password manager administrators guide

Guide de l'administrateur Citrix Password Manager

Citrix Password Manager 4.6 Citrix Presentation Server 4.5 Feature Pack 1, dition Platinum

Avis de copyright et de marque dpose L'utilisation du produit document dans ce guide est sujette votre acceptation pralable du Contrat de licence de l'utilisateur final. Une version imprimable du Contrat de licence d'utilisateur final figure sur le CD-ROM du produit. Les informations contenues dans ce document peuvent faire l'objet de modifications sans pravis. Sauf mention contraire, les socits, noms et donnes utiliss dans les exemples fournis sont fictifs. Aucune partie de ce document ne peut tre reproduite ou transmise, sous quelque forme, par quelque moyen, lectronique ou mcanique, et pour quelque motif que ce soit, sans l'autorisation expresse et crite de Citrix Systems, Inc. Citrix Password Manager remplace des cls de cryptage d'utilisateurs finaux spcifiques chaque fois que leur mthode d'authentification principale est modifie, par exemple par un changement de mot de passe de domaine ou l'mission d'une nouvelle carte puce. Il est possible de configurer Password Manager pour qu'il effectue cette opration automatiquement en utilisant le module de gestion des cls fourni en option. Password Manager peut galement tre configur pour utiliser l'API de protection des donnes de Microsoft (DPAPI). Lorsque vous utilisez le module de gestion des cls en option et/ou le DPAPI, notez que les administrateurs sont en mesure d'accder aux informations d'identification personnelles ou professionnelles d'un utilisateur stockes dans Password Manager, s'ils se connectent sous le compte de cet utilisateur final. Pour plus de scurit, les utilisateurs finaux peuvent tre invits vrifier leur identit l'aide d'informations uniques fournies au systme. Ceci offre une couche de protection supplmentaire pour les informations d'identification secondaires de l'utilisateur. Des rglementations informatiques au niveau des gouvernements rgionaux peuvent ncessiter d'avertir vos utilisateurs finaux des ventuelles implications pour la scurit et la confidentialit du dploiement de configurations de scurit du module de gestion des cls et de DPAPI. Passez en revue les rgles de votre socit et dterminez, le cas chant, le type de notification requis pour vos utilisateurs finaux. 2003-2007 Citrix Systems, Inc. Tous droits rservs. v-GO code 1998-2003 Passlogix, Inc. Tous droits rservs. Citrix, ICA (Independent Computing Architecture) et Program Neighborhood sont des marques dposes ;Citrix Presentation Server, Citrix Password Manager et SpeedScreen sont des marques dposes de Citrix Systems, Inc. aux tats-Unis et dans d'autres pays. Cryptage RSA 1996-1997 RSA Security Inc. Tous droits rservs. Ce produit inclut des composants logiciels dvelopps par The Apache Software Foundation (http://www.apache.org/). Ce produit inclut un logiciel dvelopp par Salamander Software Ltd. 2002 Salamander Software Ltd. Parties 2003 Citrix Systems, Inc. Tous droits rservs. Gestion des licences : les droits de certaines sections de la prsente documentation relatives Globetrotter, Macrovision et FLEXlm appartiennent 2003-2006 Macrovision Corporation et/ou Macrovision Europe Ltd. Tous droits rservs. Reconnaissances de marques Adobe, Acrobat et PostScript sont soit des marques, soit des marques dposes d'Adobe Systems Incorporated aux tats-Unis et/ou dans d'autres pays. Java, Sun et SunOS sont des marques ou des marques dposes de Sun Microsystems, Inc. aux tats-Unis et dans d'autres pays. Solaris est une marque dpose de Sun Microsystems, Inc. Sun Microsystems, Inc. n'a pas test ni approuv ce produit. Certaines parties de ce logiciel sont bases sur le travail du groupe Independent JPEG Group. Certaines parties de ce logiciel contiennent du code d'images appartenant Pegasus Imaging Corporation, Tampa, FL et protg par copyright. Tous droits rservs. Macromedia et Flash sont des marques ou des marques dposes de Macromedia, Inc. aux tats-Unis et/ou dans d'autres pays. Microsoft, MS-DOS, Windows, Windows Vista, Windows Media, Windows Server, Windows NT, Win32, Outlook, ActiveX, Active Directory et DirectShow sont soit des marques dposes, soit des marques de fabrique, de commerce ou de service de Microsoft Corporation aux tats-Unis et/ou dans d'autres pays. Netscape et Netscape Navigator sont des marques dposes de Netscape Communications Corp. aux tats-Unis et/ou dans d'autres pays. Novell Directory Services, NDS et NetWare sont des marques dposes de Novell, Inc. aux tats-Unis et dans d'autres pays. Novell Client est une marque de Novell, Inc. RealOne est une marque de RealNetworks, Inc. Gestion des licences : Globetrotter, Macrovision et FLEXlm sont des marques et/ou des marques dposes de Macrovision Corporation. Toutes les autres marques et marques dposes sont la proprit de leurs dtenteurs respectifs. Code de document : 6 septembre 2007 (FA)

Table des matires

3

Table des matires

1

Bienvenue . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13Composants de Password Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13 Le magasin central. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14 La Console Password Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14 LAgent Password Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15 Le Service Password Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .17 Gamme de produits Password Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18 Password Manager dition Advanced . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18 Password Manager dition Enterprise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18 Comparatif entre les deux ditions de Password Manager. . . . . . . . . . . . . . . . . . . . . . . .19 Nouvelles fonctionnalits de Citrix Password Manager 4.6. . . . . . . . . . . . . . . . . . . . . . .20 Informations propos de ce document. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21 Lectorat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22 Commentaires propos de ce document. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22 Conventions typographiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22 Complment d'informations et aide . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23 Documentation produit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23 Assistance technique et services disponibles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25 Subscription Advantage. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26 Formations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26

2

Utilisation des stratgies de mot de passe pour appliquer les critres de mot de passe. . 27Prsentation des stratgies de mot de passe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27 Groupes de partage de mot de passe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .28 Groupes de partage de mot de passe de domaine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29 Application des stratgies de mot de passe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29

4


Cration de stratgies de mot de passe : l'assistant de stratgie de mot de passe . . . . . . . . .30 Dfinition des rgles de mot de passe de base . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .31 Dfinition des rgles pour les caractres alphabtiques . . . . . . . . . . . . . . . . . . . . . . . . . .31 Dfinition des rgles pour les caractres numriques. . . . . . . . . . . . . . . . . . . . . . . . . . . .32 Dfinition des rgles pour les caractres spciaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .32 Dfinition de rgles d'exclusion (exclusion de caractres spcifiques) . . . . . . . . . . . . . .33 Dfinition de l'historique et de l'expiration du mot de passe . . . . . . . . . . . . . . . . . . . . . .34 Test de la stratgie de mot de passe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .35 Prfrences d'authentification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .36 Personnalisation de l'assistant de modification de mot de passe . . . . . . . . . . . . . . . . . . .37 Augmentation de la force des mots de passe et renforcement de la scurit dans votre environnement. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .38

3

Utilisation et gestion des dfinitions d'application. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39Prsentation des modles d'application . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .41 Gestion des dfinitions d'application l'aide de modles. . . . . . . . . . . . . . . . . . . . . . . . .41 Identification des applications et des vnements de gestion des informations d'identification par l'Agent Password Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .45 Identification des parties de l'interface utilisateur de l'application . . . . . . . . . . . . . . . . . .46 Prsentation de l'assistant de dfinition d'application . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .46 Identification de l'application . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .47 Gestion des formulaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .47 Nom des champs personnaliss. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .48 Dsignation de l'icne . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .48 Configuration de la dtection avance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .48 Configuration de l'expiration du mot de passe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .49 Confirmation des rglages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .50 Prsentation de l'assistant de dfinition de formulaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .50

