. Veuillez consulter la section Installation et configuration du Service Password Manager dans le Guide d'installation Citrix Password Manager.
117
Important : contactez votre administrateur rseau pour dcider s'il est ncessaire d'apporter des modifications au pare-feu et si ces modifications sont compatibles avec les stratgies de votre entreprise. Une fois le module de synchronisation des informations d'identification install, crez ou modifiez les configurations utilisateur partir de la Console Password Manager de manire autoriser les comptes des utilisateurs utiliser le module de synchronisation, comme suit.
Pour configurer les fonctions de synchronisation des informations d'identification dans le domaine hte
Remarque : ouvrez la Console Access Suite partir du domaine hbergeant le module de synchronisation des informations d'identification. Certains domaines peuvent accder plusieurs magasins centraux. Assurez-vous que la console que vous utilisez est configure pour une connexion au mme magasin central que le module de synchronisation des informations d'identification. 1. 2. 3. Cliquez sur Dmarrer > Programmes > Citrix > Consoles de gestion > Access Management Console. Dveloppez le nud Password Manager et slectionnez Configurations utilisateur. Slectionnez une configuration utilisateur existante ou crez-en une nouvelle. Si vous crez une nouvelle configuration utilisateur, vous pouvez accder aux options suivantes l'aide du bouton Paramtres avancs de la page Configuration de l'interaction de l'Agent. Si vous modifiez une configuration utilisateur existante, les options suivantes sont disponibles dans la page de proprits Modification de la configuration utilisateur.
4.
Cliquez sur Synchronisation et activez la case cocher Autoriser l'accs des informations d'identification de l'utilisateur par le biais du module de synchronisation des informations d'identification. Cliquez sur OK et rptez ces oprations pour chaque configuration utilisateur (nouvelle et existante).
5.
118
Remarque : installez et ouvrez la console partir d'un poste de travail dans chaque domaine qui n'hberge pas le module de synchronisation des informations d'identification. Certains domaines possdent plusieurs magasins centraux. N'oubliez donc pas de configurer chaque magasin central. Tous les administrateurs de domaines doivent autoriser les utilisateurs associer leurs comptes leur compte de domaine hte. Modifiez en consquence la section Association de comptes des configurations utilisateur voulues dans la console. 1. Cliquez sur Dmarrer > Programmes > Citrix > Consoles de gestion > Access Management Console.
119
2. 3.
Dveloppez le nud Password Manager et slectionnez Configurations utilisateur. Slectionnez une configuration utilisateur existante ou crez-en une nouvelle. Si vous crez une nouvelle configuration utilisateur, vous pouvez accder aux options suivantes l'aide du bouton Paramtres avancs de la page Configuration de l'interaction de l'Agent. Si vous modifiez une configuration utilisateur existante, les options suivantes sont disponibles dans la page de proprits Modification de la configuration utilisateur.
4. 5.
Cliquez sur Association de comptes. Slectionnez Autoriser les utilisateurs associer des comptes. Les options suivantes ne sont pas obligatoires, mais elles contribuent amliorer l'exprience des utilisateurs.
6.
Slectionnez Fournir une adresse du service par dfaut et tapez l'adresse du service Password Manager et le port du domaine hbergeant le module de synchronisation des informations d'identification. Dslectionnez Autoriser les utilisateurs modifier l'adresse du service. Slectionnez Fournir le domaine par dfaut et tapez le nom du domaine hbergeant le module de synchronisation des informations d'identification. Remarque : si vous n'indiquez pas de domaine, les utilisateurs pourraient avoir des incertitudes quant aux informations d'identification de compte de domaine ils doivent fournir.
7. 8.
9. 10. 11.
Dslectionnez Autoriser les utilisateurs modifier le domaine. En fonction des stratgies de scurit de votre entreprise, slectionnez Permettre aux utilisateurs de garder le mot de passe en mmoire. Cliquez sur OK et rptez l'opration pour chaque configuration utilisateur.
Une fois que vous avez termin les oprations dcrites ici, les utilisateurs sont mme d'associer leurs comptes Windows.
120
1.
Procdez comme suit : Dans l'icne de la zone de notification de l'Agent Password Manager, slectionnez Outils > Association de comptes. Dans le Gestionnaire d'informations d'identification, slectionnez Outils > Association de comptes.
La bote de dialogue Association de comptes s'affiche. 2. Slectionnez Activer l'association de comptes. Remarque : si vous n'avez pas indiqu l'adresse du service qui hberge le module de synchronisation des informations d'identification, les utilisateurs doivent l'indiquer dans la zone de texte. Si ce champ n'est pas disponible, cela signifie que vous avez dj saisi cette adresse de service et que les utilisateurs ne peuvent pas entrer de donnes dans ce champ. Veuillez consulter la section Pour configurer les paramtres utilisateur de l'Association de compte dans les autres domaines , page 118. 3. Cliquez sur OK. La bote de dialogue Authentification pour association de comptes s'affiche. 4. Tapez votre nom d'utilisateur et votre mot de passe pour votre compte Windows associ. Si le domaine d'installation du module de synchronisation des informations d'identification ne s'affiche pas, saisissez-le dans le champ Domaine.
121
Remarque : si vous avez spcifi le nom de domaine, les utilisateurs ne peuvent pas entrer de texte dans ce champ. Veuillez consulter la section Pour configurer les paramtres utilisateur de l'Association de compte dans les autres domaines , page 118. 5. Cliquez sur OK. L'association de comptes est maintenant configure. Les informations d'identification sont synchronises en mme temps que l'Agent.
122
Vous pouvez utiliser la fonction Rinitialisation des donnes utilisateur si des utilisateurs oublient les rponses leurs questions de scurit ou pour rinitialiser leurs informations d'identification en cas d'altration des donnes de l'utilisateur. Lorsque l'utilisateur se connecte ultrieurement votre magasin central l'aide de l'Agent, toutes les donnes du magasin local d'informations d'identification de l'utilisateur sont supprimes et il doit de nouveau s'enregistrer, comme pour la dfinition initiale des informations d'identification. Cette opration est galement utile lorsqu'un utilisateur ne peut pas se connecter l'Agent. Important : l'historique du mot de passe est enregistr utilisateur par utilisateur. Si vous rinitialisez les donnes d'un utilisateur, son historique de mot de passe est supprim et l'historique ne peut pas tre appliqu pour les mots de passe supprims.
Pour rinitialiser les donnes utilisateur
1. 2. 3.
Cliquez sur Dmarrer > Programmes > Citrix > Consoles de gestion > Access Management Console. Dveloppez le nud Password Manager et slectionnez Configurations utilisateur. Cliquez sur Rinitialisation des donnes utilisateur dans la zone Autres tches. La bote de dialogue Slectionner Utilisateur s'affiche. Tapez un nom d'utilisateur dans la zone de texte et cliquez sur Vrifier les noms. Si vous obtenez un rsultat, cliquez sur OK. Slectionnez un utilisateur dans votre magasin central et cliquez sur Rinitialiser. Cliquez sur OK. Un message d'avertissement s'affiche. Vrifiez que tous les utilisateurs susceptibles d'excuter Password Manager en tant qu'application hberge par Citrix Presentation Server sont dconnects et cliquez sur Continuer pour signaler les donnes de l'utilisateur rinitialiser. S'ils n'ont pas ferm leur session, cliquez sur Annuler, rinitialisez leur session ICA et revenez cette procdure.
4. 5. 6. 7. 8.
123
9.
Cliquez sur OK dans la bote de dialogue Rinitialisation des donnes utilisateur une fois les informations des utilisateurs vrifies et rinitialises. Les donnes des utilisateurs sont rinitialises lors de leur prochaine connexion Password Manager l'aide de l'Agent.
1. 2. 3.
Cliquez sur Dmarrer > Programmes > Citrix > Consoles de gestion > Access Management Console. Dveloppez le nud Password Manager et slectionnez Configurations utilisateur. Cliquez sur Supprimer les donnes utilisateur du magasin central dans la zone Autres tches. La bote de dialogue Slectionner Utilisateur s'affiche. Tapez un nom d'utilisateur dans la zone de texte et cliquez sur Vrifier les noms. Si vous obtenez un rsultat, cliquez sur OK. Cliquez sur Oui pour confirmer. Un message de confirmation s'affiche. Cliquez sur OK. L'utilisateur est maintenant supprim du magasin central.
4. 5.
6.
124
1. 2. 3.
Cliquez sur Dmarrer > Programmes > Citrix > Consoles de gestion > Access Management Console. Dveloppez le nud Password Manager et slectionnez Configurations utilisateur. Cliquez sur l'une des options suivantes : Effacer les questions de scurit d'un utilisateur La bote de dialogue Slectionner Utilisateur s'affiche. Tapez ou slectionnez un utilisateur. Confirmez que vous souhaitez rvoquer l'enregistrement des questions de scurit de cet utilisateur.
125
Inviter nouveau tous les utilisateurs enregistrer leurs questions de scurit Cliquez sur Oui pour inviter tous les utilisateurs, puis sur OK.
1. 2. 3.
Cliquez sur Dmarrer > Programmes > Citrix > Consoles de gestion > Access Management Console. Dveloppez le nud Password Manager et slectionnez Configurations utilisateur. Cliquez sur Dfinition de la priorit de configuration utilisateur. La bote de dialogue Dfinition de la priorit de configuration utilisateur s'affiche.
4. 5.
Slectionnez une configuration utilisateur et cliquez sur Monter ou Descendre, selon vos prfrences. Cliquez sur OK.
126
1. 2. 3. 4. 5. 6. 7.
Cliquez sur Dmarrer > Programmes > Citrix > Consoles de gestion > Access Management Console. Dveloppez le nud Password Manager et slectionnez Configurations utilisateur. Slectionnez la configuration utilisateur. Cliquez sur Copier la configuration utilisateur. Entrez le nom de la configuration en double. Spcifiez l'unit d'organisation, l'utilisateur ou le groupe contenant les utilisateurs auxquels la configuration utilisateur doit s'appliquer. Cliquez sur OK.
Remarque : vous ne pouvez pas dplacer une configuration utilisateur associe un groupe Active Directory. Pour associer la configuration utilisateur une hirarchie Active Directory (unit d'organisation ou utilisateur), copiez-la et spcifiez l'association souhaite. Veuillez consulter la section Pour copier une configuration utilisateur , page 126. 1. 2. 3. 4. Cliquez sur Dmarrer > Programmes > Citrix > Consoles de gestion > Access Management Console. Dveloppez le nud Password Manager et slectionnez Configurations utilisateur. Slectionnez la configuration utilisateur. Cliquez sur Dplacer la configuration utilisateur.
127
5. 6.
Spcifiez l'unit d'organisation, l'utilisateur ou le groupe contenant les utilisateurs auxquels la configuration utilisateur doit s'appliquer. Cliquez sur OK.
Remarque : si vous mettez niveau le Service et la Console Password Manager mais pas l'Agent, celui-ci assurera ses fonctions de base auprs des utilisateurs dont les configurations sont lies des hirarchies Active Directory (units d'organisation ou utilisateurs). Cependant, vos utilisateurs n'auront pas accs aux dernires fonctionnalits de Password Manager. Citrix recommande de mettre niveau l'Agent ds que possible pour qu'il corresponde aux versions du Service et de la Console.
128
Password Manager offre plusieurs mthodes d'authentification des identits utilisateur. Cette section dcrit les points prendre en compte au moment de choisir la mthode d'authentification utiliser. Ce chapitre traite les points suivants : Prsentation de l'authentification Password Manager , page 129 Confirmation de l'identit des utilisateurs , page 130 Prsentation des mthodes de vrification d'identit , page 131 Permutation entre plusieurs mthodes d'authentification principale , page 133
130
Aprs la russite de l'authentification au rseau, Password Manager obtient le mot de passe principal de l'ouverture de session Windows et combine ces informations d'autres variables pour crer la cl de cryptage qui protge les informations d'identification de l'utilisateur. L'Agent utilise cette cl pour rcuprer et dcrypter les informations d'identification demandes par les applications ou les ressources. Important : si le mot de passe d'un utilisateur est dvoil, rinitialisez-le deux fois plutt qu'une afin de garantir que le mot de passe en question est supprim de la fonction utilisant le mot de passe prcdent. Les utilisateurs doivent ouvrir une session avec chacun des nouveaux mots de passe afin que l'Agent puisse capturer les modifications.
Rinitialisation du mot de passe principal par un utilisateur l'aide des fonctions autonomes de compte
131
Description Par exemple, lorsque les utilisateurs passent d'une authentification avec carte puce vers une authentification avec mot de passe, ils sont invits reconfirmer leur identit. Les utilisateurs qui modifient leur mot de passe principal sur une machine cliente n'excutant pas l'Agent sont invits confirmer leur identit la prochaine ouverture de session sur une machine cliente l'excutant.
Modification de mot de passe sur une machine cliente excutant Password Manager
Vos utilisateurs peuvent confirmer leur identit en utilisant au moins l'une des options destines rpondre aux besoins de votre entreprise, comme dcrit dans la section Prsentation des mthodes de vrification d'identit , page 131.
Vous pouvez galement choisir de contourner la vrification d'identit en utilisant la fonction de gestion automatique des cls : veuillez consulter la section Contournement de la vrification d'identit , page 132. La section Slection de la protection secondaire des donnes , page 113, dcrit les options de configuration utilisateur associes l'authentification et la vrification d'identit. Remarque : vous pouvez autoriser les utilisateurs choisir la mthode de vrification d'identit (mots de passe prcdents ou questions de scurit) qu'ils privilgient pour l'authentification. Cette option est disponible dans le cadre de la proprit Protection de donnes secondaire dans la configuration utilisateur.
132
Questions de scurit
Remarque : veuillez consulter la section Gestion de l'authentification avec questions , page 135, pour en savoir plus sur la cration de questions de scurit. Lorsque les utilisateurs modifient leur mot de passe principal, vous pouvez confirmer leur identit en les invitant rpondre aux questions de scurit dans le cadre d'un questionnaire que vous crez. Ce questionnaire apparat la premire ouverture de l'Agent. Les utilisateurs rpondent un nombre minimum de questions puis sont invits entrer de nouveau ces informations lors d'vnements de modification de mot de passe spcifiques. Elles doivent tre conues de faon ce que la rponse apporte par une personne ne soit connue que d'elle. Vous pouvez utiliser les questions par dfaut proposes par Password Manager ou crer vos propres questions. Veuillez consulter la section Conception des questions de scurit : compromis entre maintien de la scurit et simplicit d'utilisation , page 139.
133
Cette mthode, appele gestion automatique des cls, est disponible une fois que vous avez install le module de gestion des cls et que vous avez cr une configuration utilisateur en slectionnant cette option. Veuillez consulter la section Slection de la protection secondaire des donnes , page 113. Cette mthode permet aux utilisateurs d'ouvrir une session sur le rseau et d'obtenir un accs immdiat aux applications gres par Password Manager. Ils ne doivent rpondre aucune question. Lorsque les utilisateurs changent leur mot de passe rseau, l'Agent dtecte la modification et rcupre les cls de cryptage de l'utilisateur l'aide du service Password Manager. La gestion automatique des cls offre aux utilisateurs la mthode d'accs la plus simple et la plus rapide leurs applications. Toutefois, elle ne protge pas contre un accs par un utilisateur non autoris car il n'existe aucun secret de l'utilisateur pour protger le mot de passe rseau de celui-ci. Pour prvenir ce risque, mettez en place le module de rcupration de cl automatique en combinaison avec les fonctions autonomes. Ce module ncessite l'authentification avec questions pour autoriser vos utilisateurs confirmer leur identit lorsqu'ils rinitialisent leur mot de passe principal ou dverrouillent leur compte de domaine.
134
Le superviseur utilise parfois une carte puces avec code confidential (PIN) pour ouvrir une session sur un ordinateur partag l'tage du centre d'appels et lance une autre application publie par le biais de Presentation Server. Cet ordinateur utilise le Bureau dynamique pour activer la commutation rapide des utilisateurs entre les diffrents comptes.
Dans les versions 4.0 et 4.1 de Password Manager, le superviseur du centre d'appels devait confirmer son identit avant d'utiliser les applications d'authentification pour tout changement de mthode d'authentification principale. Dans ce scnario, le superviseur utilisait deux mthodes d'authentification principales : d'abord son nom d'utilisateur et son mot de passe, puis une carte puce avec code secret. Les versions 4.0 et 4.1 de Password Manager traitent le changement de mthode d'authentification comme ncessitant la rcupration des cls de scurit et ventuellement la confirmation de l'identit du superviseur. Remarque : les utilisateurs doivent s'enregistrer ou s'inscrire dans chaque nouvelle mthode d'authentification la premire fois qu'ils utilisent la mthode ou basculent vers elle. Toutefois, les commutations ultrieures ne ncessitent pas d'enregistrement ou d'inscription (autrement dit, une rcupration de cl n'est pas requise par la suite).
Important : si vous envisagez d'utiliser les fonctions autonomes de compte (rinitialisation de mot de passe ou dverrouillage de compte de domaine) du module de gestion des cls de Password Manager, vous devez employer l'authentification avec questions pour permettre vos utilisateurs de confirmer leur identit lors du dverrouillage de leur compte de domaine ou de la rinitialisation de leur mot de passe principal. L'authentification avec questions permet de fournir une authentification scurise aux utilisateurs qui modifient leur mot de passe principal (dans certaines circonstances), leur mthode d'authentification, ou dont le compte est verrouill. L'utilisation des questions de scurit et de l'authentification avec questions peut offrir une protection contre des accs non autoriss en demandant des informations connues uniquement de chaque utilisateur. Les questions cres doivent demander des informations confidentielles difficiles deviner pour un tiers (notamment, par une recherche alatoire ou l'aide d'un dictionnaire). Cette section traite les points suivants : Confirmation de l'identit d'un utilisateur l'aide de l'authentification avec questions , page 136 tapes de l'authentification avec questions , page 138 Conception des questions de scurit : compromis entre maintien de la scurit et simplicit d'utilisation , page 139 Gestion de vos questions , page 141 Rtrocompatibilit avec Password Manager versions 4.0 et 4.1 , page 151 Activation du renregistrement des rponses aux questions de scurit , page 152
136
Remarque : vous pouvez galement crer une configuration utilisateur ne ncessitant aucune vrification aprs basculement entre les diffrents types d'authentification. Veuillez consulter la section Permutation entre plusieurs mthodes d'authentification principale , page 133. Si cette fonction est configure, l'Agent Password Manager demande aux utilisateurs de rpondre des questions de scurit lors de leur premire utilisation de l'Agent. Lorsque des vnements ncessitant la vrification d'identit surgissent, l'Agent lance le questionnaire que vous avez cr. Un questionnaire est une liste prconfigure de questions que vous avez cres.
