Portail captif Surrogate NTLM

Portail captif

L'authentification par portail captif consiste à envoyer à l'utilisateur une page de connexion : l'utilisateur doit entrer son identifiant et son mot de passe, et ceux-ci sont vérifiés dans l'annuaire avant que l'utilisateur puisse accéder à internet.

Vous pouvez personnaliser la page de connexion au portail captif envoyée par l'Olfeo afin de l'adapter à la charte graphique de votre organisation.
Une fois l'utilisateur connecté au portail captif, l'authentification reste valable pour toute requête émanant de la machine. Toutes les applications qui ne savent pas s'authentifier fonctionneront tant que l'utilisateur restera connecté. Il n'est donc pas nécessaire de définir d'exceptions au portail captif.

La solution Olfeo propose également un type de portail captif destiné à gérer les utilisateurs invités, appelé portail public. Pour le portail public, les identifiants et mots de passe des utilisateurs sont créés et gérés par l'Olfeo et non via un annuaire. Cette fonctionnalité est différente du portail captif décrit dans cette section. Elle est traitée dans le chapitre suivant : Gérer des portails publics.

Surrogate NTLM

Si vous utilisez un annuaire Active Directory, vous pouvez activer la fonctionnalité Surrogate NTLM afin de mettre en place une authentification transparente pour l'utilisateur. Une seule action d'authentification est réalisée avant de passer à l'identification, mais cette authentification est faite directement par NTLM et l'utilisateur ne reçoit ni de pop-up ni de page de portail captif. Une page de connexion au portail captif est envoyée que dans le cas où l'authentification NTLM échouerait.

Cette fonctionnalité est une très bonne alternative au mécanisme d'authentification forte NTLM géré par le proxy. D'une part, elle permet d'avoir un mécanisme transparent pour l'utilisateur avec une intégration connecteur où les flux ne passent pas par un proxy Olfeo. Plus généralement, la solution Surrogate NTLM permet de ne pas avoir d’exceptions à gérer, et fait baisser le coût réseau de l'authentification. Il faut cependant tenir compte des limitations suivantes :

Vous devez utiliser un annuaire Active Directory et l'Olfeo doit être joint au domaine Windows.
L'Olfeo doit être déclaré comme membre de la zone locale du navigateur.
- Configuration dans Firefox : à la page about:config, entrez l'adresse IP du proxy dans le paramètre network.automatic-ntlm-auth.trusted-uris.
- Configuration dans Chrome et Internet Explorer : dans les Options Internet, dans l'onglet Sécurité, cliquez sur Intranet local. Cliquez sur Sites, puis sur Avancé. Ajoutez l'adresse IP de l'Olfeo à la liste.

Modes d'intégration compatibles

Le Surrogate NTLM peut être utilisé avec tous les types d'intégration.

Contraintes et limitations

Le portail captif est un mécanisme d'authentification faible (LDAP basique) dont la fiabilité diminue au cours du temps.
L'authentification par portail captif ou de type Surrogate NTLM est réalisée par le moteur de filtrage. Elle est indépendante de toute authentification faite au niveau du proxy HTTP, et n'est pas compatible avec elle. Si vous avez configuré le proxy HTTP pour demander une authentification, définissez une exception pour les utilisateurs de ces méthodes. Sans cela, les utilisateurs ne seraient jamais confrontés à la page de portail captif ou Surrogate NTLM : si l'authentification proxy échouait, le proxy utiliserait la méthode de fallback correspondante.
L'authentification par portail captif ou de type Surrogate NTLM n'est pas pertinente pour gérer des serveurs TSE ou Citrix (car l'adresse IP du serveur est la seule récupérée par l'Olfeo) : utilisez plutôt un mécanisme d'authentification forte (NTLM, Kerberos AD ou Kerberos natif).
Le portail captif ou Surrogate NTLM ne peut authentifier que des utilisateurs synchronisés dans l'Olfeo.

Fonctionnement

Le portail captif ou Surrogate NTLM fonctionne selon 2 phases : pour la première requête reçue, l'Olfeo réalise une action d'authentification, puis pour toutes les autres ne fait plus que des actions d'identification.

Lorsque l'utilisateur tente d'accéder à internet, le moteur de filtrage lui envoie une page demandant son identifiant et son mot de passe (la page de connexion au portail captif ou le handshake NTLM).
L'utilisateur entre son identifiant et son mot de passe ou le système répond automatiquement au handshake NTLM : l'Olfeo vérifie que l'identifiant existe dans la liste des utilisateurs, puis vérifie les informations dans l'annuaire.
- Si l'authentification échoue, l'Olfeo renvoie la page de connexion, sauf si un compte invité a été défini dans la zone d'authentification (dans ce cas, l'utilisateur est authentifié sur le compte invité).
- Si l'authentification est validée, la requête est envoyée au moteur de filtrage, qui applique les règles et politiques correspondant à l'utilisateur.
Une fois l'authentification faite, l'Olfeo stocke en interne la correspondance entre l'identifiant de l'utilisateur et son adresse IP.
Pour toutes les autres requêtes : une fois les informations d'authentification stockées, et tant que le stockage dure, lorsqu’une requête est reçue, l'Olfeo se base sur l'adresse IP pour identifier l'utilisateur.

Déconnexion :

Lorsque l'utilisateur se connecte au portail captif ou Surrogate NTLM, une fenêtre popup contenant un lien de déconnexion peut s'ouvrir. Si le navigateur bloque les popups, on affiche pendant quelques secondes une page d'information à ce sujet avant de rediriger vers la page demandée.
Si l'utilisateur n'a pas la popup de déconnexion (si celle-ci a été bloquée ou il s'il l'a fermée), il peut se déconnecter en se rendant à la page http://keyword.olfeo.com/logout.
L'utilisateur est automatiquement déconnecté du portail captif au bout de 10 minutes d'inactivité.

Mise en place

Synchronisez le ou les annuaires contenant vos utilisateurs.
Créez une zone d'authentification contenant le ou les annuaires désirés.
Rendez-vous à la page du moteur de règles en suivant les menus Administration > Utilisateurs.
Dans l'onglet Accès du tableau du haut, ajoutez une règle grâce au bouton "ajouter" en bas à gauche du tableau.
Dans la colonne Source, définissez pour quels utilisateurs la méthode d’authentification s’appliquera. .
Dans la colonne Action, cliquez sur l'icône . La fenêtre Action s'ouvre.
1. Dans le menu Sélectionner, choisissez Portail captif / Surrogate NTLM.
2. Dans le menu Portail, sélectionnez la zone d'authentification désirée.
3. Si vous souhaitez que l'authentification soit transparente pour l'utilisateur, cochez la case Surrogate NTLM. Voir la section ci-dessus, Portail Captif.
4. Cliquez sur Valider pour enregistrer les changements. La fenêtre Action se ferme.
Cliquez sur Valider en bas à droite du tableau pour enregistrer les changements.
Si le déchiffrement SSL n'est pas activé, activez les pages de blocage en HTTPS : en effet, si la première requête de l'utilisateur est une requête HTTPS, son navigateur attendra une réponse en HTTPS. Si le déchiffrement SSL est activé, aucun paramétrage n'est nécessaire.