Table des matires

5

Dfinitions d'applications de type Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .52 Rassemblement des informations requises pour les dfinitions d'applications Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .53 Processus de dfinition de formulaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .53 Utilisation de la correspondance avance pour identifier les formulaires Windows . . . .60 Informations de la classe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .60 Recherche de correspondance du contrle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .62 Informations de session SAP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .64 Identificateur de fentre. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .65 Extensions d'identification. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .65 Utilisation de l'diteur d'action pour dfinir la squence d'actions des formulaires. . . . .66 Processus de dfinition d'une squence d'actions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .67 Description des actions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .68 Considrations sur les dfinitions de type Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . .70 Dfinitions d'applications de type Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .71 Rassemblement des informations requises pour les dfinitions d'applications Web . . . .72 Processus de dfinition de formulaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .72 Nom du formulaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .73 Identification du formulaire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .74 Autres rglages. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .75 Confirmation des rglages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .75 Assistant de formulaire Web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .76 Redirection vers une application Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .76 Bote de dialogue Paramtres avancs pour les applications Web . . . . . . . . . . . . . . . . . . . .77 Dfinitions d'applications de type Hte/mainframe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .79 Rassemblement des informations requises pour les dfinitions d'applications hte . . . .80 Processus de dfinition de formulaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .80 Paramtres avancs pour les applications hte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .85 Considrations sur les dfinitions de type hte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .86 Prise en charge de l'mulation de terminal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .87 Dfinition de champs dans mfrmlist.ini . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .89

4

Cration de configurations utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91Dfinition d'une configuration utilisateur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .92 Proprits de la configuration utilisateur par dfaut . . . . . . . . . . . . . . . . . . . . . . . . . . . . .93 Avant de commencer. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .96 Spcification des contrleurs de domaine pour les configurations utilisateur . . . . . . . . .97

6


Cration d'une configuration utilisateur : l'assistant de configuration utilisateur . . . . . . . . .98 Nom de la configuration utilisateur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .99 Slection de l'dition du produit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .100 Dfinition du serveur de synchronisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .100 Choix d'applications. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .100 Configuration de l'interaction de l'Agent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .102 Configuration du systme de licences. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .109 Slection des mthodes de protection des donnes. . . . . . . . . . . . . . . . . . . . . . . . . . . . .110 Slection de la protection secondaire des donnes . . . . . . . . . . . . . . . . . . . . . . . . . . . . .113 Activer les fonctions autonomes de compte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .114 Emplacement des modules du service. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .115 Fin de l'assistant de configuration utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .115 Synchronisation des informations d'identification l'aide de la fonction Association de comptes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .115 Pour synchroniser manuellement les dfinitions d'application entre les domaines. . . . . . .118 Configuration de la fonction Association de comptes dans l'Agent. . . . . . . . . . . . . . . .120 Rinitialisation et suppression des donnes utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . .121 Rinitialisation des donnes utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .121 Supprimer les informations utilisateur du magasin central. . . . . . . . . . . . . . . . . . . . . . .123 Invite des utilisateurs renregistrer leurs questions de scurit. . . . . . . . . . . . . . . . . . . . .124 Affectation d'une priorit aux configurations utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . .125 Affectation d'une configuration utilisateur diffrents utilisateurs. . . . . . . . . . . . . . . . . . .126 Mise niveau des configurations utilisateur existantes . . . . . . . . . . . . . . . . . . . . . . . . . . . .127

5

Authentification des utilisateurs et vrification d'identit . . . . . . . . . . . . . . . . . . . . . . . . . . . 129Prsentation de l'authentification Password Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . .129 Confirmation de l'identit des utilisateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .130 Prsentation des mthodes de vrification d'identit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .131 Mot de passe prcdent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .132 Questions de scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .132 Contournement de la vrification d'identit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .132 Permutation entre plusieurs mthodes d'authentification principale . . . . . . . . . . . . . . . . . .133

6

Gestion de l'authentification avec questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135Confirmation de l'identit d'un utilisateur l'aide de l'authentification avec questions . . .136 Notions importantes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .137 tapes de l'authentification avec questions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .138

Table des matires

7

Conception des questions de scurit : compromis entre maintien de la scurit et simplicit d'utilisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .139 Notions importantes lies aux questions de scurit. . . . . . . . . . . . . . . . . . . . . . . . . . . .140 Gestion de vos questions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .141 Configuration d'une langue par dfaut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .141 Cration de questions de scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .142 Ajout ou modification du texte de questions existantes (y compris les traductions) . . .143 Cration de groupes de questions de scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .145 Cration et utilisation du questionnaire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .147 Slection de questions pour la rcupration de cl . . . . . . . . . . . . . . . . . . . . . . . . . . . . .148 Activation du masquage des rponses de scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . . .149 Rtrocompatibilit avec Password Manager versions 4.0 et 4.1 . . . . . . . . . . . . . . . . . . . . .151 Activation du renregistrement des rponses aux questions de scurit . . . . . . . . . . . . . . .152

7 Autorisation des utilisateurs grer leurs informations d'identification principales avec les fonctions autonomes de compte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153Prsentation des fonctions autonomes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .154 Considrations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .154 Utilisation de la gestion automatique de cls avec les fonctions autonomes . . . . . . . . .155 Rsum des tches d'implmentation des fonctions autonomes . . . . . . . . . . . . . . . . . . . . .155 Oubli des questions de scurit par l'utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .156 Exprience pour l'utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .156

8

Automatisation de la saisie des informations d'identification l'aide de l'habilitation . . . 159Rcapitulatif des tches d'habilitation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .160 Gnration d'un modle d'habilitation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .161 Modification du modle d'habilitation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .162 La balise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .163 Exemple de fichier gnr . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .163 La balise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .164 La commande . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .165 La commande . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .166 La commande . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .167 La commande . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .168 La commande . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .168 La commande . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .169 Informations d'identification de l'habilitation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .170 Rglage manuel du traitement de l'habilitation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .171 Kit de dveloppement logiciel (SDK) de l'habilitation . . . . . . . . . . . . . . . . . . . . . . . . . . . .171

8


9

Le Bureau dynamique : un environnement de bureau partag destin aux utilisateurs. . 173Rcapitulatif des tches du Bureau dynamique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .174 Processus de dmarrage et de fermeture du Bureau dynamique . . . . . . . . . . . . . . . . . . . . .175 vnements de dmarrage et de fermeture du Bureau dynamique . . . . . . . . . . . . . . . .176 Rsolution des problmes de dmarrage utilisateur du Bureau dynamique. . . . . . . . . .177 Cration d'un compte Bureau dynamique partag . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .178 Instructions sur la cration du compte partag de Bureau dynamique. . . . . . . . . . . . . .178 Organisation des utilisateurs du Bureau dynamique. . . . . . . . . . . . . . . . . . . . . . . . . . . .179 Restrictions des droits des utilisateurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .179 Bureau dynamique, cartes puce et rcupration de cl . . . . . . . . . . . . . . . . . . . . . . . .180 Conditions requises pour les applications utilises dans le Bureau dynamique . . . . . . . . .180 Dfinition du comportement des applications pour les utilisateurs du Bureau dynamique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .181 Avant de commencer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .182 Fichier Session.xml . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .184 Lancement d'applications l'aide de Session.xml . . . . . . . . . . . . . . . . . . . . . . . . . . . . .184 Balises du fichier Session.xml. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .185 Paramtres de configuration utilisateur du Bureau dynamique . . . . . . . . . . . . . . . . . . . . . .190 Localisation des paramtres du Bureau dynamique dans une configuration utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .191 Spcification des options de dlai d'expiration de session du Bureau dynamique. . . . .191 Activation de l'indicateur de session Bureau dynamique . . . . . . . . . . . . . . . . . . . . . . . .192 Utilisation d'un graphique bitmap personnalis comme indicateur de session . . . . . . .192 Utilisation de lconomiseur d'cran du Bureau dynamique . . . . . . . . . . . . . . . . . . . . .193 Installation du Bureau dynamique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .193 Dsactivation des services Terminal Server pour une installation administrative ou non assiste du Bureau dynamique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .194 Dsinstallation du Bureau dynamique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .195 Restauration des services Terminal Server aprs la dsinstallation du Bureau dynamique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .196 Activation des sessions multiples aprs dsinstallation du Bureau dynamique. . . . . . .197 Interaction avec les clients Citrix Presentation Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . .197 Agent Program Neighborhood . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .198 Interface Web de Citrix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .198 Affichage des profils utilisateur du Bureau dynamique. . . . . . . . . . . . . . . . . . . . . . . . . . . .198 Fermeture d'une station de travail du Bureau dynamique . . . . . . . . . . . . . . . . . . . . . . . . . .199 Absence de prise en charge de la fonction AutoAdminLogon . . . . . . . . . . . . . . . . . . . . . .199 Modification du mot de passe du compte partag de Bureau dynamique . . . . . . . . . . . . . .200 Informations du Bureau dynamique sur le Web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .201