137
Chaque question du questionnaire apparat sur une page diffrente. Par exemple, si cinq questions se trouvent dans votre questionnaire, les utilisateurs verront s'afficher cinq pages distinctes. Ils doivent rpondre toutes correctement. Si les paramtres de l'administrateur l'exigent, les rponses doivent tre totalement identiques, notamment du point de vue de la casse, aux rponses fournies la premire utilisation de Password Manager. La combinaison correcte des questions et rponses confirme leur identit. Aprs confirmation, l'Agent crypte nouveau les cls l'aide du nouveau mot de passe principal et stocke les informations d'identification secondaires de l'utilisateur.
Notions importantes
Remarque : si les paramtres de l'administrateur l'exigent, la rponse de l'utilisateur aux questions de scurit doit respecter la casse, la ponctuation et les espaces de la rponse enregistre initialement. Si vous lisez de ne pas configurer les rponses aux questions de scurit comme une condition requise pour les utilisateurs, ceux-ci sont invits fournir leur prcdent mot de passe principal lorsqu'ils en changent et qu'ils tentent d'ouvrir une session avec le nouveau mot de passe. Vous pouvez permettre aux utilisateurs de choisir la mthode de vrification d'identit qu'ils prfrent utiliser pour l'authentification. Cette option est incluse dans la proprit de protection secondaire des donnes de la configuration utilisateur. Veuillez consulter la section Slection de la protection secondaire des donnes , page 113. Pour prvenir le verrouillage des utilisateurs, ne combinez pas le module de rinitialisation de mot de passe avec uniquement la mthode de vrification d'identit du mot de passe prcdent. Les utilisateurs qui rinitialisent leur mot de passe risquent de ne pas se souvenir de leur mot de passe principal prcdent et d'tre alors incapables de rcuprer leurs informations d'identification secondaires. Les questions multiples offrent la meilleure protection. Pour plus d'informations sur la cration de questions scurises, veuillez consulter la section Conception des questions de scurit : compromis entre maintien de la scurit et simplicit d'utilisation , page 139. Par dfaut, l'authentification avec questions utilise quatre questions de scurit. Il est possible de n'utiliser que ces questions. Nanmoins, Citrix recommande d'ajouter vos propres questions de scurit et groupes de questions. Pour plus d'informations, veuillez consulter la section Gestion de vos questions , page 141.
138
2.
3. 4.
5.
139
Important : l'activation du masquage des questions de scurit peut empcher les utilisateurs existants avec diteurs de mthode d'entre (IME) de pouvoir fournir des rponses pendant l'enregistrement et la vrification d'identit. Les langues asiatiques, telles que le chinois, le japonais et le coren, ncessitent l'utilisation d'un IME pour permettre la saisie de caractres dans l'interface Password Manager. L'activation de la fonction de masquage dsactive automatiquement l'IME pendant l'enregistrement et la vrification d'identit pour les utilisateurs n'ayant pas mis niveau Password Manager la version 4.6. Aucun impact n'existe pour les nouveaux utilisateurs de Password Manager avec la version 4.6.
Remarque : le masquage des rponses aux questions de scurit est uniquement disponible sur la Console et l'Agent Password Manager 4.6.
Conception des questions de scurit : compromis entre maintien de la scurit et simplicit d'utilisation
Password Manager fournit quatre questions par dfaut que vous pouvez utiliser pour l'inscription des utilisateurs. Ces questions sont disponibles dans toutes les langues prises en charge (anglais, franais, allemand, japonais et espagnol). Citrix recommande de crer vos propres questions de scurit et de les proposer dans toutes les langues de votre environnement. Tout individu tentant d'accder au mot de passe d'un utilisateur doit connatre la rponse toutes ces questions. Cependant, trop de questions peuvent reprsenter un obstacle dans la confirmation d'identit de vos utilisateurs. Les questions de scurit doivent demander des informations confidentielles difficiles deviner pour un tiers (notamment, par une recherche alatoire ou l'aide d'un dictionnaire). Le facteur cl pour dterminer la scurit d'une question est le degr de difficult pour en deviner la rponse. Les questions bien conues ont un niveau d'entropie lev. En d'autres termes, elles impliquent les points suivants : large ventail de rponses possibles ; probabilit de dcouverte trs faible.
140
Pour des raisons pratiques, la rponse doit tre facile retenir pour l'utilisateur en question mais difficile dchiffrer pour un tiers. Par exemple : Quel est le nom de votre professeur de lyce ou d'universit prfr ? O rvez-vous de passer vos vacances ? (ville, pays) Quel est le nom de votre chanson et de votre chanteur favoris ? Quel est le nom de votre livre et de votre auteur favoris ? Quel est le nom de votre uvre favorite, qui la doit-on et o vous l'avez dcouverte ?
Nanmoins, les affinits culturelles peuvent conduire vers les mmes rponses des utilisateurs d'une mme population, mme si ces utilisateurs ne partagent pas dlibrment leurs rponses. Ce facteur accrot les risques d'une attaque interne. vitez de crer des questions prsentant les caractristiques suivantes : questions impliquant une rponse simple, comme Quelle est votre couleur prfre ? ; questions demandant des informations susceptibles d'tre connues ou d'voluer (par exemple: Quelle est votre adresse ? ).
141
Voir aussi les sections suivantes : Rtrocompatibilit avec Password Manager versions 4.0 et 4.1 , page 151 Activation du renregistrement des rponses aux questions de scurit , page 152
1. 2.
Cliquez sur Dmarrer > Programmes > Citrix > Consoles de gestion > Access Management Console. Dveloppez les nuds Password Manager et Vrification d'identit et slectionnez Authentification avec questions sur votre Console Password Manager.
142
3. 4. 5. 6.
Cliquez sur Grer les questions dans la zone Tches courantes. La bote de dialogue Grer les questions s'affiche. Slectionnez Authentification avec questions. Slectionnez la langue par dfaut dans la liste droulante Langue. Cliquez sur OK.
Remarque : la slection de l'option Vrification de la rtrocompatibilit garantit que les Agents associs Password Manager 4.0 et 4.1 peuvent continuer prsenter les questions de vrification d'identit. Pour plus d'informations, veuillez consulter la section Rtrocompatibilit avec Password Manager versions 4.0 et 4.1 , page 151.
Remarque : la langue affiche par dfaut est l'anglais. Lorsque vous slectionnez une langue pour une question de scurit, la question est prsente aux utilisateurs dont les paramtres de systme d'exploitation sont dfinis. Si les paramtres de systme d'exploitation slectionns ne correspondent pas ceux de certaines questions disponibles, la langue par dfaut est utilise. 1. 2. 3. Cliquez sur Dmarrer > Programmes > Citrix > Consoles de gestion > Access Management Console. Dveloppez le nud Password Manager, le nud Vrification d'identit et slectionnez le nud Authentification avec questions. Cliquez sur Grer les questions dans la zone Tches courantes. La bote de dialogue Grer les questions s'affiche. Elle propose les cinq tches suivantes : l'authentification avec questions ; les questions de scurit ;
143
4. 5.
Slectionnez Questions de scurit. Slectionnez une langue dans la liste droulante Langue et cliquez sur Ajouter une question. La bote de dialogue Question de scurit s'affiche. Effectuez les oprations suivantes dans cette bote de dialogue. A. B. C. Entrez une question dans le champ de texte Question de scurit. Choisissez la longueur de rponse minimale. Slectionnez Casse prise en compte pour activer la prise en compte de la casse dans la rponse. Dsactivez cette case cocher si vous ne souhaitez pas que la casse soit parfaitement respecte dans la rponse.
6.
7. 8.
Cliquez sur OK pour enregistrer votre question et vos rglages. Cliquez sur OK pour fermer la bote de dialogue Grer les questions.
Important : vous devez utiliser la commande Modifier pour ajouter le texte traduit des questions existantes. Si vous slectionnez Ajouter une question, vous crez une nouvelle question qui n'est pas associe l'original.
1.
Cliquez sur Dmarrer > Programmes > Citrix > Consoles de gestion > Access Management Console.
144
2. 3.
Dveloppez le nud Password Manager, le nud Vrification d'identit et slectionnez le nud Authentification avec questions. Cliquez sur Grer les questions dans la zone Tches courantes. La bote de dialogue Grer les questions s'affiche. Elle propose les cinq tches suivantes : l'authentification avec questions ; les questions de scurit ; les questionnaires ; la rcupration de cl ; le masquage des rponses de scurit.
4. 5. 6.
Slectionnez Questions de scurit. Slectionnez une langue dans la liste droulante Langue. Slectionnez la question et cliquez sur Modifier. Important : si vous modifiez une question existante, un message d'avertissement vous indique que la modification de la signification d'une question risque d'entraner une incohrence des rponses lors des authentifications ultrieures. En d'autres termes, l'utilisateur risque de fournir une rponse ne correspondant pas la rponse enregistre. La bote de dialogue Question de scurit s'affiche.
7.
Effectuez les oprations suivantes dans cette bote de dialogue. A. B. C. Entrez ou modifiez la question dans le champ de texte Question de scurit. Choisissez la longueur de rponse minimale. Slectionnez Casse prise en compte pour activer la prise en compte de la casse dans la rponse. Dsactivez cette case cocher si vous ne souhaitez pas que la casse soit parfaitement respecte dans la rponse.
8. 9. 10.
Cliquez sur OK pour enregistrer votre question et vos rglages. Rptez les tapes 5 8 pour chaque question et chaque langue. Cliquez sur OK pour fermer la bote de dialogue Grer les questions.
145
1. 2. 3.
Cliquez sur Dmarrer > Programmes > Citrix > Consoles de gestion > Access Management Console. Dveloppez le nud Password Manager, le nud Vrification d'identit et slectionnez le nud Authentification avec questions. Cliquez sur Grer les questions dans la zone Tches courantes. La bote de dialogue Grer les questions s'affiche. Elle propose les cinq tches suivantes : l'authentification avec questions ; les questions de scurit ; les questionnaires ; la rcupration de cl ; le masquage des rponses de scurit.
4. 5.
Slectionnez Questions de scurit. Cliquez sur le bouton Ajouter un groupe. La bote de dialogue Groupe de questions de scurit prsente une liste de questions de scurit pouvant tre ajoutes au groupe.
6.
Effectuez les oprations suivantes dans cette bote de dialogue. A. Entrez le nom de votre groupe de questions de scurit. Vous pouvez tablir une convention d'appellation pour identifier vos groupes, par exemple, en ajoutant une description des questions au mot groupe ( groupefilms ou groupeloisir , etc.). Slectionnez la case ct de chaque question ajouter au groupe. Slectionnez le nombre de questions du groupe auxquelles doit rpondre un utilisateur.
B. C.
146
7. 8. 9.
Cliquez sur OK pour enregistrer vos groupes et vos rglages. Rptez les tapes 5 7 pour crer d'autres groupes. Cliquez sur OK pour fermer la bote de dialogue Grer les questions.
1. 2. 3.
Cliquez sur Dmarrer > Programmes > Citrix > Consoles de gestion > Access Management Console. Dveloppez le nud Password Manager, le nud Vrification d'identit et slectionnez le nud Authentification avec questions. Cliquez sur Grer les questions dans la zone Tches courantes. La bote de dialogue Grer les questions s'affiche. Elle propose les cinq tches suivantes : l'authentification avec questions ; les questions de scurit ; les questionnaires ; la rcupration de cl ; le masquage des rponses de scurit.
4. 5.
Slectionnez Questions de scurit. Slectionnez le groupe de questions de scurit modifier et cliquez sur Modifier. La bote de dialogue Groupe de questions de scurit prsente une liste de questions de scurit pouvant tre ajoutes au groupe. Les questions du groupe sont signales par une coche. Vous pouvez modifier le nom du groupe, ajouter des questions au groupe et slectionner le nombre de questions ncessitant une rponse de l'utilisateur.
6. 7.
Cliquez sur OK pour enregistrer vos groupes et vos rglages. Cliquez sur OK pour fermer la bote de dialogue Grer les questions.
147
Avant de commencer
Chaque question de scurit peut appartenir plusieurs groupes de questions de scurit. Lorsque vous crez des groupes de questions de scurit, toutes vos questions peuvent tre ajoutes dans n'importe quel groupe. Si vous effectuez une mise niveau partir d'une version prcdente de Password Manager, il peut tre ncessaire d'ajouter des questions et des groupes de questions avec des rglages spcifiques pour garantir la rtrocompatibilit avec les versions antrieures de l'Agent Password Manager.
1. 2. 3.
Cliquez sur Dmarrer > Programmes > Citrix > Consoles de gestion > Access Management Console. Dveloppez le nud Password Manager, le nud Vrification d'identit et slectionnez le nud Authentification avec questions. Cliquez sur Grer les questions dans la zone Tches courantes. La bote de dialogue Grer les questions s'affiche. Elle propose les cinq tches suivantes : l'authentification avec questions ; les questions de scurit ; les questionnaires ; la rcupration de cl ; le masquage des rponses de scurit.
4.
148
5.
Slectionnez les questions de scurit ou groupes de questions de scurit ajouter au questionnaire. Si le groupe de questions ajout contient plus de questions que le nombre ncessitant une rponse des utilisateurs (par exemple, trois sur six), les utilisateurs rpondront aux questions de leur choix parmi une liste droulante jusqu' ce que le nombre de questions requises soit atteint.
6.
Vous pouvez galement cliquer sur Monter ou Descendre pour modifier l'ordre de prsentation des questions ou groupes de questions aux utilisateurs. Vous pouvez galement slectionner une question et cliquez sur Supprimer. Remarque : lorsque vous supprimez une question du questionnaire, celle-ci n'est pas incluse dans la liste de questions prsentes aux nouveaux utilisateurs, mais elle apparat toujours pour les utilisateurs existants.
7.
8.
Cliquez sur OK pour enregistrer votre questionnaire. Il est possible qu'un message d'activation du renregistrement forc des rponses par les utilisateurs apparaisse. Cliquez sur Oui pour forcer le renregistrement.
1. 2.
Cliquez sur Dmarrer > Programmes > Citrix > Consoles de gestion > Access Management Console. Dveloppez le nud Password Manager, le nud Vrification d'identit et slectionnez le nud Authentification avec questions.
149
3.
Cliquez sur Grer les questions dans la zone Tches courantes. La bote de dialogue Grer les questions s'affiche. Elle propose les cinq tches suivantes : l'authentification avec questions ; les questions de scurit ; les questionnaires ; la rcupration de cl ; le masquage des rponses de scurit.
4. 5. 6.
Slectionnez Rcupration de cl. Slectionnez la case ct de chaque question ou groupe de questions utiliser pour la rcupration de cl lors de la vrification d'identit. Cliquez sur OK pour enregistrer votre question et vos rglages. Il est possible qu'un message d'activation du renregistrement forc des rponses par les utilisateurs apparaisse. Cliquez sur Oui pour forcer le renregistrement.
Important : l'activation du masquage des rponses de scurit peut empcher les utilisateurs existants avec diteurs de mthode d'entre (IME) de pouvoir fournir des rponses pendant l'enregistrement et la vrification d'identit. Les langues asiatiques, telles que le chinois, le japonais et le coren, ncessitent l'utilisation d'un IME pour permettre la saisie de caractres dans l'interface Password Manager. L'activation de la fonction de masquage dsactive automatiquement l'IME pendant l'enregistrement et la vrification d'identit pour les utilisateurs n'ayant pas mis niveau Password Manager la version 4.6. Aucun impact n'existe pour les nouveaux utilisateurs de Password Manager avec la version 4.6.
150
Le masquage des rponses de scurit apporte un niveau de scurit supplmentaire vos utilisateurs lorsqu'ils enregistrent leur rponses aux questions de scurit ou qu'ils enregistrent leurs questions de scurit ou qu'ils fournissent leurs rponses lors de la vrification d'identit. Lorsque cette fonctionnalit est active, les rponses des utilisateurs excutant Password Manager 4.6 sont masques. Lors de l'enregistrement des rponses, ces utilisateurs sont invits taper leurs rponses deux fois afin d'viter les fautes de frappe ou d'orthographe. Les utilisateurs ne doivent taper leurs rponses qu'une seule fois lors de la validation d'identit, puisqu'ils sont invits ressayer en cas d'erreur. Remarque : les rponses aux questions de scurit enregistres dans l'Agent Password Manager 4.5 peuvent tre masques lorsque le logiciel est mis niveau la version 4.6. Les rponses aux questions de scurit des utilisateurs de l'Agent Password Manager 4.5, 4.1 ou 4.0 demeurent invisibles quel que soit le rglage de la console.
Pour activer le masquage des rponses de scurit
1. 2. 3.
Cliquez sur Dmarrer > Programmes > Citrix > Consoles de gestion > Access Management Console. Dveloppez le nud Password Manager, le nud Vrification d'identit et slectionnez le nud Authentification avec questions. Cliquez sur Grer les questions dans la zone Tches courantes. La bote de dialogue Grer les questions s'affiche. Elle propose les cinq tches suivantes : l'authentification avec questions ; les questions de scurit ; les questionnaires ; la rcupration de cl ; le masquage des rponses de scurit.
4. 5. 6.
Slectionnez Masquage des rponses de scurit. Slectionnez Masquer les rponses aux questions de scurit. Cliquez sur OK pour enregistrer le rglage.
151
Pour la rtrocompatibilit avec Password Manager 4.0 et 4.1, le questionnaire doit inclure au moins une question de scurit associe la fonction autonome de rinitialisation de mot de passe. Chaque question de scurit doit inclure les rglages suivants : casse dsactive ; longueur minimum de 1 ; questions non actives pour la rcupration de cl.
Vous pouvez vrifier la rtrocompatibilit si vous effectuez une mise jour partir d'une version prcdente de Password Manager. 1. Cliquez sur Dmarrer > Programmes > Citrix > Consoles de gestion > Access Management Console.
152
2. 3.
Dveloppez le nud Password Manager, le nud Vrification d'identit et slectionnez le nud Authentification avec questions. Cliquez sur Grer les questions dans la zone Tches courantes. La bote de dialogue Grer les questions s'affiche. Elle propose les cinq tches suivantes : l'authentification avec questions ; les questions de scurit ; les questionnaires ; la rcupration de cl ; le masquage des rponses de scurit.
4. 5.
Slectionnez Authentification avec questions. Slectionnez l'option Vrification de la rtrocompatibilit et cliquez sur OK.
Password Manager effectue la vrification et affiche les erreurs dans une bote de dialogue.