Table des matires

9

10 Oprations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203Journalisation des vnements de Password Manager. . . . . . . . . . . . . . . . . . . . . . . . . . . . .203 Fichier Mfrmlist.ini . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .206 L'Agent Password Manager ne soumet pas les informations d'identification . . . . . . . . . . .206 Applications Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .207 Applications d'mulation de terminal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .207 Prise en charge des mulateurs de terminal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .208 Configuration de la prise en charge HLLAPI pour les mulateurs tests . . . . . . . . . . .209 L'Agent Password Manager ne dmarre pas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .210 Mises jour logicielles et chane GINA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .210 Cration d'un certificat de signature . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .211 Signature, retrait de signature, renouvellement de signature et vrification des donnes. .212 Signature des donnes (-s). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .213 Renouvellement de la signature de donnes (-r). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .214 Retrait de la signature des donnes (-u) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .215 Vrification des donnes (-v) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .216 Affichage de l'aide (-h) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .217 Activation et dsactivation du service d'intgrit des donnes dans l'Agent Password Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .217 limination d'objets supprims dans le magasin central . . . . . . . . . . . . . . . . . . . . . . . . . . .217 Dplacement des donnes vers un autre magasin central . . . . . . . . . . . . . . . . . . . . . . . . . .218 Migration de donnes vers un nouveau magasin central . . . . . . . . . . . . . . . . . . . . . . . .219 Sauvegarde des fichiers importants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .221 Sauvegarde des fichiers du service Password Manager . . . . . . . . . . . . . . . . . . . . . . . . .221

11 Liste des paramtres de Password Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225

10


12 Liste de rfrence des paramtres de Password Manager 4.6 . . . . . . . . . . . . . . . . . . . . . . . 229Configurations utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .229 Serveur de synchronisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .229 Interaction de base de l'agent. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .230 Interface utilisateur de l'Agent. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .231 Interaction ct client. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .233 Synchronisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .234 Association de comptes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .235 Prise en charge d'application . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .237 Bureau dynamique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .238 Systme de licences . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .239 Mthodes de protection des donnes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .241 Protection secondaire des donnes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .243 Fonctions autonomes de compte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .245 Module de gestion des cls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .245 Module d'habilitation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .246 Dfinitions d'application . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .246 Modification du formulaire d'application . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .246 Icne d'application . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .247 Dtection avance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .247 Expiration du mot de passe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .248 Stratgies de mot de passe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .248 Rgles de mot de passe de base. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .249 Rgles des caractres alphabtiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .249 Rgles de caractre numrique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .250 Rgles des caractres spciaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .251 Rgles d'exclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .252 Historique et expiration des mots de passe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .254 Test de la stratgie de mot de passe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .255 Prfrences d'authentification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .256 Assistant de modification de mot de passe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .257

13 Extensions de dfinitions d'applications. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .259Oprations de l'Agent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .259 Extensions d'identification. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .260 Dfinition des extensions d'identification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .261 Extensions d'actions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .263 Exigences de l'implmenteur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .267 Activation de la journalisation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .267

Table des matires

11

14 Codes clavier virtuel pour les applications d'hte et les applications Windows . . . . . . . . 269Codes pour VTabKeyN (Windows) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .269 Codes pour VirtualKeyCode (Windows) et VKEY (Windows) . . . . . . . . . . . . . . . . . . . . .270 Codes clavier virtuel pour les mulateurs de terminal HLLAPI . . . . . . . . . . . . . . . . . . . . .271

12


1

Bienvenue

A l'aide de l'authentification unique, Citrix Password Manager offre un accs sr et protg par mot de passe aux applications d'hte, Windows et Web excutes dans un environnement Citrix ou localement. Les utilisateurs s'authentifient une fois, puis Password Manager ouvre automatiquement des sessions dans les systmes protgs par mot de passe, applique les stratgies de mot de passe, surveille tous les vnements associs aux mots de passe et peut mme automatiser certaines tches de l'utilisateur, telles que la modification des mots de passe. Ce chapitre dcrit les points suivants : Composants de Password Manager , page 13 Gamme de produits Password Manager , page 18 Informations propos de ce document , page 21 Complment d'informations et aide , page 23

Composants de Password ManagerLes sections suivantes dcrivent brivement les composants de Password Manager installer pour commencer utiliser ce programme. Veuillez consulter la section Planification de votre environnement Password Manager du Guide d'installation Citrix Password Manager pour obtenir des informations dtailles. Les principaux composants de Password Manager sont : Le magasin central La Console Password Manager LAgent Password Manager Le Service Password Manager (facultatif)

14


Le magasin centralLe magasin central est un stockage centralis permettant Password Manager de stocker et de grer les donnes utilisateur et d'administration. Les donnes utilisateur comprennent notamment les informations d'identification, les rponses aux questions de scurit et d'autres donnes relatives l'utilisateur. Les donnes d'administration incluent les stratgies de mot de passe, les dfinitions d'application, les questions de scurit et d'autres donnes de porte plus large. Lorsqu'un utilisateur ouvre une session, Password Manager compare ses informations d'identification celles stockes dans le magasin central. Lorsque l'utilisateur ouvre des applications ou des pages Web protges par mot de passe, les informations d'identification adquates sont extraites du magasin central.

La Console Password ManagerLa Console Password Manager est le centre de commande de Password Manager. Elle vous permet de grer l'exprience Password Manager des utilisateurs. Vous pouvez y configurer la faon dont fonctionne Password Manager, les fonctions dployer, les mesures de scurit qui seront utilises et d'autres paramtres importants lis aux mots de passe. La Console contient quatre lments principaux, ou nuds, dans le panneau de gauche. Lorsque vous slectionnez un nud, ses tches spcifiques apparaissent. Ces nuds sont les suivants. Configurations utilisateur Ces configurations permettent d'ajuster certaines paramtres aux utilisateurs en fonction de leur emplacement gographique ou de leur rle dans l'entreprise. Les paramtres des trois autres nuds vous permettent de crer des configurations utilisateur. Dfinitions d'application Ces dfinitions offrent les informations ncessaires l'Agent pour l'authentification auprs des applications et pour la dtection des erreurs. Vous pouvez utiliser les modles de dfinition d'application fournis avec Password Manager pour acclrer le processus ou crer vos dfinitions personnalises pour les applications qui ne peuvent pas utiliser ces modles. Les modles supplmentaires se trouvent l'emplacement suivant : http://www.citrix.com/passwordmanager/gettingstarted Stratgies de mot de passe Les stratgies de mot de passe contrlent la longueur des mots de passe, le type et la varit des caractres des mots de passe dfinis par l'utilisateur et gnrs automatiquement. Elles vous permettent aussi de spcifier les

1

Bienvenue

15

caractres exclure dans les mots de passe et la rutilisation des mots de passe prcdents. La cration de stratgies de mot de passe cohrentes avec les stratgies de scurit de votre entreprise garantit une bonne gestion de la scurit des mots de passe par Password Manager. Vrification d'identit Les questions de scurit cres offre une couche de scurit supplmentaire l'Agent en protgeant contre l'usurpation d'identit, les modifications de mot de passe et les dverrouillages de compte non autoriss. Les utilisateurs qui s'inscrivent et qui rpondent vos questions de scurit peuvent ensuite vrifier leur identit en fournissant les mmes rponses aux questions. Une fois la vrification effectue, les utilisateurs peuvent accomplir les tches des fonctions autonomes sur leur compte, comme la rinitialisation de leur mot de passe principal ou le dverrouillage de leur compte utilisateur. Les questions de scurit peuvent galement servir la rcupration de cls.

LAgent Password ManagerL'Agent Password Manager est le logiciel permettant aux machines clientes d'agir en tant qu'intermdiaire entre les utilisateurs et leurs applications. Lorsqu'un utilisateur tente d'accder une application requrant l'authentification, l'Agent intercepte la demande d'authentification de l'application, recherche les informations d'identification correspondantes et les soumet l'application. En outre, l'Agent Password Manager offre aux utilisateurs une grande varit de fonctions. Les fonctions dont disposent les utilisateurs dpendent des paramtres d'administration dfinis dans les configurations utilisateur. Reportez-vous la section Liste des paramtres de Password Manager , page 225, pour connatre les paramtres spcifiques dont vous bnficiez. Les fonctions de l'Agent Password Manager sont notamment : Icne dans la barre d'tat systme de Windows L'icne de l'Agent Password Manager situe dans la barre d'tat systme de Windows permet d'accder au Gestionnaire d'informations d'identification et d'autres fonctionnalits de Password Manager, notamment l'enregistrement des questions de scurit, la mise en pause et l'aide en ligne. Gestionnaire d'informations didentification. Le Gestionnaire d'informations d'identification offre une interface utilisateur permettant de crer, afficher, modifier et supprimer les

16


informations d'identification. Les utilisateurs peuvent galement y enregistrer leurs questions de scurit et accder l'aide en ligne. Le menu Fichier permet d'accder de nombreuses fonctionnalits : La commande Nouvelles informations d'identification permet d'ajouter de nouvelles informations d'identification pour les applications Windows, Web ou hte dans Password Manager. La commande Proprits permet d'accder aux proprits associes aux informations d'identification de l'application spcifie. L'utilisateur peut alors modifier son mot de passe, son ID utilisateur et d'autres informations d'identification. La commande Supprimer efface les informations d'identification de l'utilisateur pour l'application slectionne partir du Gestionnaire d'informations d'identification. La commande Copier fournit une copie des informations d'identification slectionnes, que l'utilisateur peut modifier pour crer diffrents ensembles d'informations d'identification pour diffrentes applications.

Les autres commandes accessibles par les utilisateurs sont notamment : La commande Rvler les mots de passe, disponible depuis le menu Affichage, permet l'utilisateur d'afficher les mots de passe des applications figurant dans le Gestionnaire d'informations d'identification. Remarque : les paramtres de stratgie de mot de passe relatifs l'affichage des mots de passe ont priorit sur cette commande. Si vous ne souhaitez pas que les utilisateurs rvlent le mot de passe d'une application, dfinissez une stratgie cette fin. La commande Enregistrement des questions de scurit, disponible dans le menu Outils, permet l'utilisateur de redmarrer l'assistant d'enregistrement des questions de scurit et de fournir de nouvelles rponses aux questions de scurit. La commande Association de comptes, dans le menu Outils, permet l'utilisateur de crer une association entre des comptes dans diffrents domaines. Cette fonctionnalit permet de synchroniser les informations d'identification. Les modifications de mot de passe sont rpercutes sur les diffrents domaines.

1

Bienvenue

17

Configuration de nouvelle ouverture de session automatise Les utilisateurs peuvent configurer rapidement de nouvelles informations d'identification l'aide de cet assistant. L'Agent Password Manager dtecte la demande d'informations d'identification par une application ou un site Web. Si les informations d'identification de l'utilisateur ne sont pas dj stockes dans Password Manager, l'assistant Nouvelles informations d'identification s'affiche automatiquement et propose leur enregistrement.

Mobilit de l'utilisateur L'Agent Password Manager prend en charge les utilisateurs distants et itinrants. En se procurant une licence avant de se dconnecter, les utilisateurs distants peuvent accder leurs informations d'identification, qu'ils soient ou non dconnects du rseau de l'entreprise. Les utilisateurs itinrants peuvent se dplacer d'un ordinateur un autre et plusieurs utilisateurs peuvent partager une mme station de travail en toute scurit.

Le Service Password ManagerIl est excut sur un serveur Web qui constitue la base de fonctionnalits optionnelles disponibles dans cette version. Installez le service Password Manager si vous envisagez de mettre en place au moins un des modules suivants : Fonctions autonomes de compte, qui permet la rinitialisation des mots de passe Windows et le dverrouillage des comptes Windows. Intgrit des donnes, qui protge les donnes lors de leur transfert du magasin central vers l'Agent. Gestion des cls, qui permet aux utilisateurs de rcuprer leurs informations d'identification secondaires lorsque leur mot de passe principal change, soit par rcupration de cl automatique, soit aprs rponse aux questions de scurit avec authentification avec questions. Habilitation, qui vous permet d'utiliser la console pour ajouter, supprimer ou mettre jour les donnes utilisateur et les informations d'identification Password Manager. Synchronisation des informations d'identification, qui synchronise les informations d'identification sur les diffrents domaines utilisant un service Web.

Si vous ne mettez pas en place ces modules, n'installez pas le service Password Manager. Veuillez consulter la section Installation et configuration du service Password Manager du Guide d'installation Citrix Password Manager pour plus d'informations sur le Service Password Manager.

18


Gamme de produits Password ManagerPassword Manager est maintenant propos en deux ditions : Password Manager dition Advanced Password Manager dition Enterprise

En outre, Citrix Presentation Server 4.5 Feature Pack 1, dition Platinum, compte une fonctionnalit comparable Password Manager, dition Enterprise nomme Single Sign-on Powered by Password Manager .

Password Manager dition AdvancedL'dition Advanced de Password Manager permet d'augmenter la scurit de votre entreprise par les moyens suivants : options de stratgie de mots de passe renforce ; cration automatique de mots de passe ; option d'assistant de modification de mot de passe dmarrage automatique ; cryptage des mots de passe pendant qu'ils sont en mmoire, stocks et en cours de transmission ; options d'expiration de mot de passe pour les applications ne disposant pas de cette fonctionnalit.

L'dition Advanced interagit galement de manire efficace avec d'autres programmes, ce qui simplifie le stockage des informations d'identification ainsi que vos oprations de maintenance pour ce processus et ces informations.

Password Manager dition EnterpriseL'dition Enterprise de Password Manager est destine aux environnements d'entreprise les plus exigeants et les plus complexes. L'dition Enterprise : offre une scurit amliore, des fonctions autonomes et de mobilit pour les utilisateurs ainsi que des performances leves ; rduit le nombre d'appels l'assistance technique grce des fonctions autonomes permettant aux utilisateurs de modifier leur mot de passe Windows et de dverrouiller leur compte ; permet aux utilisateurs itinrants d'accder rapidement leurs informations avec le Bureau dynamique, ce qui simplifie la rotation d'utilisateurs sur les postes de travail partags ;

1

Bienvenue

19

fournit des fonctions de scurit d'entreprise, telles que l'intgration avec des cartes puce et la prise en charge de Kerberos et du Support denvironnement fdr (ADFS et SAML).

Comparatif entre les deux ditions de Password ManagerFonctions utilisateur Authentification unique auprs des applications Windows Authentification unique auprs des applications Web Authentification unique auprs des applications hte via les mulateurs de terminal Client Citrix Access Interface utilisateur localise Prise en charge de SAPGUI, Internet Explorer 7 (32 bits, 64 bits) Rinitialisation du mot de passe Dverrouillage autonome du compte Intgration des fonctions autonomes l'interface Web Bureau dynamique, rotation rapide des utilisateurs Intgration Bureau dynamique/SmoothRoaming Association de comptes dition Advanced X X X X X X dition Enterprise X X X X X X X X X X X X

Fonctions de scurit Modification automatique des mots de passe Modification transparente des mots de passe Mots de passe crypts en mmoire, stocks et en cours de transmission Application de la stratgie de mot de passe - modification automatique des mots de passe Application de la stratgie de mot de passe - modification manuelle des mots de passe Expiration du mot de passe Prise en charge biomtrique et jetons de mots de passe

dition Advanced X X X X X X X

dition Enterprise X X X X X X X

20


Fonctions de scurit Prise en charge des cartes puce Assurance d'intgrit des donnes cryptographiques Prise en charge de Kerberos et des environnements fdrs (ADFS, SAML)

dition Advanced

dition Enterprise X

X

X X

Fonctions d'administration Habilitation par lots Intgration aux produits d'habilitation des utilisateurs Prise en charge des partages de fichiers Windows NT Prise en charge de Microsoft Active Directory Prise en charge des partages rseau Novell NetWare Prise en charge des rpertoires LDAP Administration via les groupes Active Directory Prise en charge de Citrix Streaming Server Console Citrix Access Management Console Systme de licences intgr la version Platinum Compatibilit Windows Server 2003 64 bits Licences d'utilisateur dsign Licences Utilisateurs simultans (Citrix Password Manager pour Presentation Server uniquement)

dition dition Advanced Enterprise X X X X X X X X X X X X X X X X X X X X X X X X X

Nouvelles fonctionnalits de Citrix Password Manager 4.6Citrix Password Manager 4.6 comprend les fonctionnalits suivantes :

Prise en charge de Windows Vista pour l'Agent Password ManagerL'Agent Password Manager propose dsormais la gamme complte de ses fonctionnalits dans l'environnement Windows Vista. Pour une liste complte des environnements pris en charge par Password Manager, veuillez consulter les sections Configurations requises pour la Console et l'Agent Password Manager et Configuration requise pour le service Password Manager du Guide d'installation Citrix Password Manager.