Autorisation des utilisateurs grer leurs informations d'identification principales avec les fonctions autonomes de compte
Vous pouvez configurer les fonctions autonomes de compte de Password Manager pour permettre vos utilisateurs de rinitialiser leur mot de passe principal sans intervention de l'administrateur ou du personnel d'assistance technique. En fonction de vos besoins, vous pouvez mettre en uvre l'une des fonctions autonomes de rinitialisation de mot de passe et de dverrouillage de compte (ou les deux) en toute scurit dans votre environnement Password Manager. Cette section traite les points suivants : Prsentation des fonctions autonomes , page 154 Rsum des tches d'implmentation des fonctions autonomes , page 155 Oubli des questions de scurit par l'utilisateur , page 156 Exprience pour l'utilisateur , page 156
Remarque : pour mettre en place les fonctions autonomes du compte avec l'Interface Web Citrix, veuillez consulter le Guide de l'administrateur de l'Interface Web, disponible sur le site Web de l'assistance Citrix l'adresse http://support.citrix.com.
154
Considrations
Vous pouvez mettre en uvre le module de fonctions autonomes pour permettre vos utilisateurs de rinitialiser leur mot de passe principal (compte de domaine) ou de dverrouiller leurs comptes de domaine Windows dans un environnement Active Directory uniquement. Lorsque les utilisateurs modifient leur mot de passe d'application l'aide de l'agent Password Manager ou leur mot de passe principal en utilisant la combinaison Ctrl+Alt+Suppr sur un ordinateur dot de l'agent, Password Manager prend automatiquement en compte le changement de mot de passe. Pour prvenir le verrouillage des utilisateurs, ne combinez pas le module de rinitialisation de mot de passe avec uniquement la mthode de vrification d'identit du mot de passe prcdent. lorsque le mot de passe prcdent est la seule mthode disponible pour les utilisateurs, ceux qui l'oublient ne peuvent plus accder au systme. Leurs donnes doivent tre rinitialises
Autorisation des utilisateurs grer leurs informations d'identification principales avec les fonctions autonomes
ou supprimes du magasin central et de toutes les machines clientes o elles sont stockes. Ils doivent de nouveau entrer leurs informations d'identification pour toutes les applications. Veuillez consulter la section Rinitialisation et suppression des donnes utilisateur , page 121.
Installation et configuration de l'Agent Password Manager dans le Guide d'installation Citrix Password Manager.
156
1. 2. 3. 4. 5.
Cliquez sur Dmarrer > Programmes > Citrix > Consoles de gestion > Access Management Console. Dveloppez le nud Password Manager, le nud Vrification d'identit et slectionnez Authentification avec questions. Dans la zone Autres tches, cliquez sur Effacer les questions de scurit d'un utilisateur. Dans la bote de dialogue Slectionnez Utilisateur, tapez le nom de l'utilisateur ou du groupe d'utilisateurs et cliquez sur OK. Confirmez la demande de rinitialisation pour l'utilisateur slectionn.
Autorisation des utilisateurs grer leurs informations d'identification principales avec les fonctions autonomes
Sans la gestion automatique des cls L'utilisateur clique sur le bouton Fonctions autonomes de compte. L'utilisateur slectionne Dverrouillage du compte ou Rinitialisation du mot de passe. L'utilisateur rpond correctement aux questions de scurit. L'utilisateur tape et confirme son nouveau mot de passe, clique sur Terminer et se dconnecte. L'utilisateur ouvre une session avec un nouveau mot de passe et l'agent se synchronise avec le magasin central. En fonction des paramtres de configuration de l'utilisateur, il fournit son ancien mot de passe ou rpond des questions de scurit afin de prouver son identit aprs la modification du mot de passe. Si les rponses sont correctes, l'utilisateur peut accder aux applications d'authentification unique configures dans Password Manager. Pour savoir comment viter le verrouillage des utilisateurs, reportez-vous la section Considrations , page 154.
Avec la gestion automatique des cls L'utilisateur clique sur le bouton Fonctions autonomes de compte. L'utilisateur slectionne Dverrouillage du compte ou Rinitialisation du mot de passe. L'utilisateur rpond correctement aux questions de scurit. L'utilisateur tape et confirme son nouveau mot de passe, clique sur Terminer et se dconnecte. L'utilisateur ouvre une session avec un nouveau mot de passe et l'agent se synchronise avec le magasin central. L'utilisateur n'a pas besoin de confirmer son identit. Il a accs aux applications d'authentification unique configures dans Password Manager.
158
Remarque : le service d'habilitation permet de rinitialiser les informations d'identification et de supprimer des utilisateurs ainsi que leurs informations d'identification d'application de Password Manager (utilisateurs multiples). Pour plus d'informations sur l'utilisation de ce service pour un utilisateur isol, veuillez consulter la section Rinitialisation et suppression des donnes utilisateur , page 121. L'Agent traitera chaque commande de rinitialisation son dmarrage ou redmarrage (s'il est excut sur le PC de l'utilisateur). Autrement, l'Agent procdera au traitement de toute autre commande d'habilitation au dmarrage ou redmarrage de l'Agent, lorsque l'utilisateur clique sur le bouton Actualiser du Gestionnaire d'informations d'identification de l'Agent. Si une commande de rinitialisation se trouve dans la file d'attente lorsque l'utilisateur clique sur Actualiser, un message indiquant que les donnes utilisateur ont t rinitialises et invitant l'utilisateur redmarrer l'Agent Password Manager s'affiche. Cette section dcrit l'utilisation du module d'habilitation pour la manipulation d'informations d'identification associes aux applications dfinies dans une configuration utilisateur. L'habilitation vous permet d'automatiser ces procdures et de les appliquer plusieurs utilisateurs. Ainsi, vous pouvez utiliser ce module pour liminer l'tape de configuration initiale des informations d'identification pour les utilisateurs excutant l'Agent pour la premire fois. Si vous souhaitez mettre un nouveau logiciel disposition de vos utilisateurs, vous pouvez simplement crer une dfinition pour l'application et utiliser l'habilitation pour ajouter les informations d'identification de tous les utilisateurs qui l'utiliseront. Cette section traite les points suivants : Rcapitulatif des tches d'habilitation , page 160 Gnration d'un modle d'habilitation , page 161 Modification du modle d'habilitation , page 162
160
Informations d'identification de l'habilitation , page 170 Rglage manuel du traitement de l'habilitation , page 171 Kit de dveloppement logiciel (SDK) de l'habilitation , page 171
Important : le fichier XML utilis pour fournir les informations d'identification contient des informations utilisateur sensibles. Citrix recommande de supprimer ce fichier ou de le transfrer vers un emplacement scuris lorsque l'habilitation est termine. Aprs ajout, suppression ou modification des informations d'identification dans le magasin central, celles-ci sont prtes tre utilises dans votre environnement. l'ouverture de l'Agent, les informations d'identification sont reconnues par les applications SSO et mises disposition des utilisateurs. Les utilisateurs qui ouvrent l'Agent pour la premire fois n'ont pas besoin de suivre le processus de configuration initiale des informations d'identification dans le magasin central si toutes les informations d'identification ont t ajoutes au magasin central travers l'habilitation.
161
Si vous devez manipuler les informations d'identification d'un grand nombre d'utilisateurs, pensez utiliser le kit de dveloppement logiciel (SDK) de l'habilitation, situ dans le dossier \Support\Provisioning du CD-ROM du produit. Veuillez consulter la section Kit de dveloppement logiciel (SDK) de l'habilitation , page 171. Remarque : l'ajout, la modification ou la suppression des informations d'identification dans le magasin central peuvent requrir une grande quantit de ressources systme. Citrix recommande d'effectuer l'habilitation en dehors des heures de bureau.
Il inclut galement des commandes d'ajout, de suppression et de modification utiliser lors de l'importation du modle modifi dans Password Manager.
Pour gnrer un modle d'habilitation
1. 2. 3. 4.
Cliquez sur Dmarrer > Programmes > Citrix > Consoles de gestion > Access Management Console. Dveloppez le nud Password Manager et slectionnez Configurations utilisateur. Slectionnez une configuration utilisateur. Dans la zone Tches courantes, cliquez sur Gnrer un modle d'habilitation.
162
5. 6.
Dans la bote de dialogue correspondanteGnrer un modle d'habilitation, entrez un nom pour le modle et cliquez sur Enregistrer. Cliquez sur OK pour confirmer la cration d'un modle au format XML.
Le modle obtenu inclut des exemples d'informations de commande et des informations spcifiques sur la configuration utilisateur slectionne. Veuillez consulter la section Modification du modle d'habilitation , page 162.
163
La balise <cpm-provision>
Notez que vous devez inclure vos balises et commandes dans labalise d'habilitation <cpm-provision> (situe vers la ligne 70 du fichier XML gnr).
<cpm-provision version="1.0" xmlns="http://citrix.com/ Provision/Import"> insrer ici la balise et les commandes <user> </cpm-provision>
Vers la fin du fichier XML figurent des informations propres la configuration utilisateur slectionne, que vous pouvez copier et utiliser dans votre modle. Par exemple :
<user fqdn="DOMAIN\Fred-Admin"> <!--Application Group: PNA--> <!--Application Definition: Citrix GoToMeeting--> <!--<add> <application name="Citrix GoToMeeting">0998ac2c-baa54103-809a-b2daeea047f3</application> <name>Citrix GoToMeeting</name> <description>Connexion Citrix GoToMeeting</description> <hidden-description>Description masque de GoToMeeting</hidden-description> <userID>ID utilisateur</userID> <password>mot de passe</password> </add>--> <!--<modify> <credential-id>00000000-0000-0000-0000-000000000000</ credential-id> <name>Citrix GoToMeeting</name> <description>Connexion Citrix GoToMeeting</description>
164
Par exemple, vous pouvez copier les informations utilisateur situes entre les balises <user> et </user>, en retirer les marques de commentaire, puis les modifier pour chaque utilisateur dont vous souhaitez ajouter les informations d'identification. Remarque : dans l'exemple ci-dessus, <user fqdn="DOMAIN\FredAdmin"> reprsente le domaine et le nom de l'utilisateur ayant gnr le modle. Vous pouvez ajouter des commentaires ces informations ou les supprimer si vous ne souhaitez pas les enregistrer dans le modle.
La balise <user>
Utilisez la balise <user> pour ajouter les informations de domaine et de nom de chaque utilisateur dont vous souhaitez fournir les informations d'identification d'application. Vous devez fournir une balise <user> pour chaque utilisateur habiliter. Chaque balise <user> contient galement les commandes excuter sur le compte de cet utilisateur. La syntaxe de cette commande est la suivante.
<user fqdn="votreDomaine\usrid"> <commande> </user>
o :
votreDomaine IDUtilisateur commande Indique le nom de domaine de l'utilisateur ajouter. Indique le nom d'utilisateur ajouter. Indique une ou plusieurs commandes excuter sur cet utilisateur : <add> <modify> <delete> <remove> <reset> <list-credentials>
165
La commande <add>
La commande <add> vous permet d'ajouter un nom d'utilisateur et mot de passe requis pour les applications incluses dans la configuration utilisateur. La syntaxe de cette commande est la suivante.
<add> <application name="%NOMAPP%">%GUIDAPP%</application> <name>%NOMINFOIDENTIFICATION%</name> <description>DescriptionLongue</description> <hidden-description>description masque %NOMAPP% </hidden-description> <userID>idutilisateur</userID> <password>mot de passe</password> <custom-field index="1" label="%TEXTELGENDE%"> custom-field1 </custom-field> <custom-field index="2" label="%TEXTELGENDE%"> custom-field2 </custom-field> </add>
o :
<application> Obligatoire. L'lment <application> et ses attributs sont en principe gnrs automatiquement la gnration d'un modle. L'attribut name= est facultatif. %NOMAPP% est le nom de la dfinition d'application incluse dans la configuration utilisateur slectionne. %GUIDAPP% est l'identificateur global unique de l'application et doit concorder. <name> Obligatoire. L'lment <name> et ses attributs sont en principe gnrs automatiquement. %NOMINFOIDENTIFICATION% est le nom de l'application incluse dans la dfinition d'application. <description> <hidden-description> <userID> <password> Facultatif. Entrez un texte dcrivant la configuration utilisateur. Facultatif. Entrez le texte de votre choix. Obligatoire. idutilisateur est le nom d'utilisateur ajouter. Obligatoire. mot de passe est le mot de passe de l'utilisateur ajouter.
166
<custom-field>
Obligatoire si un autre champ est requis pour l'authentification (par exemple, champ dans lequel l'utilisateur doit entrer le domaine). Utilisez autant de champs personnaliss que le requiert l'application.
La commande <modify>
La commande <modify> vous permet de modifier un nom d'utilisateur et mot de passe requis pour les applications incluses dans la configuration utilisateur. Important : cette commande requiert les informations d'identification de l'utilisateur. Vous pouvez rcuprer ces informations d'identification l'aide de la commande <list-credentials> avant d'utiliser la commande <modify>. Veuillez consulter la section La commande <list-credentials> , page 169. Incluez uniquement les lments modifier. Pour laisser une valeur inchange, supprimez la ligne correspondante. Par exemple, supprimez l'lment <name> pour conserver le nom de l'application. Pour modifier une valeur, spcifiez la valeur dans le modle. Par exemple, incluez l'lment <name> pour spcifier un nouveau nom d'application. Une valeur est efface en incluant l'lment sans insrer de valeur. Par exemple, utilisez <description></description> pour supprimer la description actuelle.
o :
167
<credential-id>
Obligatoire. La valeur de l'identificateur global unique des informations d'identification (%IDINFOIDENTIFICATION%) de l'utilisateur doit correspondre la valeur renvoye par une commande <list-credentials>. Veuillez consulter la section La commande <listcredentials> , page 169. Facultatif. L'lment <name> et ses attributs sont en principe gnrs automatiquement. %NOMINFOIDENTIFICATION% est le nom de l'application incluse dans la dfinition d'application.
<name>
Facultatif. Entrez un texte dcrivant la configuration utilisateur. Facultatif. Entrez le texte de votre choix. Obligatoire. idutilisateur est le nom d'utilisateur modifier. Obligatoire. motdepasse est le mot de passe de l'utilisateur modifier. Obligatoire si un autre champ est requis pour l'authentification (par exemple, champ dans lequel l'utilisateur doit entrer le domaine). Utilisez autant de champs personnaliss que le requiert l'application.
La commande <delete>
La commande <delete> vous permet de supprimer les informations d'identification d'un utilisateur pour une application SSO particulire. Important : cette commande requiert les informations d'identification de l'utilisateur. Vous pouvez rcuprer ces informations d'identification l'aide de la commande <list-credentials> avant d'utiliser la commande <delete>. Veuillez consulter la section La commande <list-credentials> , page 169. La syntaxe de cette commande est la suivante.
<user fqdn="votreDomaine\IDUtilisateur"> <delete> <credential-id>%ID-INFOIDENTIFICATION%</credential-id> </delete> </user>
o :
votreDomaine IDUtilisateur Indique le nom de domaine de l'utilisateur. Indique le nom de l'utilisateur.
168
<credential-id>
Obligatoire. La valeur de l'identificateur global unique des informations d'identification (%IDINFOIDENTIFICATION%) de l'utilisateur doit correspondre la valeur renvoye par une commande <list-credentials>. Veuillez consulter la section La commande <listcredentials> , page 169.
La commande <remove>
Remarque : cette commande est identique la tche Supprimer les donnes utilisateur du magasin central de la Console Password Manager. Veuillez consulter la section Supprimer les informations utilisateur du magasin central , page 123. La commande <remove> vous permet de supprimer des donnes et informations utilisateur du magasin central. Utilisez cette commande lorsqu'un utilisateur quitte dfinitivement votre entreprise. Le magasin local d'informations d'identification de l'ordinateur de l'utilisateur reste intact jusqu' sa suppression par un administrateur ou un oprateur. La syntaxe de cette commande est la suivante.
<user fqdn="votreDomaine\IDUtilisateur"> <remove /> </user>
o :
votreDomaine IDUtilisateur Indique le nom de domaine de l'utilisateur. Indique le nom de l'utilisateur.
La commande <reset>
Remarque : cette commande est identique la tche Rinitialiser les donnes utilisateur de la Console Password Manager. Veuillez consulter la section Rinitialisation des donnes utilisateur , page 121. L'Agent traitera chaque commande de rinitialisation son dmarrage ou redmarrage (s'il est excut sur le PC de l'utilisateur). Autrement, l'Agent procdera au traitement de toute autre commande d'habilitation au dmarrage ou redmarrage de l'Agent, lorsque l'utilisateur clique sur le bouton Actualiser du Gestionnaire d'informations d'identification de l'Agent.
169
Si une commande de rinitialisation se trouve dans la file d'attente lorsque l'utilisateur clique sur Actualiser, un message indiquant que les donnes utilisateur ont t rinitialises et invitant l'utilisateur redmarrer l'Agent Password Manager s'affiche. La commande <reset> vous permet de rinitialiser les informations utilisateur de votre magasin central, ce qui a pour effet de renvoyer l'utilisateur slectionn son tat initial. Dans le cas de magasins centraux autres que Active Directory, les dossiers de l'utilisateur sont conservs, mais toutes ses donnes (informations d'identification, questions et rponses d'enregistrement, etc.) sont supprimes. Dans le cas de magasins centraux Active Directory, les donnes de l'utilisateur sont supprimes et l'utilisateur est marqu de l'indicateur de rinitialisation des donnes. La syntaxe de cette commande est la suivante.
<user fqdn="votreDomaine\IDUtilisateur"> <reset /> </user>
o :
votreDomaine IDUtilisateur Indique le nom de domaine de l'utilisateur. Indique le nom de l'utilisateur.
La commande <list-credentials>
La commande <list-credentials> vous permet de rcuprer les informations d'identification d'un utilisateur particulier pour chaque application de la configuration utilisateur associe. Les commandes <modify> et <delete> ncessitent d'utiliser l'identificateur global unique des informations d'identification rcupres comme valeur du paramtre %CREDENTIAL-ID%. Veuillez consulter les sections La commande <modify> , page 166 et La commande <delete> , page 167. Le numro d'identification rcupr par cette commande est un identificateur global unique d'informations d'identification (par exemple, 634EE015-10C24ed2-80F5-75CCA9AA5C11). La syntaxe de cette commande est la suivante.
<user fqdn="votreDomaine\IDUtilisateur"> <list-credentials /> </user>
o :
170
votreDomaine IDUtilisateur
Attention : ne fermez pas l'cran de l'habilitation tant que ce processus n'est pas termin. Cela n'entrane pas la fin du processus. Nanmoins, il devient alors impossible de recueillir quelque information que ce soit ou de suspendre le processus. 1. 2. 3. 4. 5. 6. Cliquez sur Dmarrer > Programmes > Citrix > Consoles de gestion > Access Management Console. Dveloppez le nud Password Manager et slectionnez Configurations utilisateur. Slectionnez une configuration utilisateur ou un groupe d'applications d'une configuration utilisateur. Dans la zone Tches courantes, cliquez sur Excution de l'habilitation. L'assistant d'habilitation s'affiche. Cliquez sur le bouton Suivant. Entrez le nom de votre fichier XML d'habilitation ou cliquez sur le bouton Parcourir pour le rechercher, puis cliquez sur Suivant. Password Manager valide le fichier XML. Si aucune erreur de syntaxe n'est dtecte, un rcapitulatif des modifications possibles est prsent. Vous pouvez enregistrer ce rcapitulatif. Si des erreurs de syntaxe ou autres sont trouves, un journal des erreurs s'affiche. Vous pouvez l'enregistrer, puis cliquer sur Annuler pour fermer l'assistant.