1

Bienvenue

21

Amlioration de l'habilitation des informations d'identificationL'habilitation des informations d'identification d'une application aux utilisateurs est dsormais possible chaque fois que l'Agent Password Manager est excut. Auparavant, l'habilitation ne pouvait avoir lieu que pendant le processus de dmarrage de l'Agent.

Prise en charge du service de domaines multiplesPassword Manager vous permet maintenant de partager le service Password Manager parmi les utilisateurs de domaines diffrents. Vous pouvez installer la Console Password Manager sur des ordinateurs de domaines diffrents et crer ensuite une ou plusieurs configurations dans chacun des domaines.

Rponses masques aux questions de scurit pour authentification avec questionsPassword Manager vous donne maintenant l'option de masquer les rponses de l'utilisateur aux questions de scurit de l'authentification avec questions. Si elles sont actives, les rponses des utilisateurs sont protges pendant l'enregistrement des rponses et lorsqu'elles sont fournies pour la vrification d'identit.

Disponibilit des fonctions autonomes pendant le verrouillage de l'ordinateurLe bouton Fonctions autonomes de compte, dj disponible sur la bote de dialogue d'ouverture de session Windows, est maintenant galement disponible sur la bote de dialogue Dverrouillage de l'ordinateur. Cette fonctionnalit permet aux utilisateurs de rinitialiser leur mot de passe rseau ou de dverrouilleur leur compte de domaine Windows. Remarque : la fonctionnalit Fonctions autonomes de compte est uniquement disponible sur l'dition Enterprise.

Informations propos de ce documentLes objectifs globaux de ce guide sont de vous donner : une connaissance des fonctionnalits et composants de Password Manager ; instructions et des conseils pour vous aider crer et maintenir l'environnement de gestion des mots de passe adquat pour vos utilisateurs.

22


LectoratCe document est destin aux administrateurs du systme et de la scurit qui effectuent la mise en place de Password Manager. Le lecteur doit possder une connaissance de base de l'administration Windows Server. Une exprience de Novell NetWare est galement ncessaire s'il s'agit de la plate-forme utilise pour installer ou grer Password Manager.

Commentaires propos de ce documentPour envoyer vos commentaires propos de la documentation, ouvrez la page http://www.citrix.com et cliquez sur Support > Knowledge Center > Product Documentation. Le formulaire prvu cet effet s'ouvre lorsque vous cliquez sur le lien Submit Documentation Feedback.

Conventions typographiquesLa documentation des produits Citrix utilise les conventions typographiques suivantes pour dsigner les menus, les commandes, les touches de clavier et les lments de l'interface.Convention Gras Signification Indique une commande, le nom d'un lment de l'interface tel qu'une zone de texte ou un bouton, ou des donnes entres par l'utilisateur. Signale un emplacement rserv des informations ou des paramtres que vous devez fournir. Par exemple, si une procdure vous demande d'entrer un nom de fichier vous devez entrer le nom d'un fichier. L'italique peut galement indiquer un terme nouveau ou le titre d'un document. Fait rfrence au rpertoire systme Windows. Il peut s'agir de WTSRV, WINNT, WINDOWS ou d'un autre nom dfini lors de l'installation de Windows. Correspond du texte figurant dans un fichier texte. Renferment une srie d'lments dont l'un est ncessaire l'instruction. Par exemple, { yes | no } indique que vous devez spcifier yes ou no. N'entrez pas les accolades. Renferment les lments facultatifs des instructions. Par exemple, [/ping] indique que vous pouvez entrer /ping avec la commande. N'entrez pas les crochets. Spare les lments entre crochets ou accolades dans les instructions. Par exemple, { /hold | /release | /delete } indique que vous devez taper /hold, /release ou /delete.

Italique

%SystemRoot%

Police espacement fixe

{accolades}

[crochets]

| (barre verticale)

1

Bienvenue

23

Convention (points de suspension)

Signification Indique que vous pouvez rpter le ou les lments prcdents dans les instructions. Par exemple, / route:NomPriphrique[,] indique que vous pouvez taper plusieurs noms de priphrique en les sparant par des virgules.

Complment d'informations et aideCette section dcrit la documentation de cette dition. Elle vous indique comment obtenir des informations supplmentaires sur Password Manager. Les sujets suivants sont traits : Documentation produit Assistance technique et services disponibles Subscription Advantage Formations

Documentation produitPassword Manager contient une vaste bibliothque de documentations. La plupart des publications de cette documentation sont disponibles sur le site Web de Citrix (http://www.Citrix.com). Le fichier Read_Me_First.html, situ dans le dossier Documentation du CD-ROM du produit, contient des liens directs vers la documentation.

Bulletin des mises jour prliminairesLe Bulletin des mises jour prliminaires fournit des informations relatives l'installation rdiges aprs la publication du fichier LisezMoi. Ce bulletin est disponible l'adresse suivante: http://support.citrix.com/article/CTX111285.

Password_Manager_Read_Me_FirstCe document, dont l'autre titre est Bienvenue dans Citrix Password Manager, se trouve dans le dossier Documentation du CD-ROM du produit. Le document contient des liens directs vers la bibliothque de documentation Password Manager sur le site Web de Citrix.

24


Fichier LisezMoiLe fichier LisezMoi fournit des informations sur les fonctionnalits de Password Manager, les problmes connus, les modifications et d'autres informations importantes dveloppes aprs la publication du Guide de l'administrateur de Citrix Password. Lisez-le attentivement avant d'installer Password Manager. Il se trouve sur le site Web de Citrix et est accessible directement depuis le fichier Password_Manager_Read_Me_First.html.

Guide de dmarrage du systme de licences CitrixLe systme des licences Password Manager a chang depuis la publication de Password Manager 4.1. Veuillez consulter le Guide de dmarrage du systme de licences Citrix, disponible sur le site Web de Citrix et accessible depuis le fichier Password_Manager_Read_Me_First.html, pour obtenir des instructions pour grer la licence Password Manager. Remarque : les guides sont disponibles au format Adobe PDF (Portable Document Format). Pour afficher, effectuer une recherche ou une impression dans un document PDF, vous devez disposer d'Acrobat Reader 5.0.5 avec la fonction Rechercher dans plusieurs documents ou d'Adobe Reader (version 6.0 ou ultrieure). Vous pouvez tlcharger ces produits gratuitement depuis le site Web dAdobe Systems ladresse suivante : http://www.adobe.com/.

Guide d'installation Citrix Password ManagerLe Guide d'installation Citrix Password Manager prsente les procdures ncessaires l'installation et la mise niveau de Password Manager. Il se trouve sur le site Web de Citrix et est accessible directement depuis le fichier Password_Manager_Read_Me_First.html.

Guide de l'administrateur Citrix Password ManagerLe Guide de l'administrateur (ce document) contient des informations conceptuelles et des instructions destines aux administrateurs systme chargs de la maintenance, de la configuration et des essais des composants de Password Manager. Il se trouve sur le site Web de Citrix et est accessible directement depuis le fichier Password_Manager_Read_Me_First.html.

Check-list d'installationCe document fournit des instructions brves et concises pour les administrateurs connaissant dj les procdures d'installation de Password Manager. Il offre une approche large du processus et n'est pas destin remplacer ce Guide d'installation. Il se trouve sur le site Web de Citrix et est accessible directement depuis le fichier Read_Me_First.html.

1

Bienvenue

25

Aide en ligne pour les administrateurs et les utilisateursLes administrateurs bnficient aujourd'hui d'un ensemble complet de rubriques d'aide bases sur le Guide de l'installation et du Guide de l'administrateur. Les administrateurs peuvent maintenant consulter des donnes relatives aux tches courantes, au workflow et aux paramtres. Les utilisateurs peuvent obtenir des informations propos de tches courantes dont l'ajout d'informations d'identification pour les applications l'aide du Gestionnaire d'informations d'identification et l'ajustement des fonctions automatiques de Password Manager. Les utilisateurs peuvent accder l'aide par le biais des menus ou des boutons Aide.

Citrix Password Manager Evaluators GuideCe guide offre une prsentation pratique des fonctions de Password Manager en fournissant les notions ncessaires la configuration et l'excution d'un dploiement petite chelle du produit.

Assistance technique et services disponiblesL'assistance technique Citrix est assure principalement via le rseau Citrix Solutions Advisors Program. Veuillez contacter votre fournisseur pour obtenir une assistance directe ou obtenez les coordonnes du partenaire Solutions Advisors le plus proche partir de l'adresse http://www.citrix.com. Outre le rseau Citrix Solutions Advisors Program, Citrix dispose de divers outils d'assistance technique en ligne dans son Centre de connaissances (Knowledge Center), l'adresse http://support.citrix.com/. Le Centre de connaissances met votre disposition : une base de connaissances contenant des milliers de solutions techniques pour la maintenance de votre environnement Citrix ; une bibliothque de documentations produit sur le Web ; des forums d'assistance interactifs pour chaque produit Citrix ; les dernires corrections chaud et les derniers service packs ; des bulletins de scurit ; un systme Web permettant de signaler et d'effectuer le suivi des problmes (pour les utilisateurs disposant de contrats d'assistance) ; l'assistance Citrix distance en temps rel (Citrix Live Remote Assistance). Un produit d'assistance distance Citrix, GoToAssist, permet un membre de notre quipe d'afficher votre bureau et de partager le contrle de votre souris et de votre clavier pour parvenir une solution.

26


Une autre source d'assistance, les services Citrix Preferred Support Services, vous propose une gamme d'options permettant de personnaliser le niveau et le type d'assistance pour les produits Citrix utiliss dans votre entreprise.

Subscription AdvantageSubscription Advantage vous permet de disposer facilement des dernires fonctionnalits et des dernires informations relatives aux solutions serveur centralises. Tout au long de votre abonnement, vous bnficiez automatiquement : de feature releases ; de mises niveau logicielles ; d'amliorations de fonctionnalits ; d'informations relatives la maintenance ; d'un accs prioritaire d'importantes informations sur les technologies Citrix.

Vous trouverez plus d'informations concernant les offres d'abonnement sur le site Web de Citrix l'adresse http://www.citrix.com/services/ (cliquez sur Subscription Advantage). Vous pouvez galement contacter votre reprsentant commercial Citrix ou un membre du rseau Citrix Solutions Advisors Program.

FormationsCitrix propose de nombreuses formations avec instructeur ou via le Web. Les formations avec instructeur sont proposes dans des centres de formation agrs (CALC : Citrix Authorized Learning Center). Les centres CALC offrent des formations de qualit et utilisent des manuels conus par Citrix. Ces formations dbouchent souvent sur une certification. Les formations par le Web sont disponibles auprs des centres CALC, des revendeurs et sur le site Web de Citrix. Des informations sur les programmes et les cours des formations et certifications Citrix sont disponibles ladresse : http://www.citrix.com/edu/.

2

Utilisation des stratgies de mot de passe pour appliquer les critres de mot de passe

Citrix Password Manager vous permet de dfinir des rgles afin de contrler les caractristiques des mots de passe stocks par vos utilisateurs et qui sont requis par les applications d'authentification unique. Ces rgles incluent des stratgies de mot de passe, applicables tous les utilisateurs ou des groupes spcifiques d'applications, selon les besoins de votre organisation. Cette section vous indique comment crer des stratgies de mot de passe dans votre environnement Password Manager. Veuillez galement consulter la section Stratgies de mot de passe et accs aux applications dans le Guide d'installation Citrix Password Manager. Prsentation des stratgies de mot de passe , page 27 Cration de stratgies de mot de passe : l'assistant de stratgie de mot de passe , page 30 Augmentation de la force des mots de passe et renforcement de la scurit dans votre environnement , page 38

Remarque : Citrix Presentation Server fournit des rgles de stratgie permettant de configurer et de contrler quels utilisateurs ont accs Password Manager lorsqu'ils se connectent aux serveurs et aux applications publies de la batterie. Pour plus d'informations, veuillez consulter le Guide de l'administrateur Presentation Server.

Prsentation des stratgies de mot de passePassword Manager comporte deux stratgies de mot de passe standard intitules Default et Domain. Vous ne pouvez pas les supprimer, seulement les utiliser telles quelles, les copier ou les adapter aux stratgies et aux normes de votre entreprise.

28


Lorsqu'un utilisateur ajoute ses informations dans le Gestionnaire d'informations d'identification pour une application qui n'a pas t dfinie par l'administrateur, Citrix Password Manager applique la stratgie Default cette application. Si vous souhaitez tendre le groupe de partage de mot de passe un domaine, vous devez lui appliquer la stratgie Domain. Remarque : dans la mesure o le service Password Manager applique la stratgie de mot de passe Default aux applications ajoutes par les utilisateurs, assurez-vous de configurer cette stratgie de faon tre la plus large possible, afin d'accepter les mots de passe de toutes les applications pour lesquelles vous autorisez les utilisateurs stocker des mots de passe. Vous avez la possibilit de crer autant de mots de passe que ncessaire pour votre entreprise. Par exemple, vous pouvez appliquer une stratgie pour votre groupe de partage de domaine et crer des stratgies spcifiques appliquer des groupes individuels d'applications pour mieux cibler vos besoins. Une stratgie de mot de passe vous permet de : automatiser les modifications de mot de passe pour les applications ; mettre en place des plans de scurit comprenant des mots de passe complexes et des mots de passe spcifiques aux applications invisibles pour les utilisateurs ; dfinir une date d'expiration des mots de passe d'application, mme si l'application ne dispose pas d'une telle fonctionnalit.

Remarque : lorsque les utilisateurs modifient leurs mots de passe, Password Manager peut comparer leur ancien mot de passe avec le nouveau. Cette fonctionnalit empche l'utilisation rpte d'un mme mot de passe pour une application. Veuillez consulter la section Dfinition de l'historique et de l'expiration du mot de passe , page 34. Veuillez galement consulter la section Application des stratgies de mot de passe , page 29.

Groupes de partage de mot de passeDans certains cas, les utilisateurs disposent d'un seul mot de passe pour plusieurs applications (dans une suite logicielle, par exemple). Cette situation est appele partage de mot de passe : les applications utilisent la mme autorit d'authentification.

2


29

Mme si les informations d'identification (nom d'utilisateur et champs personnaliss) sont diffrentes pour ces applications, le mot de passe reste identique. Dans ce cas, crez un groupe d'applications qui est galement un groupe de partage de mot de passe pour garantir que l'Agent gre le mot de passe pour toutes les applications du groupe comme s'il s'agissait d'une seule. Lors d'une modification du mot de passe pour l'une d'entre elles, l'Agent s'assure que cette modification est rpercute pour toutes les applications du groupe.

Groupes de partage de mot de passe de domaineLes groupes de partage de mot de passe de domaine ont la particularit d'utiliser le mot de passe de domaine de l'utilisateur en tant que mot de passe principal pour le groupe d'applications. Lors d'une modification du mot de passe de domaine, l'Agent s'assure que cette modification est rpercute pour toutes les applications du groupe. Cependant, seul le mot de passe de domaine peut tre modifi. Les utilisateurs ne peuvent pas modifier le mot de passe pour les autres applications du groupe, moins que l'administrateur ne retire l'application du groupe de partage de mot de passe de domaine.