7.
Si aucune erreur n'est trouve, cliquez sur Suivant pour excuter les commandes du fichier.
171
tant donn la modification des informations dans le magasin central, toute erreur rsultant de l'habilitation est affiche. Pour arrter l'habilitation en cours, cliquez sur Abandonner. Lorsque Password Manager atteint la fin de la section de donnes en cours de traitement (par dfaut, les donnes sont traites par groupes de 50 lignes de code), l'habilitation se termine. 8. Cliquez sur le bouton Terminer pour fermer l'assistant. Vous pouvez galement cliquer sur le bouton Enregistrer dans un fichier pour conserver les rsultats de l'habilitation.
172
Remarque : le Bureau dynamique n'est pris en charge que sous Microsoft Windows 2000 Professionnel, Microsoft Windows XP Embedded et Microsoft Windows XP Professionnel, Service Pack 2, 32 bits. Il n'est pas pris en charge par les systmes d'exploitation 64 bits ou tout systme d'exploitation pour serveur. La fonction Bureau dynamique de Citrix Password Manager permet aux utilisateurs de partager leur station de travail de faon sre et efficace. Le Bureau dynamique tend l'environnement Windows standard en permettant aux utilisateurs de : s'authentifier rapidement auprs de Windows l'aide de la bote de dialogue d'ouverture de session interactive GINA ; excuter des applications actives par authentification unique dans le shell interactif de l'utilisateur en utilisant ses informations d'identification Citrix Password Manager ; se dconnecter de la station de travail Bureau dynamique pour que d'autres utilisateurs puissent excuter des applications.
Le Bureau dynamique offre la fois une rotation acclre des utilisateurs et une scurit supplmentaire grce l'accs l'authentification unique de Password Manager. Cette fonctionnalit n'est pas installe par dfaut, vous pouvez la slectionner pendant l'installation de l'Agent. Vous pouvez galement l'ajouter lors d'une mise niveau de vos dploiements. Toutefois, avant de pouvoir implmenter le Bureau dynamique, vous devez le configurer selon les besoins de votre environnement et de votre entreprise. Cette section traite les points suivants : Rcapitulatif des tches du Bureau dynamique , page 174 Processus de dmarrage et de fermeture du Bureau dynamique , page 175
174
Cration d'un compte Bureau dynamique partag , page 178 Conditions requises pour les applications utilises dans le Bureau dynamique , page 180 Dfinition du comportement des applications pour les utilisateurs du Bureau dynamique , page 181 Paramtres de configuration utilisateur du Bureau dynamique , page 190 Installation du Bureau dynamique , page 193 Dsinstallation du Bureau dynamique , page 195 Interaction avec les clients Citrix Presentation Server , page 197 Affichage des profils utilisateur du Bureau dynamique , page 198 Fermeture d'une station de travail du Bureau dynamique , page 199 Absence de prise en charge de la fonction AutoAdminLogon , page 199 Modification du mot de passe du compte partag de Bureau dynamique , page 200 Informations du Bureau dynamique sur le Web , page 201
175
Conditions requises pour les applications utilises dans le Bureau dynamique , page 180 Dfinition du comportement des applications pour les utilisateurs du Bureau dynamique , page 181 Fichier Session.xml , page 184 Fichier process.xml , page 187 Paramtres de configuration utilisateur du Bureau dynamique , page 190 Configuration de l'interaction de l'Agent , page 102 Paramtres avancs , page 104 Installation du Bureau dynamique , page 193 Dsinstallation du Bureau dynamique , page 195
5. Installer l'Agent en slectionnant la fonction Bureau dynamique. 6. Dsinstaller le Bureau dynamique si ncessaire.
176
Remarque : le compte partag est ouvert en permanence. Les utilisateurs ne sont pas autoriss le fermer. 1. Un utilisateur du Bureau dynamique ouvre une session sur la machine de travail et entre un nom d'utilisateur et un mot de passe ou utilise un systme d'authentification renforce, telle qu'une carte puce. Aprs authentification, la session du Bureau dynamique dmarre. Password Manager dmarre. L'Agent synchronise ses donnes avec celles du magasin central. Ainsi, l'utilisateur dispose des dfinitions d'application, des stratgies de mot de passe et autres rglages d'Agent les plus rcents. Le systme lit le fichier session.xml et dmarre les applications dfinies pour une excution avec le compte partag ou le compte d'utilisateur du Bureau dynamique. Veuillez consulter la section Fichier Session.xml , page 184. Il peut s'agir d'applications locales ou distantes publies par Presentation Server. L'utilisateur accde aux applications pour effectuer les tches lies sa fonction. L'utilisateur du Bureau dynamique ferme sa session. Remarque : lorsque la machine de travail n'est pas utilise, le Bureau dynamique lance un compteur d'expiration. Dans la Console Password Manager, vous pouvez spcifier un dlai d'expiration pour une machine de travail inactive. Si ce dlai est dpass, le Bureau dynamique verrouille la machine de travail. Aprs un intervalle supplmentaire d'inactivit, le Bureau dynamique met fin la session. Veuillez consulter la section Spcification des options de dlai d'expiration de session du Bureau dynamique , page 191. 6. Le Bureau dynamique laisse les applications ouvertes ou les ferme selon les paramtres dfinis dans process.xml. Pour plus d'informations, veuillez consulter la section Fichier process.xml , page 187. Password Manager est ferm. Tous les scripts de fermeture spcifis dans le fichier session.xml sont excuts. La session du Bureau dynamique est ferme.
2. 3.
4.
5.
7. 8. 9.
177
2.
3. 4.
Bien que ce comportement soit frustrant pour l'utilisateur, il n'a aucun effet nfaste sur les donnes de l'utilisateur, l'environnement de travail ni Password Manager. Citrix vous recommande d'indiquer aux utilisateurs de ne pas enregistrer leurs informations d'identification d'ouverture de session ni les rponses aux questions de scurit tant que le message d'erreur ne s'affiche pas. Ils peuvent alors fermer le message d'erreur et procder l'enregistrement. Aprs la fermeture du message d'erreur et l'enregistrement, si une application spcifie dans session.xml n'est pas encore ouverte, indiquez l'utilisateur de se dconnecter, puis de se reconnecter au compte. Cette opration redmarre les scripts de dmarrage du Bureau dynamique et les excute sans interruption tant donn que l'enregistrement est prsent termin et ne retarde pas le processus.
178
Pour plus d'informations sur les scripts de dmarrage et de fermeture, veuillez consulter la section Dfinition du comportement des applications pour les utilisateurs du Bureau dynamique , page 181.
179
Indiquez le nom du domaine auquel appartient la machine, au format NetBIOS et non sous forme de nom de domaine complet (FQDN). Si vous utilisez un compte local, indiquez le nom d'hte de la machine. En rgle gnrale, il est prfrable de nommer le compte partag Bureau dynamique . Ainsi, les utilisateurs voient s'afficher un message de fermeture de session au Bureau dynamique lorsqu'ils ferment leur session dans l'environnement Windows 2000. Si vous utilisez un nom obscur, les utilisateurs le voient s'afficher lors de la fermeture de session et peuvent ne pas comprendre. Si vous disposez de plusieurs groupes d'utilisateurs du Bureau dynamique, vous pouvez nommer chaque compte partag en consquence, par exemple : Bureau partag Marketing , Bureau partag Comptabilit , etc.
180
Si vous dployez le Bureau dynamique dans un environnement o les utilisateurs se connectent l'aide de cartes puce, ne slectionnez pas l'option Saisie du mot de passe prcdent comme seule mthode de rcupration de cl et de protection des donnes pour ces utilisateurs. Les utilisateurs utilisant ce type d'environnement ne peuvent pas entrer l'ancien mot de passe correct et risquent d'tre verrouills hors du systme. Pour viter ce problme, slectionnez l'option de rcupration de cl pour la gestion de cls automatique ou autorisez galement l'authentification base sur des questions. Pour plus d'informations, veuillez consulter les sections : Instructions relatives aux choix d'authentification principale et de protection des informations d'identification multiples, page 52 du Guide dinstallation Citrix Password Manager Cration de configurations utilisateur , page 91 Authentification des utilisateurs et vrification d'identit , page 129 Gestion de l'authentification avec questions , page 135
181
applications pouvant partager des informations de configuration peuvent tre excutes avec le compte partag. Les administrateurs peuvent utiliser un script d'arrt de session spcifi dans le fichier session.xml pour s'assurer que les fichiers propres aux utilisateurs sont supprims la fin de chaque session. Veuillez consulter la section Dfinition du comportement des applications pour les utilisateurs du Bureau dynamique , page 181. Important : si vous souhaitez que Password Manager soumette des informations d'identification dans un environnement de Bureau dynamique pour les mulateurs de terminal qui stockent des informations dans la cl HKEY_CURRENT_USER, vous devez excuter ces applications avec le compte d'utilisateur du Bureau dynamique. Indiquez les mulateurs de terminal excuter avec le compte d'utilisateur du Bureau dynamique dans la section ShellExecute du fichier process.xml. Pour excuter un mulateur de terminal au dmarrage de session, dsignez-le dans la section de script de dmarrage du fichier session.xml. Les mulateurs de terminal doivent tre excuts avec le compte d'utilisateur du Bureau dynamique dans le script de dmarrage. Veuillez consulter la section Dfinition du comportement des applications pour les utilisateurs du Bureau dynamique , page 181.
182
Remarque : voir aussi la section Processus de dmarrage et de fermeture du Bureau dynamique , page 175.
Avant de commencer
Important : vous ne pouvez pas indiquer la fois qu'un processus doit tre excut comme un compte partag du Bureau dynamique dans le fichier session.xml et qu'il doit tre excut en tant qu'utilisateur de Bureau dynamique (HDU) dans le fichier process.xml. Les entres du fichier session.xml remplacent celles de l'lment <shellexecute_processes> du fichier process.xml. Pour vous connecter au PC, la station de travail ou la machine cliente pour des besoins d'administration (par exemple, pour modifier le fichier process.xml), maintenez la touche Maj enfonce durant le processus de dmarrage de Windows. Pour plus d'informations sur le contournement de l'ouverture de session Windows automatique, veuillez consulter le site Web Microsoft. Les variables d'environnement suivantes ne sont pas prises en charge lors de l'excution des scripts du fichier session.xml, des scripts d'expiration du mot de passe ou de tout autre script, fichier excutable ou fichier de traitement par lots depuis une session utilisateur du Bureau dynamique : APPDATA, HOMEDRIVE, HOMEPATH, HOMESHARE et LOGONSERVER. Si l'une des variables non prises en charge est utilise, le script, l'application ou le fichier excutable risque de ne pas tre excut. Pour viter ce problme, il est prfrable que les applications n'accdent pas aux variables d'environnement non prises en charge pendant la dure d'une session utilisateur du Bureau dynamique. Vous devez expliquer aux utilisateurs qu'ils doivent fermer les applications dsignes comme tant des processus persistants. Par exemple, si un utilisateur lance un processus persistant, cre un fichier puis laisse le fichier ouvert lorsqu'il ferme sa session du Bureau dynamique, le prochain utilisateur qui ouvre une session peut accder au contenu du fichier.
183
Important : les utilisateurs doivent donc toujours fermer les applications dont le contenu est sensible et qui sont dfinies comme des processus persistants, avant de mettre fin leur session du Bureau dynamique. Lorsque vous dfinissez une application comme un processus persistant dans process.xml et comme script de dmarrage dans session.xml, le nombre d'instances de l'application risque d'augmenter si les utilisateurs ne ferment pas les nouvelles instances d'une session du Bureau dynamique. Pour viter cela, limitez le nombre d'instances en crant un script ou une application gnrale qui lance l'application. Vous pouvez galement modifier l'application elle-mme pour garantir qu'une seule instance est excute tout moment. Les applications lances partir d'une invite de commande sont excutes avec le compte partag mme si elles sont spcifies avec le compte d'utilisateur du Bureau dynamique. Pour excuter des applications partir de l'invite de commande avec le compte d'utilisateur du Bureau dynamique, vous devez spcifier l'invite de commande dans la section <shellexecute_processes> du fichier process.xml. De mme, si l'invite de commande est excute avec le compte partag, si l'association de type de fichier (par exemple, *.txt) est dfinie dans la section <shellexecute_processes> du fichier process.xml et si l'utilisateur excute un fichier ayant l'extension .txt, l'application est excute avec le compte d'utilisateur du Bureau dynamique. Les applications persistantes utilisant le format de fichier 8.3 doivent utiliser ce format dans le chemin d'accs de l'excutable spcifi dans le fichier process.xml. Les balises XML et la mise en forme du fichier process.xml prennent en compte la casse, contrairement aux chemins d'accs et aux noms d'excutable. Si vos utilisateurs excutent SAP Logon for Windows (saplogon.exe), ce fichier doit tre excut en tant qu'utilisateur du Bureau dynamique. Dans le fichier process.xml, spcifiez saplogon.exe dans la balise <shellexecute_processes>. Veuillez consulter la section <shellexecute_processes> , page 189.
184
Fichier Session.xml
Remarque : un exemple de fichier session.xml est disponible dans le dossier \Support du CD-ROM de Password Manager. Utilisez le fichier session.xml pour dfinir les applications lancer lors du dmarrage d'une session de Bureau dynamique (script de dmarrage) et la suppression des fichiers ou autres informations rsultant d'une session utilisateur (script d'arrt). Aprs avoir modifi ce fichier selon vos besoins, placez-le sur un point de partage rseau ou un autre emplacement central pour que les stations de travail Bureau dynamique puissent y accder. Spcifiez cet emplacement du fichier session.xml dans la configuration utilisateur (voir Paramtres de configuration utilisateur du Bureau dynamique , page 190 et Paramtres avancs , page 104).
D'autres applications spcifies dans le fichier session.xml peuvent tre lances partir du shell du compte partag du Bureau dynamique, invitant les utilisateurs entrer leurs informations d'identification. L'Agent se comporte alors selon les paramtres dfinis dans les configurations utilisateur. Important : enregistrez le fichier session.xml au format UTF-8. Le codage ANSI est accept si tous les caractres sont compris dans la plage de caractres 0 127 (jeu de caractres anglais standard). Si le fichier session.xml contient des caractres spciaux ou trangers, tels que des caractres asiatiques, vous devez l'enregistrer au format UTF-8.
185
<startup_scripts>
Cette section du fichier est utilise pour spcifier les applications lancer avec le compte partag du Bureau dynamique et le compte Windows associ l'utilisateur du Bureau dynamique.
<startup_scripts> <script> <account>compte</account> <working_directory>rpertoire</working_directory> <path>options_de_chemin</path> </script> </startup_scripts>
o :
compte Correspond au compte sous lequel l'application est excute. Vous pouvez choisir entre le nom d'utilisateur HDU ou le nom d'utilisateur du compte partag du Bureau dynamique. Indique le rpertoire de travail de l'application. Indique le chemin d'accs complet du fichier excutable de l'application ou du script sur le PC local, ainsi que toutes les options excuter avec l'application. Par exemple : c:\program files\Internet Explorer\iexplore.exe http://www.yahoo.com
rpertoire options_de_chemin
<shutdown_scripts>
Modifiez les applications d'arrt du fichier session.xml pour supprimer toutes les donnes rsultant d'une session utilisateur ferme. En gnral, ces applications suppriment les fichiers de configuration qui pourraient empcher le prochain utilisateur de travailler, les fichiers contenant des informations sensibles tels que les fichiers journaux et les documents stocks sur le systme. Ces applications garantissent que l'environnement du Bureau dynamique est nettoy en vue de la prochaine session utilisateur. Cette partie du fichier est particulirement utile pour la scurit des donnes.
186
Remarque : si besoin est, vous pouvez lancer des programmes administrateur ou des scripts pour nettoyer l'environnement utilisateur lors de la fermeture. Par exemple, vous pouvez crire un script en Visual Basic qui utilise une application tierce pour supprimer les fichiers .ini de chaque utilisateur.
<shutdown_scripts> <script> <account>compte</account> <working_directory>rpertoire</working_directory> <path>options_de_chemin</path> </script> </shutdown_scripts>
o :
compte Correspond au compte sous lequel l'application de fermeture est excute. Vous pouvez choisir entre le nom d'utilisateur HDU ou le nom d'utilisateur du compte partag du Bureau dynamique. Indique le rpertoire de travail de l'application. Indique le chemin d'accs complet du fichier excutable de l'application ou du script sur le PC local, ainsi que toutes les options excuter avec l'application. Par exemple : c:\cleanup.vbs
rpertoire options_de_chemin
187
Fichier process.xml
Remarque : le fichier process.xml est cr sur chaque station de travail ou machine sur laquelle le Bureau dynamique est install et se situe dans le dossier C:\Program Files\Citrix\MetaFrame Password Manager\HotDesktop. Un exemple de fichier process.xml est disponible dans le dossier \Support du CDROM de Password Manager. Par consquent, tous les changements que vous souhaitez apporter ce fichier doivent tre effectus individuellement sur chaque machine. Toutefois, consultez l'article du support Citrix http://support.citrix.com/ article/CTX110394 pour savoir comment remplacer chaque fichier process.xml utilisateur l'aide d'une stratgie de groupe de machines dans Active Directory. Utilisez le fichier process.xml pour spcifier quelles applications doivent continuer tre excutes lorsqu'un utilisateur du Bureau dynamique se dconnecte. Ces applications sont appeles applications persistantes ou processus persistants. Vous pouvez galement utiliser le fichier process.xml pour spcifier les applications qui doivent s'arrter lorsqu'un utilisateur du Bureau dynamique se dconnecte. Ces applications sont appeles applications ou processus transitoires. Important : enregistrez le fichier process.xml au format UTF-8. Le codage ANSI est accept si tous les caractres sont compris dans la plage de caractres 0 127 (jeu de caractres anglais standard). Si le fichier process.xml contient des caractres spciaux ou trangers, tels que des caractres asiatiques, vous devez l'enregistrer au format UTF-8.
188
<persistent_processes>
Cette section du fichier est utilise pour indiquer quelles applications doivent continuer tre excutes une fois qu'un utilisateur du Bureau dynamique a ferm la session. Les applications spcifies restent alors ouvertes lors de la fermeture (ou dconnexion) des sessions Bureau dynamique, mme si celles-ci ont t lances durant la session. Indiquez le chemin d'accs complet du processus persistant pour garantir que seuls les processus appropris restent ouverts la fin de chaque session.