Application des stratgies de mot de passePassword Manager applique les stratgies de mot de passe l'occasion de la modification de ces derniers, qu'ils soient dfinis par l'utilisateur ou gnrs automatiquement par Password Manager. Une stratgie de mot de passe n'est pas applique dans les conditions suivantes : Un utilisateur s'enregistre auprs de Password Manager (lors de la premire utilisation). Un utilisateur modifie un formulaire de mot de passe depuis l'Agent du Gestionnaire d'informations d'identification. Un administrateur cre une dfinition d'application.

De mme, Password Manager n'applique pas de stratgie de mot de passe sur les mots de passe existants (c'est--dire ceux crs avant la mise en oeuvre de Password Manager dans l'entreprise) car les utilisateurs pourraient se voir refuser l'accs des applications ou des ressources qu'ils utilisent dj.

30


Cration de stratgies de mot de passe : l'assistant de stratgie de mot de passeImportant : lorsque vous crez une stratgie de mot de passe personnalise ou que vous modifiez des stratgies existantes, assurez-vous que les exigences de votre entreprise ne divergent pas de celles de l'application. Par exemple, si vous crez une stratgie qui ne correspond pas au moins aux besoins d'une application, vos utilisateurs ne pourront pas s'authentifier auprs d'elle. La section Rglages par dfaut des stratgies de mot de passe par dfaut et de domaine (Default/Domain) du dcrit les paramtres par dfaut pour ces stratgies. Lorsque vous crez une nouvelle stratgie de mot de passe dans l'assistant dcrit ici, le service Password Manager utilise les paramtres par dfaut de la stratgie Default. Vous pouvez alors modifier vos paramtres selon vos besoins et appliquer la nouvelle stratgie au groupe d'applications souhait. L'assistant se compose des pages suivantes : Dfinition des rgles de mot de passe de base , page 31 Dfinition des rgles pour les caractres alphabtiques , page 31 Dfinition des rgles pour les caractres numriques , page 32 Dfinition des rgles pour les caractres spciaux , page 32 Dfinition de rgles d'exclusion (exclusion de caractres spcifiques) , page 33 Dfinition de l'historique et de l'expiration du mot de passe , page 34 Test de la stratgie de mot de passe , page 35 Prfrences d'authentification , page 36 Personnalisation de l'assistant de modification de mot de passe , page 37

Pour dmarrer l'Assistant de stratgie de mot de passe

1. 2. 3.

Cliquez sur Dmarrer > Programmes > Citrix > Consoles de gestion > Access Management Console. Dveloppez le nud Password Manager et slectionnez Stratgies de mot de passe. Dans la zone Tches courantes, cliquez sur Crer une nouvelle stratgie de mot de passe.

2


31

L'assistant de stratgie de mot de passe s'affiche. 4. Tapez un nom et une description pour la stratgie de mot de passe, puis cliquez sur Suivant.

Dfinition des rgles de mot de passe de baseCette page vous permet de dfinir les rgles de base afin de configurer les longueurs minimale et maximale des mots de passe et l'autorisation de la rptition de caractres.

Longueur de mot de passeSpcifiez le nombre minimal de caractres requis dans un mot de passe. La valeur minimale autorise est 0, la valeur maximale 128. Vrifiez que ces valeurs correspondent aux exigences de l'application d'authentification unique pour ce qui est de la longueur des mots de passe.

Rptition de caractre dans les mots de passe Nombre de rptitions possibles d'un caractre Ce paramtre peut tre une valeur comprise entre 1 et 128, la valeur par dfaut tant 6. Nombre de rptitions successives possibles d'un caractre Ce paramtre peut tre une valeur comprise entre 1 et 128, la valeur par dfaut tant 4. Par exemple, avec la valeur par dfaut 4, aBc1XXXXbb est un mot de passe correct, car XXXX apparat quatre fois de suite.

Dfinition des rgles pour les caractres alphabtiquesCette page vous permet de configurer l'utilisation de caractres alphabtiques minuscules et majuscules pour les mots de passe de l'utilisateur. Vous pouvez dfinir les paramtres suivants : Autoriser les minuscules Le mot de passe peut dbuter avec une minuscule. Le mot de passe peut se terminer avec une minuscule. Nombre minimum de minuscules requis (la valeur par dfaut est 0, la valeur maximale 128).

Autoriser les majuscules Le mot de passe peut dbuter avec une majuscule.

32


Le mot de passe peut se terminer avec une majuscule. Nombre minimum de majuscules requis (la valeur par dfaut est 0, la valeur maximale 128).

Dfinition des rgles pour les caractres numriquesCette page vous permet de configurer l'utilisation de caractres numriques pour les mots de passe de l'utilisateur. Vous pouvez dfinir les paramtres suivants : Autoriser les caractres numriques Le mot de passe peut dbuter avec un caractre numrique. Le mot de passe peut se terminer par un caractre numrique. Nombre minimum de caractres numriques requis (la valeur par dfaut est 0, la valeur maximale 128). Nombre maximum de caractres numriques permis (la valeur par dfaut est 20, la valeur maximale 128).

Dfinition des rgles pour les caractres spciauxCette page vous permet de configurer l'utilisation de caractres spciaux (ni alphabtiques, ni numriques) pour les mots de passe de l'utilisateur. Vous pouvez dfinir les paramtres suivants : Autoriser les caractres spciaux Le mot de passe peut dbuter avec un caractre spcial. Le mot de passe peut se terminer par un caractre spcial. Nombre minimum de caractres spciaux requis (la valeur par dfaut est 0, la valeur maximale 128). Nombre maximum de caractres spciaux permis (la valeur par dfaut est 20, la valeur maximale 128). La liste des caractres spciaux autoriss inclut notamment : ! @ # $ ^&*()_-+=[]\|?,

2


33

Dfinition de rgles d'exclusion (exclusion de caractres spcifiques)Cette page vous permet d'interdire l'utilisation de caractres ou de groupes de caractres spcifiques dans les mots de passe, par exemple des mots courants ou des groupes squentiels de caractres qui se devinent facilement, tels que abc123 ou asdfjkl. Vous pouvez galement empcher l'utilisation de mots de passe incluant tout ou partie de noms d'utilisateur Windows et d'applications individuelles. Vous pouvez spcifier jusqu' 256 groupes de caractres diffrents exclure. Chaque groupe de caractres peut comporter de un 32 caractres. Les caractres l'intrieur des groupes ne sont pas sensibles la casse : une liste d'exclusion interdisant abcdefg empche galement l'utilisation de la squence AbCDefG dans un mot de passe. En outre, une liste d'exclusion comprenant un groupe de caractres tel que defg exclut galement le groupe de caractres abcdefg.

Pour crer une liste d'exclusion

1. 2.

Cliquez sur Modifier la liste. La fentre Modification de la liste d'exclusion apparat. Tapez les caractres ou groupes de caractres exclure des mots de passe. Vous pouvez copier et coller du texte partir d'un diteur de texte vers la zone de texte de la fentre. Vous pouvez taper un caractre ou un groupe de caractres par ligne (appuyez sur Entre la fin de chaque ligne pour sparer les entres). Chaque groupe peut contenir jusqu' 32 caractres. Les caractres ne respectent pas la casse.

3.

Cliquez sur OK pour enregistrer vos modifications et refermer la fentre.

Pour restreindre encore le mot de passe, slectionnez l'une des options suivantes, ou les deux :

34


Ne pas autoriser le nom d'utilisateur de l'application dans le mot de passe Slectionnez cette option pour interdire l'utilisation de l'ensemble du nom d'utilisateur de l'application dans le mot de passe. Slectionnez Ne pas autoriser certaines parties du nom d'utilisateur de l'application dans le mot de passe pour interdire l'utilisation de parties du nom d'utilisateur de l'application dans le mot de passe. L'option Nombre de caractres des portions vous permet de spcifier le nombre de caractres du nom d'utilisateur qui exclut toute utilisation du mot de passe. Par exemple, si cette valeur est dfinie sur 4, un mot de passe d'utilisateur comprenant les caractres citr, trix ou itri ne pourrait pas tre utilis si le nom d'utilisateur est citrix.4.