<persistent_processes> <process> <name>options_de_chemin</name> </process> </persistent_processes>
o :
options_de_chemin Indique le chemin d'accs complet du fichier excutable de l'application ou du script sur le PC local, ainsi que toutes les options excuter avec l'application. Par exemple : c:\program files\Internet Explorer\iexplore.exe http://www.yahoo.com
Remarque : aprs l'installation, l'Agent cre automatiquement une entre pour une application persistante appele activator.exe dans le fichier process.xml. L'application activator.exe fournit aux utilisateurs leur indicateur de session Bureau dynamique. Il s'agit une fentre transparente et dplaable que les utilisateurs voient lorsqu'ils ouvrent une session. Elle contient des informations propos des utilisateurs et de leurs sessions telles qu'elles sont dfinies par l'administrateur. Par dfaut, activator.exe est dfinie en tant que processus persistant afin d'viter son redmarrage chaque ouverture et fermeture de session du Bureau dynamique.
189
<transient_processes>
Remarque : aprs l'installation, l'Agent spcifie automatiquement une application transitoire appele shellexecute.exe dans le fichier process.xml. Par dfaut, elle est dfinie en tant que processus transitoire afin d'viter qu'elle ne se ferme chaque fin de session du Bureau dynamique. Cette section du fichier est utilise pour indiquer quelles applications doivent tre arrtes une fois qu'un utilisateur du Bureau dynamique a ferm la session.
<transient_processes> <process> <name>application</name> </process> </transient_processes>
o :
application Indique le nom de l'application ou du processus qui doit s'arrter. Le chemin complet n'est pas requis. Par exemple : pnagent.exe.
<shellexecute_processes>
Remarque : aprs l'installation, l'Agent spcifie automatiquement une application shell excutable appele ssoshell.exe (Agent Password Manager) dans le fichier process.xml. Par dfaut, elle est dfinie comme un processus excuter en tant qu'utilisateur du Bureau dynamique. Cette section du fichier est utilise pour spcifier les types d'applications ou de fichiers qui doivent tre excuts en tant qu'utilisateur du Bureau dynamique. Ce paramtre permet de garantir la scurit des applications excuter l'aide d'informations d'identification des utilisateurs dj connects. Par exemple, si vous spcifiez l'Agent Program Neighborhood, celui-ci est excut avec les informations d'identification de cet utilisateur lors de son dmarrage. Alors que le script de dmarrage du fichier session.xml spcifie les applications lancer lors de l'ouverture d'une session du Bureau dynamique, <shellexecute_processes> indique les applications qui peuvent tre lances par les utilisateurs ayant dj ouvert une session du Bureau dynamique.
190
o :
application Indique le nom de l'application ou du processus excuter. Le chemin complet n'est pas requis. Par exemple : pnagent.exe.
Remarque : process.xml autorise l'utilisation du caractre gnrique (*) dans les noms de fichiers statiques tels que Notepad.exe. Les caractres gnriques peuvent tre utiliss seuls ou l'intrieur des noms de fichiers. Par exemple, *.txt, pnagent.exe, et *.doc sont des noms d'application valides.
191
1.
Dans le champ du chemin d'accs du fichier de paramtres de scripts de session, entrez l'emplacement du fichier session.xml. Cet emplacement peut tre un dossier de rseau partag. Par exemple, si vous placez votre fichier session.xml sur un point de partage rseau tel que \\Citrix\MPM\Share\, tapez ce chemin d'accs ici.
2.
Redmarrez la station de travail Bureau dynamique une fois que vous avez enregistr la configuration utilisateur et install le fichier session.xml.
192
Remarque : dans un environnement Password Manager utilisant la rcupration de cl automatique en combinaison avec le Bureau dynamique, les modifications de mot de passe ralises par l'administrateur ne sont pas communiques l'Agent des utilisateurs concerns possdant une session du Bureau dynamique active. Si ces utilisateurs verrouillent puis dverrouillent leur session, ils peuvent tre invits fournir leur mot de passe prcdent. Les utilisateurs doivent alors fermer la bote de dialogue affiche, puis clore et redmarrer la session du Bureau dynamique pour continuer utiliser l'Agent. Voir aussi la section Bureau dynamique, cartes puce et rcupration de cl , page 179.
193
Remarque : le Bureau dynamique n'est pris en charge que sous Microsoft Windows 2000 Professionnel, Microsoft Windows XP Embedded et Microsoft Windows XP Professionnel, Service Pack 2, 32 bits. Il n'est pas pris en charge par les systmes d'exploitation 64 bits ou tout systme d'exploitation pour serveur.
194
Dsactivation des services Terminal Server pour une installation administrative ou non assiste du Bureau dynamique
Les services Terminal Server doivent tre dsactivs pour que le Bureau dynamique soit install correctement. Si vous crez un pack Microsoft Windows Installer (.msi) en vue d'une installation administrative ou non assiste du Bureau dynamique, vous devez dfinir la proprit DISABLE_TERMINAL_SERVICE sur la valeur 1 avant d'installer le Bureau dynamique sur les stations de travail. Veuillez consulter le chapitre Installation et configuration de l'Agent Password Manager du Guide d'installation Citrix Password Manager. Vous pouvez galement crer un fichier de transformation qui dfinit la valeur de la proprit pour les packs automatiquement dploys l'aide d'une stratgie de groupe Active Directory.
Pour installer le Bureau dynamique (installation d'un nouvel Agent)
Veuillez consulter le chapitre Installation et configuration de l'Agent Password Manager du Guide d'installation Citrix Password Manager.
Pour installer le Bureau dynamique (installation existante de l'Agent)
1. 2. 3. 4. 5. 6. 7. 8. 9.
Ouvrez une session en tant qu'administrateur local sur la station de travail. Dans le Panneau de configuration, slectionnez Ajout/Suppression de programmes. Slectionnez Agent Citrix Password Manager et cliquez sur Modifier. Slectionnez Modifier, puis cliquez sur Suivant. Slectionnez Bureau dynamique, puis cliquez sur Suivant. Cliquez sur Oui sur le message de confirmation pour dsactiver les services Terminal Server et le Bureau distance. Spcifiez l'emplacement du magasin central, puis cliquez sur Suivant. Indiquez l'adresse du serveur de service, puis cliquez sur Suivant. Entrez les informations d'identification pour le compte partag du Bureau dynamique et cliquez sur le bouton Suivant. Indiquez le nom du domaine auquel appartient la machine, au format NetBIOS et non sous forme de nom de domaine complet (FQDN).
10.
Cliquez sur le bouton Installer. Vous pouvez cliquer sur le bouton Prcdent si vous dcidez de modifier un rglage ou une slection.
195
Insrez le CD-ROM du produit dans le lecteur pour que le processus d'installation puisse localiser le fichier setup.msi de l'Agent. Cliquez sur le bouton Terminer pour achever l'installation. Cliquez sur le bouton Oui pour redmarrer la machine cliente.
Attention : cette procdure ncessite que vous modifiez le registre. Une utilisation incorrecte de l'diteur du Registre peut occasionner de srieux problmes qui pourraient ncessiter la rinstallation du systme d'exploitation. Citrix ne peut garantir la possibilit de rsoudre les problmes provenant d'une mauvaise utilisation de l'diteur du Registre. L'utilisation de l'diteur du Registre se fait vos propres risques. Faites toujours une copie de sauvegarde du registre systme avant de continuer.
Pour dsinstaller le Bureau dynamique
1.
Pour vous connecter la station de travail ou machine cliente partage afin d'effectuer des tches d'administration, maintenez la touche Maj enfonce pendant le processus de dmarrage de Windows. Ceci vite que le compte Bureau dynamique partag ne soit dconnect et que l'environnement du Bureau dynamique ne soit dmarr. Pour plus d'informations sur le contournement de l'ouverture de session Windows automatique, veuillez consulter le site Web Microsoft. Ouvrez une session en tant qu'administrateur.
2. 3.
Ouvrez le Panneau de configuration, puis slectionnez Ajout/Suppression de programmes. Slectionnez Agent Citrix Password Manager.
196
4. 5. 6. 7. 8.
Cliquez sur Modifier pour supprimer seulement la fonction Bureau dynamique. Dans la page Maintenance de l'application, slectionnez Modifier. Dans la page Slection de composants, slectionnez Bureau dynamique et rendez cette fonction non disponible. Suivez les invites pour slectionner votre type de magasin central et pour confirmer les changements apports l'Agent. Redmarrez la station de travail.
Le Bureau dynamique n'est pas compltement supprim tant que la station de travail n'a pas redmarr. Important : lors de la dsinstallation du logiciel potentiellement responsable de la rupture de la chane GINA, il est important de dsinstallez le logiciel dans l'ordre inverse de son installation sur la machine cliente. Autrement, lordinateur risque de se trouver dans un tat non valide. Ne modifiez pas le registre. Pour plus d'informations, veuillez consulter Prservation de la chane GINA lors de l'installation de l'Agent du Guide d'installation Citrix Password Manager.
1. 2.
Ouvrez une session en tant qu'administrateur sur la station de travail. Cliquez sur Dmarrer > Excuter et tapez regedit.
197
3.
1. 2. 3.
Ouvrez une session en tant qu'administrateur sur la station de travail. Cliquez sur Dmarrer > Excuter et tapez regedit. Dfinissez la valeur de la cl de registre suivante sur 1 : [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon] AllowMultipleSessions =dword:00000001
198
Vous pouvez galement excuter le client avec le compte d'utilisateur du Bureau dynamique par souci de scurit. Les fichiers ICA (Independent Computing Architecture ) sont stocks dans le profil. Modifiez la section <shellexecute_processes> du fichier process.xml pour garantir que les clients sont excuts avec le compte d'utilisateur du Bureau dynamique lors de leur lancement partir du shell Windows. Modifiez le fichier session.xml en spcifiant un script de dmarrage ou un excutable pour lancer le client lors de l'ouverture de la premire session du Bureau dynamique.
1.
Dans la section <shellexecute_processes> du fichier process.xml, incluez Internet Explorer (iexplore.exe) afin qu'il soit excut avec le compte d'utilisateur du Bureau dynamique.
199
2. 3.
Ouvrez une session en tant qu'utilisateur du Bureau dynamique et lancez Internet Explorer. Pour afficher les profils, entrez le chemin d'accs complet du rpertoire des profils d'utilisateur du Bureau dynamique dans la barre d'adresse. Par exemple : C:\Documents and Settings\All Users\Application Data\Citrix\MetaFrame Password Manager
200
4.
Aprs dfinition des valeurs, redmarrez la station de travail et ouvrez manuellement une session l'aide du compte partag. La page d'ouverture de session du Bureau dynamique apparat et permet aux utilisateurs d'utiliser un systme d'authentification tiers.
1.
Ouvrez une session sur une station de travail sur laquelle le Bureau dynamique est install. Important : n'utilisez pas un compte administrateur ou les informations d'identification du compte Bureau partag dans l'tape 1.
2. 3. 4.
Appuyez sur la combinaison de touches Ctrl+Alt+Suppr. pour afficher la bote de dialogue Scurit de Windows. Cliquez sur Modifier le mot de passe. Tapez ou slectionnez les informations suivantes : nom d'utilisateur du compte Bureau dynamique partag ; nom du domaine ou de l'ordinateur local ; ancien mot de passe ; nouveau mot de passe.
5. 6.
Cliquez sur OK. Cliquez sur Arrter, puis sur Redmarrer dans la bote de dialogue Scurit de Windows pour redmarrer le PC.
201
202
10
Oprations
Utilisez ce chapitre comme rfrence si vous rencontrez des problmes avec votre installation de Password Manager ou si vous recherchez des informations supplmentaires propos de composants particuliers. Pour obtenir de meilleurs rsultats, reportez d'autres sections de ce guide pour obtenir les procdures de configuration de Password Manager. Ce chapitre traite les points suivants : Journalisation des vnements de Password Manager , page 203 L'Agent Password Manager ne soumet pas les informations d'identification , page 206 Prise en charge des mulateurs de terminal , page 208 Fichier Mfrmlist.ini , page 206 L'Agent Password Manager ne dmarre pas , page 210 Signature, retrait de signature, renouvellement de signature et vrification des donnes , page 212 Activation et dsactivation du service d'intgrit des donnes dans l'Agent Password Manager , page 217 limination d'objets supprims dans le magasin central , page 217 Dplacement des donnes vers un autre magasin central , page 218 Sauvegarde des fichiers importants , page 221 Sauvegarde des fichiers du service Password Manager , page 221
204
Des vnements relatifs la scurit ncessitant parfois un suivi afin de respecter les rglementations en vigueur sont intercepts et vrifis. Les capacits de journalisation de Password Manager permettent galement d'amliorer la scurit de votre rseau. Si vous utilisez Password Manager dans un environnement Presentation Server, le journal identifie les informations des utilisateurs et des sessions. Toute tentative infructueuse d'ouverture de session est journalise. La journalisation standard est dsactive par dfaut mais vous pouvez activer le journal d'vnements dans la Console aprs cration de la configuration utilisateur. La journalisation des vnements du Bureau dynamique est toujours active. Password Manager journalise des vnements pour les composants suivants : Bureau dynamique (activ par dfaut) Cartes puce Systme de licences Service Password Manager
Le tableau ci-dessous contient certains vnements standard journaliss par Password Manager.
Types d'vnements standard Tentative infructueuse d'ouverture de session (authentification de l'Agent) Journalis lors d'une authentification infructueuse d'un utilisateur auprs de l'Agent Password Manager. chec d'ouverture du magasin d'informations d'identification. Tentative russie d'ouverture de session (authentification de l'Agent) Journalis lors d'une authentification d'un utilisateur auprs de l'Agent et d'une ouverture du magasin central russies. Tentative d'ouverture de session (soumission d'informations d'identification) Journalis lors de tentatives de soumission d'informations d'identification une application externe. Oprations avec des informations d'identification Journalis lors d'oprations sur des informations d'identification, notamment la modification, la rvlation et la vrification d'identit. chec de synchronisation (communication) Journalis lors d'chec de synchronisation avec le magasin central en raison de problmes de communication. chec de synchronisation (autorisations) Journalis lors d'chec de synchronisation avec le magasin central en raison d'informations d'identification incorrectes.
10
Oprations
205
Types d'vnements standard chec de cryptage/dcryptage - Protection des donnes par carte puce Journalis lors d'un chec gnral associ au cryptage ou au dcryptage des donnes de carte puce. chec de cryptage/dcryptage - Protection des donnes par carte puce (carte manquante) Journalis lorsque la carte puce n'est pas disponible. Dmarrage et fermeture de l'Agent Journalis lorsque la carte puce n'est pas disponible. Fichiers .dll manquant ou altrs Journalis lorsqu'un fichier .dll ne peut pas tre charg correctement.
Le tableau ci-dessous contient certains vnements du Bureau dynamique journaliss par Password Manager.
Types d'vnements du Bureau dynamique chec d'ouverture de session du Bureau dynamique Journalis seulement en prsence d'une erreur fatale au dmarrage de la session. Ouverture de session du Bureau dynamique russie Journalis lors de l'ouverture d'une session du Bureau dynamique aprs une authentification d'utilisateur russie. chec de fermeture de session du Bureau dynamique Journalis seulement en prsence d'une erreur fatale la fermeture de session. Fermeture de session du Bureau dynamique russie Journalis lors d'une fermeture de session russie aprs intervention de l'utilisateur ou expiration du dlai d'inactivit d'une session. Activation de la journalisation d'vnements
Pour activer la journalisation d'vnements, suivez les instructions suivantes : 1. 2. 3. Dans la Console, cliquez sur votre configuration utilisateur puis sur Modifier la configuration utilisateur. Parmi les proprits de cette configuration, slectionnez Interaction ct client. Cliquez sur Journaliser les vnements de Citrix Password Manager l'aide de l'Observateur d'vnements Windows.
206
Fichier Mfrmlist.ini
Le fichier Mfrmlist.ini contient une liste d'mulateurs de terminal et les emplacements des fichiers HLLAPI.dll que l'Agent Password Manager surveille. Son emplacement est le suivant : %ProgramFiles%\Citrix\MetaFrame Password Manager\Helper\MFEmu
Remarque : Password Manager met votre disposition un large ventail de paramtres pour la cration de dfinitions d'application, de stratgies de mot de passe, de configurations utilisateur et de mthodes de vrification d'identit. Certains rglages impliquent parfois des paramtres conflictuels, ce qui peut notamment conduire des checs de soumission d'informations d'identification aux applications. Pour plus d'informations sur les paramtres, veuillez consulter la section Liste des paramtres de Password Manager , page 225. Si l'Agent Password Manager ne parvient toujours pas soumettre les informations d'identification de l'utilisateur, essayez les techniques de rsolution de problmes suivantes pour les applications Web et les applications d'mulation de terminal.
10
Oprations
207
Applications Web
Crez des dfinitions d'application Web l'aide de l'assistant de dfinition d'application et de l'assistant de dfinition de formulaire. L'assistant de dfinition de formulaire garantit que Password Manager configure une page Web en utilisant l'adresse URL exacte (redirige, casse respecte, etc.). Il permet d'viter galement les erreurs typographiques.
Pour vrifier que l'option de recherche d'URL stricte est utilise correctement
Ce paramtre se trouve dans la page de modification du formulaire d'une application Web dans la Console. 1. 2. 3. 4. Dans la Console, slectionnez l'application afficher. Dans le menu Action, cliquez sur Modifier une dfinition d'application. Cliquez sur Formulaires d'application, slectionnez un formulaire d'application, puis sur Modifier. Cliquez sur Identification du formulaire. ce niveau, vous pouvez activer la recherche d'adresse URL stricte ainsi que la prise en compte de la casse de l'adresse URL. 5. Assurez-vous que les pages utilisent des types de champs HTML. Les dfinitions d'application Web requirent ces types de champs. Les types de champ dfini par l'utilisateur et indfini ne sont pas dtects.
208
tre configur dans l'mulateur de la machine cliente. Pour plus d'informations sur la configuration mulateurs HLLAPI, veuillez consulter la section Configuration de la prise en charge HLLAPI pour les mulateurs tests , page 209. Assurezvous que le processus ssomho.exe est en cours d'excution. Suivez les instructions ci-dessous pour cette vrification : A. B. C. Sur l'ordinateur excutant l'Agent Password Manager, ouvrez le Gestionnaire de tches et slectionnez l'onglet Processus. Cliquez sur l'en-tte Image Name pour trier les processus par nom d'image. Vrifiez la prsence de Ssomho.exe dans la liste.
S'il ne s'y trouve pas, il est possible qu'il ne soit pas en mesure de trouver un fichier HLLAPI.dll qu'il soit ferm prmaturment en raison de problmes tiers lis HLLAPI. Remarque : mme si le processus ssomho.exe apparat, ses communications avec HLLAPI.dll peuvent tre infructueuses. Vrifiez le nom de session court avant de rechercher d'autres solutions. Testez chaque mulateur. Si vous avez install plusieurs mulateurs pris en charge sur un mme systme, ssomho.exe tente de communiquer avec tous. Parfois, un des fichiers HLLAPI.dll peut provoquer une instabilit de ssomho.exe. Testez chaque mulateur hte en supprimant les autres ou en plaant des marques de commentaire devant les entres du fichier mfrmlist.ini et en modifiant leur squence. Cette tape permet de s'assurer que le processus ssomho ne se connecte pas par erreur un autre mulateur que celui faisant l'objet de votre test.
10
Oprations
209
Lorsque la prise en charge des mulateurs d'htes ou de mainframe est active, SSOShell dmarre le processus ssomho.exe. Ce processus lit d'abord le fichier Mfrmlist.ini situ l'emplacement %Program Files%\Citrix\MetaFrame Password Manager\Helper\MFEmu, puis recherche tous les mulateurs configurs et tente de charger le fichier DLL HLLAPI affect ce fichier. Le fichier mfrmlist.ini peut tre tendu pour s'adapter des mulateurs HLLAPI supplmentaires. Le processus ssomho.exe recherche dans la cl de registre HKEY_LOCAL_MACHINE\SOFTWARE l'emplacement du fichier DLL HLLAPI sauf instruction contraire du fichier mfrmlist.ini. Certains mulateurs situent l'emplacement dans la cl HKEY_CURRENT_USER. Pour ces mulateurs, spcifiez manuellement l'emplacement du fichier DLL en utilisant un chemin d'accs absolu dans le fichier mfrmlist.ini.
1. 2. 3. 4.
Installez l'mulateur et redmarrez l'ordinateur. Dmarrez l'mulateur et crez une nouvelle session, en dfinissant l'affichage et la connexion. Dfinissez le nom de session court. Activez la prise en charge de HLLAPI. Remarque : une dfinition d'application d'hte spare est ncessaire pour chaque session qui utilise Password Manager. L'Agent dtecte les sessions en faisant correspondre le texte dans l'cran de l'application d'hte avec le texte de la ligne et de la colonne spcifies de la dfinition d'application. L'Agent Password Manager soumet les informations d'identification en fonction des donnes de ligne et de colonne fournies dans la dfinition d'application. Par consquent, chaque session ncessite sa propre dfinition d'application.
210
5. 6. 7. 8. 9. 10.
Enregistrez puis fermez votre session. Quittez l'mulateur. Crez une dfinition d'application pour l'application d'hte. Ouvrez la Console et vrifiez si la prise en charge des htes et mainframe est active dans les configurations utilisateurs concernes. Excutez l'mulateur et ouvrez une session. Dmarrez ou actualisez l'Agent Password Manager.
Ce dernier reconnat alors l'cran de connexion et affiche un formulaire pour la saisie et l'enregistrement des informations d'identification.
10
Oprations
211
Si vous avez rcemment mis niveau ou install un logiciel tiers et que vous souponnez une modification de la chane GINA de Windows, vrifiez l'entre de registre Windows et la machine cliente pour vous assurer de la prsence et de l'emplacement des fichiers .dll de la chane GINA propres votre installation. Si les fichiers sont absents de la machine, dsinstallez et rinstallez l'Agent Password Manager. Important : lors de la dsinstallation du logiciel potentiellement responsable de la rupture de la chane GINA, il est important de dsinstallez le logiciel dans l'ordre inverse de son installation sur la machine cliente. Autrement, lordinateur risque de se trouver dans un tat non valide. Ne modifiez pas le registre.
Pour crer un certificat, vous devez excuter l'outil CtxCreateSigningCert.exe, disponible dans le dossier %ProgramFiles%\Citrix\MetaFrame Password Manager\Service. l'invite de commande de l'ordinateur excutant le service Password Manager, entrez CtxCreateSigningCert.exe. Entrer le nom de la cl publique, celui de la cl prive et le dlai d'expiration, en mois, du certificat de signature. Le certificat est cr. CtxCreateSigningCert Syntaxe : CtxCreateSigningCert <nom_du_certificat_public> <nom_du_certificat_public> <dlai_expiration_en_mois> Dans cette formule : <nom_du_certificat_public> = nom de fichier utiliser pour le certificat public <nom_du_certificat_priv> = nom de fichier utiliser pour le certificat priv
212
Entrez CtxSignData.exe l'invite de commande de l'ordinateur excutant le service Password Manager. Vous pouvez utiliser les paramtres suivants : -s, -r, u, -v.
10
Oprations
213
o :
-s chemin_service fichier_certificat emplacement_magasincentral Signe les fichiers de donnes dans le magasin central. Chemin d'accs du service Password Manager au format URI. Nom de fichier du certificat utiliser pour la signature ou le renouvellement de signature des donnes. Chemin d'accs UNC (Universal Naming Convention) du partage de fichier ou du DNS (Domain Name System) du contrleur de domaine Active Directory. NTFS|NNFS|AD = type de service d'annuaire du magasin central, o NTFS = partage de fichier Microsoft NTFS NNFS = dossier partag Novell AD = Microsoft Active Directory
NTFS|NNFS|AD
214
1. 2. 3. 4.
Dans la Console Password Manager, recherchez la configuration utilisateur affecte. Ouvrez cette configuration pour vrifier si les donnes peuvent tre lues partir du magasin central. Fermez la configuration utilisateur pour enregistrer les donnes non altres dans le magasin central. Utilisez l'outil de signature (ctxsigndata) pour signer nouveau les donnes du magasin central.
Remarque : si l'altration des donnes semble tre cause par un problme de scurit, Citrix recommande la procdure dcrit ci-dessous pour toutes les configurations utilisateur avant de signer nouveau les donnes avant d'viter de signer par erreur des donnes non protges. La syntaxe de la commande CtxSignData avec le paramtre -r est la suivante :
CtxSignData [-r chemin_service fichier_certificat emplacement_magasincentral NTFS|NNFS|AD]
o :
-r chemin_service fichier_certificat emplacement_magasincentral Renouvelle la signature des fichiers de donnes dans le magasin central (contient le paramtre -v). Chemin d'accs du service Password Manager au format URI. Nom de fichier du certificat utiliser pour la signature ou le renouvellement de signature des donnes. Chemin d'accs UNC (Universal Naming Convention) du partage de fichier ou du DNS (Domain Name System) du contrleur de domaine Active Directory.
10
Oprations
215
NTFS|NNFS|AD
NTFS|NNFS|AD = type de service d'annuaire du magasin central, o NTFS = partage de fichier Microsoft NTFS NNFS = dossier partag Novell AD = Microsoft Active Directory
o :
-u emplacement_magasincentral Retire la signature des fichiers de donnes dans le magasin central. Chemin d'accs UNC (Universal Naming Convention) du partage de fichier ou du DNS (Domain Name System) du contrleur de domaine Active Directory. NTFS|NNFS|AD = type de service d'annuaire du magasin central, o NTFS = partage de fichier Microsoft NTFS NNFS = dossier partag Novell AD = Microsoft Active Directory
NTFS|NNFS|AD
216
NTFS|NNFS|AD
10
Oprations
217
Activation et dsactivation du service d'intgrit des donnes dans l'Agent Password Manager
La cl de registre suivante peut tre modifie afin d'activer ou de dsactiver l'intgrit des donnes pour l'Agent Password Manager. HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\MetaFrame Password Manager\Extensions\SyncManager\PerformIntegrityCheck Type : DWORD Donnes : 0=validation de l'intgrit des donnes dsactive 1=validation de l'intgrit des donnes active
218
Les tapes associes la migration des donnes administratives sont les mmes quelles qu'en soient les circonstances. Dans tous les cas, vous devez d'abord exporter les donnes administratives partir de leur environnement d'origine, puis les importer dans le nouvel environnement. Gnralement, vous devez rediriger les utilisateurs vers le nouveau magasin central. Toutes ces tches peuvent tre effectues dans la Console Password Manager. Le tableau ci-dessous contient les donnes faisant l'objet ou non d'une migration lorsque vous utilisez la commande Exporter.
Migration Stratgies de mot de passe (sauf pour les stratgies par dfaut et de domaine) Modles d'application Dfinitions d'application Questions de scurit et groupes de questions de scurit utiliss dans le cadre de l'authentification avec questions Pas de migration Configurations utilisateur Dossiers People Groupes d'applications Informations d'identification
Questionnaires
10
Oprations
219
Les configurations utilisateur ne subissent pas automatiquement de migration d'un magasin central vers l'autre. Gnralement, vous devez recrer les configurations utilisateur et rediriger les utilisateurs vers le nouveau magasin central. Lorsque l'Agent Password Manager synchronise ses donnes avec celles du magasin central d'origine, il dtecte la modification des valeurs et copie alors les informations d'identification vers le nouveau magasin central. Important : l'aide de l'Outil de configuration du service, faites pointer le service Password Manager vers le nouveau magasin central.
1.
Dans la Console d'origine, cliquez sur le nud Password Manager puis sur Exporter les informations d'administration. L'assistant d'exportation des donnes d'administration s'affiche. Sur la page Bienvenue, cliquez sur Suivant. Dans la page Slection des donnes, slectionnez les types de donnes exporter et cliquez sur Suivant. Dans la page Indication du fichier, enregistrez les donnes dans un fichier .xml un emplacement accessible depuis l'ordinateur de la nouvelle console et cliquez sur Suivant. Dans la page Exportation des donnes, cliquez sur Terminer. L'assistant d'exportation des donnes d'administration se ferme.
2. 3. 4.
5.
1.
Installez et dmarrez Password Manager partir du nouvel emplacement, ce qui termine le processus de configuration et d'excution de la dcouverte.
220
2.
Dans la nouvelle Console d'origine, cliquez sur le nud Password Manager, puis sur Importer les donnes d'administration. L'assistant d'importation des donnes d'administration s'affiche. Sur la page Bienvenue, cliquez sur Suivant. Dans la page Indication du fichier, slectionnez le fichier .xml contenant les donnes exportes et cliquez sur Suivant. Vous serez invits entrer une confirmation si le contenu du fichier de donnes et le magasin central ont en commun leur nom ou leur identificateur. Dans de tels cas, utilisez les boutons Oui, Oui pour tout et Non pour remplacer ou viter de remplacer le contenu existant du magasin central.
3. 4.
5.
Dans la page Importation des donnes, cliquez sur Terminer. L'assistant d'importation des donnes d'administration se ferme.
1.
Aprs la migration de vos donnes vers le nouveau magasin central, crez de nouvelles configurations utilisateur dans la nouvelle Console. Important : en cas de migration du service Password Manager vers un nouvel ordinateur, vous devez inclure la nouvelle adresse du service dans les configurations utilisateur.
2. 3.
Dans la Console d'origine, slectionnez la configuration utilisateur rediriger vers le magasin central et cliquez sur Rediriger les utilisateurs. Dans la bote de dialogue Redirection des utilisateurs, identifiez le type et l'emplacement du nouveau magasin central et cliquez sur OK. La bote de dialogue est alors ferme et la configuration utilisateur pointe dsormais vers le nouveau magasin central.
Remarque : la commande de redirection des utilisateurs dsactive le paramtre Supprimer le dossier de donnes et les cls de registre de l'utilisateur l'arrt de l'Agent. Ainsi, les agents conservent toutes les donnes dans le magasin local de l'utilisateur, notamment les informations d'identification, paramtres et informations de redirection vers le nouveau magasin central. Ce paramtre doit rester dsactiv dans le nouvel environnement jusqu' modification du registre sur la machine de l'Agent Password Manager de faon pointer vers le nouvel emplacement du magasin central.
10
Oprations
221
Dans certains environnements, les profils utilisateur sont supprims automatiquement par le systme d'exploitation la fermeture de session. Dans ce cas, vous pouvez dsactiver la suppression des profils afin que les agents soient redirigs vers le nouveau magasin central ou vous pouvez configurer la redirection et demander aux utilisateurs d'actualiser leur Agent Password Manager pour forcer une synchronisation. Cette opration entrane la copie des informations d'identification vers le nouveau magasin central. Remarque : lors de la redirection, tous les utilisateurs redirigs doivent avoir ouvert une session. L'actualisation de l'Agent Password Manager a lieu ds que celui-ci fournit les informations d'identification.
1. 2.
Prenez toujours note des rglages que vous effectuez lors de l'excution de l'Outil de configuration du service. Exportez les donnes du service vers un point de partage scuris ou un disque l'aide du processus CtxMoveServiceData.exe.
222
A. B.
Ouvrez une invite de commande et accdez au dossier C:\Program Files\Citrix\Metaframe Password Manager\Service\Tools. Entrez CtxMoveServiceData.exe export\\server\share\backupfile. Remarque : vous ne devez pas insrer de variables d'environnement dans le chemin d'accs.
C.
Entrez un mot de passe l'invite correspondante. Prenez soin de noter ce dernier. Important : les donnes du service enregistres dans le fichier de sauvegarde seront cryptes l'aide de ce mot de passe. Veillez ne pas perdre le perdre.
D. E.
l'invite de confirmation, entrez de nouveau votre mot de passe. Vrifiez que le fichier de sauvegarde a bien t cr.
1. 2.
Installez le service partir du support d'installation. Configurez le service l'aide des paramtres appropris, en vous reportant aux notes que vous avez prises avant la sauvegarde. Remarque : si vous utilisez l'intgrit de donnes, veillez configurer l'emplacement du serveur d'intgrit des donnes correctement, que cet emplacement ait t modifi ou non.
3. 4.
Terminez la configuration et attendez que le service dmarre. Une fois le service dmarr, vous pouvez immdiatement l'arrter si vous le souhaitez. Importez les donnes du service partir d'un point de partage scuris ou d'un disque l'aide du processus CtxMoveServiceData.exe. A. B. C. Ouvrez une invite de commande et accdez au dossier C:\Program Files\Citrix\Metaframe Password Manager\Service\tools. Entrez CtxMoveServiceData.exe import <\\server\share\backupfile>. Entrez le mot de passe appropri l'invite correspondante.
10
Oprations
223
D. 5.
224
11
Activer l'indicateur de session . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Activer la prise en charge des mulateurs de terminal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Activer le graphique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Adresse du serveur de licences. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Afficher l'icne de notification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Afficher le nom de l'ordinateur dans la bulle d'aide de l'icne de notification. . . . . . . . . . . . . . . . . . API de protection des donnes de Microsoft . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Aucune invite aux utilisateurs ; restauration automatique de la protection principale des donnes sur le rseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Autoriser l'utilisateur rvler le mot de passe pour les applications . . . . . . . . . . . . . . . . . . . . . . . . Autoriser la protection des donnes l'aide d'un mot de passe vide . . . . . . . . . . . . . . . . . . . . . . . . . Autoriser les caractres numriques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Autoriser les caractres spciaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Autoriser les majuscules. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Autoriser les minuscules. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Autoriser les utilisateurs actualiser les rglages de l'Agent. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Autoriser les utilisateurs annuler le stockage des informations d'identification lorsqu'une nouvelle application est dtecte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Autoriser les utilisateurs dverrouiller leur compte de domaine . . . . . . . . . . . . . . . . . . . . . . . . . . . Autoriser les utilisateurs placer l'Agent en pause . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Autoriser les utilisateurs rinitialiser leur mot de passe de domaine principal . . . . . . . . . . . . . . . . Autoriser les utilisateurs rvler tous les mots de passe dans le Gestionnaire d'informations d'identification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Certificat de carte puce . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chemin d'accs du fichier de paramtres de scripts de session . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Dfinir les colonnes par dfaut et leur ordre dans le Gestionnaire d'informations d'identification . . Dlai d'expiration de session . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Dlai d'expiration du mot de passe (jours) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Dlai d'expiration du verrouillage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Dlai limite pour les tentatives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Demande de vrification d'identit des utilisateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Demander authentification avant soumission des informations d'identification d'une application . . Dtecter automatiquement les applications et proposer le stockage des informations
239 238 239 240 232 232 243 245 256 242 250 251 250 249 234 233 245 230 245 230 243 239 232 239 254 239 257 243 256
226
d'identification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Dtecter les dfinitions d'application sur le client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Devez-vous rglementer l'accs des administrateurs de comptes aux donnes utilisateur ? . . . . . . . Donnes d'authentification des utilisateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Dure sparant les requtes de nouvelle authentification de l'Agent . . . . . . . . . . . . . . . . . . . . . . . . . Effectuer une vrification de mot de passe lors de la dfinition initiale des informations d'identification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Emplacement de service (Module d'habilitation) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Emplacement de service (Module de gestion des cls) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Exclure des mots de passe les caractres ou groupes de caractres de cette liste . . . . . . . . . . . . . . . Excuter l'habilitation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Excuter le script l'expiration du mot de passe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Expiration du mot de passe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Forcer une nouvelle authentification avant de rvler les mots de passe de l'utilisateur . . . . . . . . . . Fournir le domaine par dfaut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Fournir une adresse du service par dfaut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Frquence de surveillance par l'Agent des modifications dans l'mulateur . . . . . . . . . . . . . . . . . . . . Gnr par le systme ou cr par les utilisateurs eux-mmes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Gnrer et tester des mots de passe uniques conformes la stratgie . . . . . . . . . . . . . . . . . . . . . . . . Gnrer un mot de passe alatoire conforme la stratgie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Gnrer un mot de passe et le soumettre sans afficher l'assistant de modification de mot de passe . Icne de l'application . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Informer l'utilisateur lorsque la synchronisation de l'Agent choue . . . . . . . . . . . . . . . . . . . . . . . . . Journaliser les vnements (Observateur d'vnements Windows) . . . . . . . . . . . . . . . . . . . . . . . . . . Le mot de passe peut dbuter avec un caractre numrique. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le mot de passe peut dbuter avec un caractre spcial. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le mot de passe peut dbuter avec une majuscule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le mot de passe peut dbuter avec une minuscule. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le mot de passe peut se terminer avec une majuscule. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le mot de passe peut se terminer par un caractre numrique. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le mot de passe peut se terminer par un caractre spcial. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le mot de passe peut se terminer par une minuscule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le nouveau mot de passe doit tre diffrent du prcdent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Licences d'utilisateur dsign . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Licences Utilisateurs simultans (dition Enterprise uniquement) . . . . . . . . . . . . . . . . . . . . . . . . . . Limiter le nombre de jours de suivi des informations didentification supprimes . . . . . . . . . . . . . . Liste de caractres spciaux autoriss . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Longueur de mot de passe maximale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Longueur de mot de passe minimale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ne pas autoriser certaines parties du nom d'utilisateur de l'application dans le mot de passe . . . . . . Ne pas autoriser certaines parties du nom d'utilisateur de l'application dans le mot de passe . . . . . . Ne pas autoriser le nom d'utilisateur de l'application dans le mot de passe . . . . . . . . . . . . . . . . . . . . Ne pas autoriser le nom d'utilisateur de l'application dans le mot de passe . . . . . . . . . . . . . . . . . . . . Ne traiter que la premire modification de mot de passe pour cette application . . . . . . . . . . . . . . . . Ne traiter que la premire ouverture de session pour cette application . . . . . . . . . . . . . . . . . . . . . . .
231 237 241 242 231 233 246 245 252 246 248 254 230 236 236 238 257 255 255 258 247 230 233 251 251 250 249 250 251 251 250 254 240 240 234 252 249 249 253 253 252 253 248 247
11
227
Nombre de caractres des portions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Nombre de caractres des portions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Nombre de jours pour la notification avant expiration du mot de passe . . . . . . . . . . . . . . . . . . . . . . Nombre de mots de passe prcdents retenus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Nombre de niveaux de nom de domaine de vrification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Nombre de nouvelles tentatives d'ouverture de session . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Nombre de rptitions possibles d'un caractre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Nombre de rptitions successives possibles d'un caractre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Nombre maximum de caractres numriques autoris. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Nombre maximum de caractres numriques requis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Nombre minimum de caractres numriques requis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Nombre minimum de caractres spciaux requis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Nombre minimum de majuscules requis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Nombre minimum de minuscules requis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Pause de l'Agent avant soumission des informations d'identification . . . . . . . . . . . . . . . . . . . . . . . . Permettre l'Agent de fonctionner mme s'il ne peut pas se reconnecter au magasin central. . . . . . Permettre l'Agent de fonctionner mme s'il ne peut pas se reconnecter au magasin central. . . . . . Permettre aux utilisateurs d'associer des comptes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Permettre aux utilisateurs de garder le mot de passe en mmoire . . . . . . . . . . . . . . . . . . . . . . . . . . . Permettre aux utilisateurs de modifier l'adresse du service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Permettre aux utilisateurs de modifier le domaine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Permettre l'accs aux informations d'identification par le module de synchronisation des informations d'identification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Permettre le code secret de carte puce . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Pour amliorer le processus d'ouverture de session pour les utilisateurs, veuillez slectionner toutes les mthodes de protection des donnes qui s'appliquent . . . . . . . . . . . . . . . . . . Saisie du mot de passe prcdent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Slection d'une mthode : mot de passe prcdent ou questions de scurit . . . . . . . . . . . . . . . . . . . Supprimer le dossier de donnes et les cls de registre l'arrt de l'Agent . . . . . . . . . . . . . . . . . . . . Synchroniser chaque lancement d'applications reconnues ou du Gestionnaire d'informations d'identification par l'utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Tester la conformit d'un mot de passe cr manuellement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Utilisateurs uniquement autoriss choisir un mot de passe gnr par le systme . . . . . . . . . . . . . Utilisateurs uniquement autoriss crer leur propre mot de passe. . . . . . . . . . . . . . . . . . . . . . . . . . Utiliser la notification d'expiration de Citrix Password Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . Utiliser la valeur par dfaut (pour le numro de port du serveur de licences) . . . . . . . . . . . . . . . . . .
253 254 255 254 238 256 249 249 251 252 251 252 250 250 232 235 235 236 237 236 236 235 242 242 244 244 233 234 255 257 257 248 240
228
12
Cette liste rpertorie les paramtres et les conditions par dfaut des paramtres du nud Password Manager de la console Access Management Console, regroups en fonction de leur emplacement dans la console. Pour trouver rapidement un nom de paramtre spcifique, cliquez sur son nom dans la Liste des paramtres de Password Manager . Un lien hypertexte vous permet d'accder directement sa dfinition et sa configuration par dfaut.
Configurations utilisateur
Cette section dcrit les paramtres et les commandes des configurations utilisateur. Toutes les aides la navigation fournies dans cette section sont relatives une configuration utilisateur existante pendant l'excution d'une fonction d'dition. Pour accder la bote de dialogue Modifier la configuration utilisateur, cliquez sur les lments suivants : Consoles de gestion > Access Management Console > Password Manager > Configurations utilisateur > [configuration] > Modifier la configuration utilisateur
Serveur de synchronisation
Ce rglage spcifie le contrleur de domaine auquel lier les utilisateurs lors de la synchronisation au magasin central. ... Configurations utilisateur > [configuration] > Modifier la configuration utilisateur > Serveur de synchronisation
230
Autoriser les utilisateurs rvler tous les mots de passe dans le Gestionnaire d'informations d'identification
Ce paramtre dtermine si les utilisateurs peuvent rvler les mots de passe dans le Gestionnaire d'informations d'identification. Lorsque ce paramtre est dsactiv, le bouton Rvler du Gestionnaire d'informations d'identification l'est aussi. Pour limiter la rvlation du mot de passe certaines applications, activez ce paramtre puis utilisez la stratgie de mot de passe correspondante pour autoriser ou non les utilisateurs rvler les mots de passe pour les applications gres par cette stratgie. Valeur par dfaut : dslectionn
12
231
232
Dfinir les colonnes par dfaut et leur ordre dans le Gestionnaire d'informations d'identification
Ce paramtre permet de dsigner les colonnes affiches dans la vue Dtails du Gestionnaire d'informations d'identification et leur ordre de prsentation. Il n'affecte pas les vues Liste ou Icnes dans le Gestionnaire d'informations d'identification. Valeur par dfaut : Nom de l'application Description Groupe Dernire utilisation Modification Mot de passe URL/module Nom d'utilisateur/ID
12
233
Interaction ct client
Ces paramtres permettent de configurer la vrification de mot de passe, l'observateur d'vnements de l'Agent, la conservation de cls de Registre la fermeture et le stockage d'informations d'identification sur les applications nouvellement dtectes. ... Configurations utilisateur > [configuration] > Modifier la configuration utilisateur > Interaction ct client
Effectuer une vrification de mot de passe lors de la dfinition initiale des informations d'identification
Slectionnez cette commande pour demander aux utilisateurs d'entrer deux fois leur mot de passe en guise de confirmation lors de la dfinition initiale des informations d'identification. Valeur par dfaut : slectionne
Autoriser les utilisateurs annuler le stockage des informations d'identification lorsqu'une nouvelle application est dtecte
Ce paramtre permet d'activer l'invite demandant aux utilisateurs s'ils souhaitent stocker leurs informations d'identification chaque fois que l'Agent reconnat une application pour laquelle aucune information n'est stocke. S'il est slectionn, les utilisateurs peuvent stocker leurs informations d'identification dans le Gestionnaire d'informations d'identification tout de suite ou ultrieurement. Si le paramtre Dtecter automatiquement les applications et inviter l'utilisateur stocker les informations d'identification est dslectionn, l'Agent n'invite pas les utilisateurs stocker leurs informations d'identification. Valeur par dfaut : slectionn
234
Synchronisation
Ces commandes permettent d'autoriser les utilisateurs actualiser les rglages de l'Agent, de synchroniser la configuration utilisateur, de permettre l'Agent de continuer de fonctionner s'il ne peut pas se connecter au magasin central et de spcifier les intervalles de synchronisation automatique. ... Configurations utilisateur > [configuration] > Modifier la configuration utilisateur > Synchronisation
Synchroniser chaque lancement d'applications reconnues ou du Gestionnaire d'informations d'identification par l'utilisateur
Slectionnez ce paramtre pour que l'Agent synchronise les informations de configuration utilisateur ds que l'utilisateur lance une application reconnue ou le Gestionnaire d'informations d'identification. Une synchronisation frquente peut entraner une dgradation des performances sur le client et le serveur, ainsi qu'un accroissement du trafic rseau. Valeur par dfaut : dslectionn
12
235
Permettre l'Agent de fonctionner mme s'il ne peut pas se reconnecter au magasin central
Ce paramtre dtermine si Password Manager continue fonctionner lorsqu'il ne peut pas se connecter au magasin central pour la synchronisation. Lorsqu'il est slectionn, une instance de l'Agent disposant d'une licence continue fonctionner mme en l'absence de connexion. Dans le cas contraire, l'Agent ne fonctionne qu'avec une connexion au magasin central. Valeur par dfaut : slectionn
Permettre l'accs aux informations d'identification par le module de synchronisation des informations d'identification
Slectionnez ce paramtre pour autoriser les clients distants accder aux informations d'identification via ce service. Ce paramtre contrle l'accs des clients distants aux informations d'identification de l'utilisateur par le biais de ce module. Cette option est utilise par la fonction Association de comptes, qui autorise un utilisateur de l'agent se connecter n'importe quelle application l'aide d'au moins un compte Windows. Valeur par dfaut : dslectionn
Association de comptes
Dans la mesure o les entreprises peuvent utiliser plusieurs domaines Windows, les utilisateurs peuvent galement possder plus d'un compte Windows. Les options d'association de comptes permettent l'Agent d'un utilisateur de se connecter n'importe quelle application l'aide d'un ou plusieurs comptes Windows. Ces commandes permettent aux utilisateurs d'associer leurs informations d'identification dans plusieurs comptes Windows. ... Configurations utilisateur > [configuration] > Modifier la configuration utilisateur > Association de comptes
236
12
237
238
Bureau dynamique
Ces commandes spcifient : Le chemin d'accs du fichier de paramtres de session dfinissant les scripts excuter au dbut et la fin d'une session de Bureau dynamique. La dure en minutes pendant laquelle une session de Bureau dynamique reste active lorsque le poste de travail est inactif. La dure pendant laquelle une session de Bureau dynamique est excute alors que le bureau est verrouill. La slection dune fentre identifiant la session de Bureau dynamique. Le graphique affich dans l'Indicateur de session de Bureau dynamique.
... Configurations utilisateur > [configuration] > Modifier la configuration utilisateur > Bureau dynamique
12
239
Activer le graphique
Cette commande spcifie le chemin du fichier graphique affich dans l'Indicateur de session de Bureau dynamique. Le fichier utilis doit tre accessible tous les utilisateurs et enregistr au format bitmap (.bmp) de Windows. Valeur par dfaut : [aucune]
Systme de licences
Ces commandes permettent d'identifier le nom du serveur de licences et son port d'accs, de slectionner le modle de licence et de poursuivre la configuration sans valider les informations de licence. ... Configurations utilisateur > [configuration] > Modifier la configuration utilisateur > Systme de licences
240
Serveur de licences
Vous devez indiquer le nom complet (nomhte.domaine.tld) et le port d'accs associs au serveur de licences. Le numro de port par dfaut est 27000. Valeur par dfaut : [vide] Port par dfaut : 27000
12
241
242
Pour amliorer le processus d'ouverture de session pour les utilisateurs, veuillez slectionner toutes les mthodes de protection des donnes qui s'appliquent
Slectionnez cette option pour utiliser les fonctions d'authentification principale accessibles dans les paramtres suivants. Valeur par dfaut : slectionne
12
243
Utiliser la mme protection des donnes qu'avec Password Manager 4.1 et versions prcdentes
Slectionnez cette option ainsi qu'une mthode dans le menu droulant de source de cl de carte puce pour autoriser l'utilisation d'une seule mthode d'authentification principale et/ou si vous utilisez la version 4.0 ou 4.1 de l'Agent. En outre, si vous avez mis niveau votre magasin central Password Manager de la version 4.1 vers la version 4.6, cette option est slectionne automatiquement. Valeur par dfaut : dslectionne
244
Saisie du mot de passe prcdent Slection d'une mthode : mot de passe prcdent ou questions de scurit
Utiliser la mme protection des donnes qu'avec Password Manager 4.1 et versions prcdentes
Slectionnez cette option en cas de mise niveau de la version 4.1 de Password Manager et de slection de l'authentification avec questions ou des questions de vrification d'identit. Valeur par dfaut : dslectionne
12
245
Aucune invite aux utilisateurs ; restauration automatique de la protection principale des donnes sur le rseau
Slectionnez cette option lorsque vous mettez en uvre le module de gestion des cls pour contourner la vrification d'identit et dverrouiller automatiquement les informations d'identification des utilisateurs. Cette mthode est moins sure que les autres mthodes de protection de donnes mais elle est plus pratique pour vos utilisateurs, dans la mesure o les informations d'identification sont rcupres automatiquement. Valeur par dfaut : dslectionne
246
Module d'habilitation
Le module d'habilitation permet d'importer, de modifier et de supprimer les informations d'identification associes des utilisateurs dans cette configuration utilisateur. Ces pages imposent la spcification de l'emplacement et du port de service du module d'habilitation. ... Configurations utilisateur > [configuration] > Modifier la configuration utilisateur > Module d'habilitation
Excuter l'habilitation
Slectionnez ce paramtre pour utiliser l'habilitation. Valeur par dfaut : dslectionn
Dfinitions d'application
Cette section dcrit les paramtres et les commandes de dfinition d'application. Toutes les aides la navigation fournies dans cette section sont relatives une dfinition d'application pendant une fonction d'dition. Pour accder la bote de dialogue Modifier la dfinition d'application, cliquez sur les lments suivants : Consoles de gestion > Access Management Console > Password Manager > Dfinitions d'application > [dfinition] > Modifier la dfinition d'application
12
247
Icne d'application
Cette commande permet d'identifier l'icne affiche en regard de l'application dans le Gestionnaire d'informations d'identification. ... Dfinitions d'application > [dfinition] > Modifier la dfinition d'application > Icne d'application
Icne de l'application
Ce paramtre dtermine l'icne d'application affiche en regard du nom de l'application dans le Gestionnaire d'informations d'identification. Deux options sont disponibles : Utiliser une icne par dfaut Utiliser une icne personnalise (entrez son chemin daccs).
Si vous souhaitez utiliser une icne personnalise, utilisez la fonction de navigation pour indiquer le chemin d'accs de son fichier. Le systme identifie n'importe quel fichier d'icne Windows standard. Les variables d'environnement Microsoft Windows sont prises en charge. Valeur par dfaut : Utiliser une icne par dfaut
Dtection avance
Ces commandes permettent l'Agent d'ignorer les formulaires de modification d'informations d'identification ou de mot de passe suivants au cours d'une session d'application lorsque ce type de modification a dj t excut. ... Dfinitions d'application > [dfinition] > Modifier la dfinition d'application > Dtection d'application
248
12
249
250
12
251
252
Rgles d'exclusion
Ces commandes spcifient les caractres et les chanes de caractres qui ne sont pas autoriss dans les mots de passe. ... Stratgies de mot de passe > [stratgie] > Modifier la stratgie de mot de passe > Rgles d'exclusion
Exclure des mots de passe les caractres ou groupes de caractres de cette liste
Slectionnez l'option Modifier la liste pour ouvrir la bote de dialogue Modifier la liste d'exclusion qui permet de spcifier jusqu' 256 caractres ou groupes de caractres non autoriss dans les mots de passe. Tapez un caractre ou groupe de caractres par ligne. Chaque groupe peut contenir jusqu' 32 caractres. Les caractres ou groupes de caractres ne sont pas sensibles la casse. Valeur par dfaut : [vide]
12
253
Ne pas autoriser certaines parties du nom d'utilisateur de l'application dans le mot de passe
Ce rglage dtermine si l'utilisation de certaines parties du nom d'utilisateur de l'application est autorise dans le mot de passe. Cela comprend tous les groupes de caractres possibles issus du nom de l'utilisateur. Ce paramtre est troitement li au paramtre Nombre de caractres des portions. Par exemple, lorsque ce paramtre est slectionn et que le paramtre Nombre de caractres des portions est rgl sur la valeur 4, un mot de passe comprenant un groupe de caractres citr , itri ou trix ne serait pas autoris si le nom d'utilisateur est citrix . Valeur par dfaut : dslectionn
Ne pas autoriser certaines parties du nom d'utilisateur Windows dans le mot de passe
Ce rglage dtermine si l'utilisation de certaines parties du nom d'utilisateur Windows est autorise dans le mot de passe. Cela comprend tous les groupes de caractres possibles issus du nom de l'utilisateur. Ce paramtre est troitement li au paramtre Nombre de caractres des portions. Par exemple, lorsque ce paramtre est slectionn et que le paramtre Nombre de caractres des portions est rgl sur la valeur 4, un mot de passe comprenant un groupe de caractres citr , itri ou trix ne serait pas autoris si le nom d'utilisateur est citrix . Valeur par dfaut : parties du mot de passe autorises (case cocher non active)
254
12
255
256
Prfrences d'authentification
Ces commandes permettent de dfinir si l'option Rvler est disponible pour les dfinitions d'application utilisant cette stratgie, de demander une nouvelle authentification de l'utilisateur avant la soumission des informations d'identification d'application, de dfinir le nombre de nouvelles tentatives de connexion et de dfinir le dlai dont dispose l'utilisateur pour s'authentifier aprs l'chec d'une tentative d'authentification. ... Stratgies de mot de passe > [stratgie] > Modifier la stratgie de mot de passe > Prfrences d'authentification
Obliger l'utilisateur s'authentifier nouveau avant de soumettre les informations d'identification pour une application
Cette commande permet de demander aux utilisateurs d'entrer leurs informations d'identification principales avant soumission par l'agent de celles destines l'application. Lorsque ce paramtre est slectionn, l'Agent verrouille immdiatement la station de travail ds qu'il reconnat une application gre par ce paramtre. Les utilisateurs doivent entrer leurs informations d'identification principales pour dverrouiller la station de travail. L'Agent transmet ensuite les informations d'identifications l'application. Ce paramtre est utile pour les applications permettant l'accs des informations confidentielles ou sensibles car il oblige les utilisateurs confirmer leur identit avant soumission de leurs informations didentification par l'Agent l'application. Valeur par dfaut : l'utilisateur n'est pas oblig de s'authentifier de nouveau (case cocher non active)
12
257
... Stratgies de mot de passe > [stratgie] > Modifier la stratgie de mot de passe > Assistant de modification de mot de passe
258
Gnrer un mot de passe et le soumettre l'application sans afficher l'assistant de modification de mot de passe
Slectionnez cette option pour que l'Agent soumette automatiquement un mot de passe gnr par le systme, sans afficher l'assistant de modification de mot de passe l'utilisateur. L'utilisateur peut voir les champs de l'cran de modification de mot de passe renseigns et le message de l'application indiquant si le mot de passe a t modifi avec succs ou non. Valeur par dfaut : dslectionne
13
Bien que les administrateurs de Password Manager puissent gnralement crer des dfinitions d'applications l'aide de la console Password Manager et de l'Outil de dfinition d'application, certaines applications requirent des considrations spciales ou un processus externe pour dterminer si une application a dmarr ou pour soumettre les informations d'identification de l'utilisateur l'aide de l'Agent. Pour prendre en charge les applications ayant ce type d'exigences, les implmenteurs tiers qui crent les processus devant rpondre ces exigences de traitement externe peuvent utiliser les extensions de dfinition d'application de la console Password Manager ainsi que l'Outil de dfinition d'application pour dfinir de quelle faon et quel moment ces processus doivent tre lancs. Cette annexe dcrit la faon dont ces extensions sont configures. Elle n'explique pas comment dfinir ni crer les processus externes permettant de dterminer si une application a dmarr ou de soumettre les informations d'identification de l'utilisateur l'aide de l'Agent.
Oprations de l'Agent
Il existe deux types diffrents d'extensions de dfinitions d'applications : Extensions d'identification Elles utilisent des processus externes pour dterminer si l'application est un formulaire qui requiert des actions de gestion des informations d'identification de l'utilisateur. Vous pouvez utiliser ces processus externes la place de ou conjointement d'autres algorithmes de dtection de fentres dfinis dans la dfinition du formulaire. Extensions d'actions Elles utilisent des processus externes pour effectuer les actions de gestion des informations d'identification requises. Vous pouvez utiliser ces processus externes la place de ou conjointement d'autres algorithmes de dtection de fentres dfinis dans la dfinition du formulaire.
260
Il est possible de configurer une dfinition de formulaire unique de faon ce qu'elle utilise les extensions de dfinitions d'applications pour effectuer l'une de ces oprations ou les deux.
Extensions d'identification
L'Agent utilise un systme de dtection pour identifier les vnements sur le bureau (tels que l'instanciation d'applications, le chargement d'URL, les avis de fin de chargement de page HTML ou autres vnements similaires). mesure que ces vnements se produisent, l'Agent dtermine si l'application cible requiert une action de gestion des informations d'identification (par exemple, ignorer, ouvrir une session, modifier le mot de passe, etc.). Pour cela, il compare les caractristiques que prsente l'application par rapport aux caractristiques dfinies pour identifier un formulaire de faon unique. Ces caractristiques incluent, au minimum, le titre Windows et le nom du fichier excutable et, le cas chant, d'autres caractristiques de correspondance avance telles que l'utilisation d'un processus externe pour identifier le formulaire (extension d'identification). Lorsqu'un processus d'identification externe est requis, celui-ci est identifi dans la dfinition du formulaire. La dfinition du formulaire inclut des informations sur l'extension d'identification et tous les paramtres associs. Ces informations sont directement associes un paramtre de registre. Une fois que l'Agent a termin le traitement des algorithmes correspondance minimale et avance, les extensions d'identification utilisant un processus externe sont values. Lorsque plusieurs extensions d'identification sont dfinies pour valuer un formulaire, elles sont excutes dans l'ordre dans lequel elles apparaissent dans la page des extensions d'identification (de haut en bas). Pour chaque extension d'identification, l'Agent attend pendant l'intervalle de temps dfini (dans le paramtre de registre) que le processus externe se termine avant d'analyser le code de sortie du processus. Si les processus correspondance minimale, avance et externe se terminent en renvoyant le code zro, l'application cible est considre comme correspondante. Si l'un des processus correspondants renvoie une autre valeur, le processus d'valuation est arrt et l'application est considre comme non correspondante. Si un processus renvoie une valeur ngative, une erreur est consigne dans l'Observateur d'vnements Windows. Les valeurs positives sont consignes dans un fichier journal, si celui-ci est activ. Pour plus d'informations, veuillez consulter la section Activation de la journalisation , page 267.
13
261
Vous pouvez effectuer l'action de gestion des informations d'identification suivante en utilisant une combinaison quelconque d'actions de formulaire, de squences d'actions ou d'extensions d'actions Windows standard (voir Extensions d'actions , page 263). Pour plus d'informations, veuillez consulter les sections Dfinition des actions du formulaire , page 57, ou Utilisation de l'diteur d'action pour dfinir la squence d'actions des formulaires , page 66.
1. 2.
Lancez l'assistant de dfinition de formulaire (voir Prsentation de l'assistant de dfinition de formulaire , page 50). Avancez dans le processus de dfinition jusqu' ce que la page Identification du formulaire saffiche (voir Identification du formulaire , page 74). Dans la page Identification du formulaire, cliquez sur Correspondance avance.... Cette action ouvre la bote de dialogue Correspondance avance (voir Utilisation de la correspondance avance pour identifier les formulaires Windows , page 60). Dans la bote de dialogue Correspondance avance, slectionnez l'option Extensions didentification. La page Extensions didentification s'affiche. Cette page vous permet d'afficher, de modifier ou d'ajouter des entres d'extensions d'identification. Pour ajouter une extension d'identification, cliquez sur Ajouter. Cette action ouvre la bote de dialogue Ajout d'extension d'identification. La bote de dialogue Ajout d'extension d'identification permet de dfinir les lments suivants :
ID d'extension Description Paramtres L'ID d'extension identifie la valeur NomExtension rechercher dans les paramtres du registre. Description dfinie par l'utilisateur de l'extension d'identification. Toute paire nom/valeur (nom de paramtre/valeur de paramtre) utilise pour transmettre les paramtres dfinis par l'implmenteur au processus externe lanc par cette extension.
3.
4.
5.
262
NomExtension identifie un nom de cl de registre. Ce nom de cl et les valeurs de cl associes dfinissent l'excutable du processus d'identification externe et ses caractristiques d'utilisation. Le nom de cl de registre et les cls associes se situent l'emplacement suivant : [HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\MetaFrame Password Manager\Extension\{NomExtension}] o la valeur NomExtension est identifie par la valeur ID d'extension dfinie dans la bote de dialogue Ajout d'extension d'identification. Sur les plates-formes 64 bits, le nom de cl de registre et les cls associes se situent l'emplacement suivant : [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Citrix\MetaF rame Password Manager\Extension\{NomExtension}] Le tableau suivant dfinit les caractristiques des valeurs de cl.
Cl Type Timeout Type REG_SZ REG_DWORD Donnes Doit tre EXECUTABLE 0 indique d'attendre que l'application se termine. Toute autre valeur indique la priode d'attente en millisecondes. Au terme du dlai d'expiration, terminer le processus (facultatif). TRUE : (valeur par dfaut) terminer le processus. FALSE : (0) ne pas terminer le processus. Executable Arguments REG_EXPAND_SZ REG_SZ Processus excutable et son chemin d'accs complet. Paramtres de l'excutable.
TerminateProcess
La valeur Executable reprsente le chemin d'accs complet du fichier excutable. Les variables d'environnement sont permises. Si l'extension est implmente en tant que script, vous devez utiliser l'interprteur de script pour l'excutable et le nom du script comme partie des arguments. Pour dvelopper des processus externes, vous pouvez utiliser un diteur/langage ou un environnement de dveloppement intgr de votre choix. La valeur Arguments prend en charge les paramtres que l'Agent peut remplacer par des paramtres d'excution ou les paires nom/valeur de paramtre spcifies dans la bote de dialogue Ajout d'extension d'identification. Chaque paramtre remplacer doit contenir un
13
263
dlimiteur$ (signe dollar) en prfixe et suffixe. Par exemple, les arguments de ligne de commande :
/h $_HANDLE$ /s $SAPSERVER$ /t $SAPTYPE$
Le descripteur Microsoft Windows associ l'application est un paramtre interne pris en charge dfini comme $_HANDLE$. Tous les paramtres internes utilisent $_ comme prfixe afin dviter les conflits de nom. Les paramtres dimplmenteur ne permetttent pas dutiliser des traites de soulignement dans les noms de cls. La priorit de remplacement est dfinie pour conserver les valeurs de paramtre aprs qu'ils ont t crits. La priorit est dfinie comme suit: paramtres internes (ex. $_HANDLE$), suivis des paramtres d'implmenteur, puis des variables d'environnement. Tous les paramtres d'implmenteur autorisent l'utilisation de lettres minuscules et majuscules et de chiffres dans les noms de cls. La casse n'est pas prise en compte dans les noms de cls. Si l'excutable d'identification d'extension requiert que les paramtres soient prsents selon une squence spcifique, la valeur Argument doit prendre en charge la squence requise. La squence dans laquelle les paires nom/valeur de paramtre sont dfinies dans la bote de dialogue Ajout d'extension d'identification peut suivre un ordre quelconque.
Extensions d'actions
Les extensions d'actions utilisent un processus externe pour grer les actions de gestion des informations d'identification de l'utilisateur. Le processus de dfinition d'extension est capable de transmettre les informations d'identification de l'utilisateur l'application externe. Une fois qu'un formulaire de gestion des informations d'identification a t identifi (voir Extensions d'identification , page 260), vous pouvez effectuer l'action de gestion des informations d'identification suivante en utilisant une combinaison quelconque d'actions de formulaires, de squences d'actions ou d'extensions d'actions Windows standard. LAgent prend en charge les mmes fonctions que celles prcdemment dcrites dans la section Extensions d'identification , page 260.
264
L'Agent excute le processus externe et attend pendant l'intervalle de temps spcifi que le processus se termine (si WaitForCompletion est dfini sur TRUE), puis analyse son code de sortie. Si le processus se termine en renvoyant la valeur zro, l'extension a t correctement excute. Toute valeur autre que zro indique une erreur. Si un processus renvoie une valeur ngative, l'erreur est consigne dans l'Observateur d'vnements Windows. Les valeurs positives sont consignes dans un fichier journal, si celui-ci est activ. Pour plus d'informations, veuillez consulter la section Activation de la journalisation , page 267.
1. 2.
Lancez l'assistant de dfinition de formulaire (voir Prsentation de l'assistant de dfinition de formulaire , page 50). Avancez dans le processus de dfinition jusqu' ce que la page Dfinition des actions du formulaire saffiche (voir Dfinition des actions du formulaire , page 57). Dans la page Dfinition des actions du formulaire, cliquez sur diteur daction.... Cette action ouvre la bote de dialogue diteur daction (voir Utilisation de l'diteur d'action pour dfinir la squence d'actions des formulaires , page 66). Dans la bote de dialogue diteur daction..., slectionnez l'option Lancer lextension de laction. Le volet Configuration d'action s'affiche. Ce volet permet d'afficher, de modifier ou d'ajouter des entres Lancer l'extension de l'action la squence d'actions. Pour ajouter une extension d'action la squence d'actions, entrez les informations suivantes, puis cliquez sur Insrer :
ID d'extension Description Paramtres L'ID d'extension identifie la valeur NomExtension rechercher dans les paramtres du registre. Description dfinie par l'utilisateur de l'extension d'action. Toute paire nom/valeur (nom de paramtre/valeur de paramtre) utilise pour transmettre les paramtres dfinis par l'implmenteur au processus externe lanc par cette extension.
3.
4.
5.
13
265
Comme c'est le cas pour les extensions d'identification, NomExtension identifie le nom de la cl de registre. Ce nom de cl et les valeurs de cl associes dfinissent l'excutable de traitement de l'action externe et ses caractristiques d'utilisation. Le nom de cl de registre et les cls associes se situent l'emplacement suivant : [HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\MetaFrame Password Manager\Extension\{NomExtension}] o la valeur NomExtension est identifie par la valeur d'ID dfinie dans le volet Configuration d'action. Sur les plates-formes 64 bits, le nom de cl de registre et les cls associes se situent l'emplacement suivant : [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Citrix\MetaF rame Password Manager\Extension\{NomExtension}] Le tableau suivant dfinit les caractristiques des valeurs de cl.
Cl Type Timeout Type REG_SZ REG_DWORD Donnes Doit tre EXECUTABLE 0 indique d'attendre que l'application se termine. Toute autre valeur indique la priode d'attente en millisecondes. Au terme du dlai d'expiration, terminer le processus (facultatif). TRUE : (valeur par dfaut) terminer le processus. FALSE : (0) ne pas terminer le processus. WaitForCompletion BOOL implment en tant que REG_DWORD L'Agent attend que le processus se termine (facultatif). TRUE : (valeur par dfaut) attendre FALSE : (0) ne pas attendre. Executable Arguments REG_EXPAND_SZ REG_SZ Processus excutable et son chemin d'accs complet. Paramtres de l'excutable.
TerminateProcess
La valeur Executable suit les mmes conventions que pour les extensions d'identification. La valeur Arguments prend en charge les paramtres que l'Agent peut remplacer par des paramtres d'excution ou les paires nom/valeur de paramtre spcifies dans la vue Lancer l'extension de l'action de la
266
fentre diteur d'action. Chaque paramtre remplacer doit contenir un dlimiteur$ (signe dollar) en prfixe et suffixe. Par exemple, les arguments de ligne de commande :
/h $_HANDLE$ /s $SAPSERVER$ /t $SAPTYPE$
Le descripteur Microsoft Windows associ l'application est un paramtre interne pris en charge dfini comme $_HANDLE$. Tous les paramtres internes utilisent $_ comme prfixe afin dviter les conflits de nom. Les paramtres dimplmenteur ne permetttent pas dutiliser des traites de soulignement dans les noms de cls. Outre le descripteur Windows, les paramtres internes suivants sont galement pris en charge pour la gestion des informations d'identification de l'utilisateur : Nom d'utilisateur ($_USERNAME$) Mot de passe ($_PASSWORD$) Personnalis1 ($_CUSTOM1$) Personnalis2 ($_CUSTOM2$) Ancien mot de passe ($_OLDPASSWORD$)
La priorit de remplacement est dfinie pour conserver les valeurs de paramtre aprs qu'ils ont t crits. La priorit est dfinie comme suit : paramtres internes, suivis des paramtres d'implmenteur, puis des variables d'environnement. Tous les paramtres d'implmenteur autorisent l'utilisation de lettres minuscules et majuscules et de chiffres dans les noms de cls. La casse n'est pas prise en compte dans les noms de cls. Si l'excutable d'identification d'extension requiert que les paramtres soient prsents selon une squence spcifique, la valeur Argument doit prendre en charge la squence requise. La squence dans laquelle les paires nom/valeur de paramtre sont dfinies dans la bote de dialogue Configuration d'action peut tre un ordre quelconque.
13
267
Exigences de l'implmenteur
Les processus externes utiliss pour effectuer des actions de correspondance avances ou de gestion des informations d'identification sont dfinis comme des processus ou des applications qui peuvent tre lancs partir d'une interface de ligne de commande. Tous les arguments obligatoires ou facultatifs des extensions d'identification ou d'action doivent galement pouvoir tre spcifis en ligne l'aide d'une interface de ligne de commande. Pour les extensions d'action, limplmenteur doit prendre en charge les mmes fonctions que la dtection Windows dcrite ci-dessus. Il doit en effet tre en mesure de transmettre les informations didentification Nom d'utilisateur, Mot de passe, Personnalisation1, Personnalisation2 et Ancien mot de passe l'excutable. Pour les extensions d'identification et les extensions d'action, l'implmenteur est responsable des oprations suivantes : dploiement de tous les excutables, modules de support et fichiers permettant de prendre en charge l'extension sur l'Agent ; gestion de tous les modules dploys ; ajout de toutes les entres de registre spcifies sur l'Agent ; maintien du caractre unique des noms d'extension dans leurs domaines.
Le schma de nom d'extension recommand est un schma de nom de domaine inverse (ex. com.citrix.cpm.ext4).
Activation de la journalisation
Pour activer le suivi de dbogage de l'Agent, vous devez effectuer une modification du registre. Le nom de cl de registre et les cls associes se situent l'emplacement suivant : [HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\MetaFrame Password Manager\Log] Le tableau suivant dfinit les caractristiques des valeurs de cl.
Cl Enabled Type REG_DWORD Donnes La valeur par dfaut est 0. 0 : dsactiv. 1 : activ.
268
Cl Filter
Type REG_DWORD
Donnes Masque de bit dterminant ce qui doit tre consign. 0x00000001 : indicateur d'application Windows utilis pour consigner les erreurs d'extensions d'identification. 0x00000004 : mot de passe Windows utilis pour consigner les erreurs d'extensions d'actions.
MaxSizeInBytes
REG_DWORD
Taille maximum du fichier journal, en octets. La valeur maximum thorique peut tre de 4 Go (2^32). Valeur par dfaut : 819200
Les donnes du fichier journal sont consignes dans un fichier sso_<NomUtilisateur>.log situ dans :
C:\Documents and Settings\<NomUtilisateur>\Application Data\Citrix\MetaFrame Password Manager
14
Codes clavier virtuel pour les applications d'hte et les applications Windows
Cette annexe sert de rfrence pour les codes clavier des applications d'hte et Windows, notamment : Codes pour VTabKeyN (Windows) Codes pour VirtualKeyCode (Windows) et VKEY (Windows) Codes clavier virtuel pour les mulateurs de terminal HLLAPI
Par exemple, pour envoyer les frappes Tab, Fin, Espace, puis une pause de 1,5 secondes, la chane Nom d'utilisateur, la touche Espace, le nom d'utilisateur/ID, la touche Dbut, une pause de 0,35 seconde, la touche Tab puis le mot de passe, utilisez la ligne suivante.
VTabKey1=`VKEY=9``VKEY=35` `DELAY=1500`Nom d'utilisateur`VKEY=32` VTabKey2=`VKEY=36``DELAY=350``VKEY=9`
270
Retour en arrire 8 Tab Suppr Entre Majuscule Ctrl Alt Verr. Maj. chap. Barre espace Page prcdente Page suivante Fin Dbut Gauche Haut Droite Bas 9 12 13 16 17 18 20 27 32 33 34 35 36 37 38 39 40
Gauche (fentre) 91 Droite (fentre) 0 (du pav numrique) 1 (du pav numrique) 2 (du pav numrique) 3 (du pav numrique) 4 (du pav numrique) 5 (du pav numrique) 6 (du pav numrique) 7 (du pav numrique) 8 (du pav numrique) 9 (du pav numrique) Astrisque (*) Plus (+) 92 96 97 98 99 100 101 102 103 104 105 106 107
14
Codes clavier virtuel pour les applications d'hte et les applications Windows
271
Code Touche 44 47 48 49 50 51 52 O P Q R S T U
Code Touche 109 110 111 112 113 114 115 F24 Verr. Num. Arrt dfil. MAJ gauche MAJ droit Ctrl gauche Crtl droit
272
Caractre/ commande Impression cran Hxadecimal Touche commande/ fonction Impression (PC) Tabulation gauche/ retour Suppr Supprimer Entre
Code Caractre/ commande @A @T @A @X @A @Y @A @t @B @C @D @E Dbut PF1/F1 PF2/F2 PF3/F3 PF4/F4 PF5/F5 PF6/F6 PF7/F7 PF8/F8 PF9/F9 PF10/F10 PF11/F11
Code Caractre/ commande @0 @1 @2 @3 @4 @5 @6 @7 @8 @9 @a @b PA1 PA2 PA3 PA4 PA5 PA6 PA7 PA8 PA9 PA10
Code @x @y @z @+ @% @& @ @( @) @*