Ne pas autoriser le nom d'utilisateur Windows dans le mot de passe Slectionnez cette option pour interdire l'utilisation de l'ensemble du nom d'utilisateur Windows dans le mot de passe. Slectionnez Ne pas autoriser certaines parties du nom d'utilisateur Windows dans le mot de passe pour interdire l'utilisation de parties du nom d'utilisateur Windows dans le mot de passe. L'option Nombre de caractres des portions vous permet de spcifier le nombre de caractres du nom d'utilisateur qui exclut toute utilisation du mot de passe. Par exemple, si cette valeur est dfinie sur 4, un mot de passe d'utilisateur comprenant les caractres citr, trix ou itri ne pourrait pas tre utilis si le nom d'utilisateur est citrix.4.

Dfinition de l'historique et de l'expiration du mot de passeCette page vous permet de mettre en uvre l'utilisation de nouveaux mots de passe lors de l'expiration des anciens. L'historique du mot de passe est conserv pour chaque application gre par le service Password Manager. Aprs la configuration de cette option pour une application ou un groupe d'applications, toute modification de mot de passe postrieure l'activation de la stratgie est enregistre dans l'historique du mot de passe de l'utilisateur. Les modifications de mot de passe antrieures l'activation de cette stratgie ne sont ni conserves, ni utilises pour interdire la rutilisation de mots de passe.

2


35

Important : l'historique du mot de passe est enregistr utilisateur par utilisateur. Si vous rinitialisez les donnes d'un utilisateur, son historique de mot de passe est supprim et l'historique ne peut pas tre appliqu pour les mots de passe supprims.

Historique des mots de passe Le nouveau mot de passe doit tre diffrent du prcdent Slectionnez cette option pour exiger un nouveau mot de passe en cas d'expiration du mot de passe de l'utilisateur. Si vous le souhaitez, vous pouvez empcher les utilisateurs de rutiliser jusqu' 24 mots de passe dj utiliss dans votre environnement Password Manager.

Expiration du mot de passeRemarque : l'option d'expiration de mot de passe envoie une notification aux utilisateurs indiquant uniquement qu'un mot de passe est parvenu ou va parvenir expiration. Vos utilisateurs peuvent se servir d'informations expires, mais voient s'afficher des rappels ou des demandes de modification de mot de passe jusqu'au changement effectif dans le Gestionnaire d'informations d'identification. Les dfinitions d'application vous permettent galement d'excuter un script lorsque des mots de passe expirent. Vous pouvez galement utiliser la fonction d'avertissement d'expiration de mot de passe intgre Password Manager. Les paramtres d'expiration de mot de passe de Password Manager ne dpendent d'aucuns paramtres d'expiration de mot de passe intgrs aux applications logicielles. Utiliser les paramtres d'expiration de mot de passe associs aux dfinitions d'application Slectionnez cette option pour spcifier les paramtres d'expiration de mot de passe. Ils sont associs la dfinition d'application laquelle s'applique la stratgie de mot de passe. Vous pouvez choisir le dlai (en jours) d'expiration du mot de passe actuel et le nombre de jours pendant lesquels l'utilisateur est averti de l'imminence de l'expiration de son mot de passe.

Test de la stratgie de mot de passeCette page vous permet de tester vos stratgies avant de les mettre en uvre dans votre environnement. Elle permet de garantir qu'elles fonctionneront comme prvu et que vos utilisateurs disposeront d'un choix raisonnable de mots de passe.

36


Dans la page Test de la stratgie de mot de passe, vous pouvez : cliquer sur Test pour tester manuellement un mot de passe ; cliquer sur Gnrer pour que Password Manager cre un mot de passe compatible avec la stratgie de mot de passe ; cliquer sur Gnrer plusieurs mots de passe pour que Password Manager cre une liste de mots de passe conformes aux paramtres dfinis pour cette stratgie de mots de passe.

Prfrences d'authentificationCette page vous permet de dterminer les paramtres de l'agent relatifs la soumission des informations d'identification et aux erreurs d'ouverture de session. Autoriser l'utilisateur rvler le mot de passe pour les applications Slectionnez cette option pour autoriser les utilisateurs voir dans la configuration de l'utilisateur le mot de passe associ aux applications. Cette option dtermine si le bouton Rvler apparat dans le Gestionnaire d'informations d'identification. Remarque : pour autoriser les utilisateurs voir leurs mots de passe d'application, vous devez galement activer l'option Autoriser les utilisateurs rvler tous les mots de passe dans le Gestionnaire d'informations d'identification dans la configuration de l'utilisateur associe cette stratgie de mot de passe. Veuillez consulter la section Configuration de l'interaction de l'Agent , page 102. Obliger l'utilisateur s'authentifier nouveau avant de soumettre les informations d'identification pour une application Slectionnez cette option pour demander aux utilisateurs de saisir leurs informations d'identification principales avant soumission par l'agent Password Manager de celles destines l'application. Ce paramtre est utile pour les applications accdant des informations confidentielles ou sensibles car il oblige les utilisateurs confirmer leurs informations d'identification. Nombre de nouvelles tentatives d'ouverture de session Ce rglage vous permet de limiter le nombre de fois que l'Agent peut soumettre les informations d'identification une application ou une ressource. Si vous rglez la valeur 0, un message d'erreur s'affiche ds la seconde tentative de soumission des informations d'identification.

2


37

Dlai limite pour les nouvelles tentatives Prcisez la dure (en secondes) pendant laquelle l'Agent est autoris continuer de soumettre les informations d'identification aprs la soumission initiale de l'application ou la ressource. Le rglage Nombre de nouvelles tentatives d'ouverture de session dtermine le nombre maximal de tentatives d'ouvertures de session pendant cette priode.

Personnalisation de l'assistant de modification de mot de passeCette page vous permet de personnaliser le comportement de l'assistant de modification de mot de passe, qui dmarre lorsque les utilisateurs doivent changer de mot de passe. Cet assistant rpond des formulaires de modification des mots de passe et peut guider les utilisateurs dans le processus de modification de mot de passe. Vous pouvez choisir parmi les options suivantes : Permettre aux utilisateurs de choisir un mot de passe gnr par le systme ou de crer leur propre mot de passe Autoriser les utilisateurs crer leur propre mot de passe seulement Lorsque vous slectionnez cette option, l'assistant de modification de mot de passe demande aux utilisateurs de taper un nouveau mot de passe. Autoriser les utilisateurs choisir un mot de passe gnr par le systme seulement Lorsque vous slectionnez cette option, l'assistant de modification de mot de passe n'autorise pas les utilisateurs taper un nouveau mot de passe, il utilise automatiquement un mot de passe gnr par le systme. Gnrer un mot de passe et le soumettre l'application sans afficher l'assistant de modification de mot de passe Lorsque vous slectionnez cette option, l'assistant soumet automatiquement un mot de passe gnr par le systme. Les utilisateurs peuvent voir les champs du formulaire de modification de mot de passe renseigns automatiquement et les rponses de l'application, indiquant si le mot de passe a pu tre modifi ou non.

38


Augmentation de la force des mots de passe et renforcement de la scurit dans votre environnementEn tant qu'administrateur Password Manager, vous pouvez contribuer augmenter la force des mots de passe des utilisateurs en les contrlant par le biais de stratgies de mot de passe rationnelles. Comme toujours, vous tes le seul pouvoir tablir un quilibre entre des mots de passe puissants et la convivialit pour tous les utilisateurs de votre entreprise. Tenez compte des lments suivants. Utilisez le module d'habilitation pour prdfinir les mots de passe des utilisateurs. Dans ce cas, les utilisateurs n'ont pas besoin de connatre les mots de passe, ce qui vite qu'ils les rvlent par inadvertance. Cette technique ncessite une grande coordination entre la configuration de l'utilisateur et la stratgie de mot de passe qui y est associe. Demandez aux utilisateurs de modifier leurs mots de passe intervalles rguliers. N'autorisez pas les mots de passe vides. N'autorisez pas les utilisateurs rvler leurs mots de passe. Assurez-vous que les mots de passe ne sont pas rutiliss ou rpts. N'autorisez pas l'utilisation de noms d'utilisateur ou d'application dans le mot de passe. Obligez les utilisateurs ayant accs des informations confidentielles ou sensibles utiliser des mots de passe plus forts ou plus complexes. Regroupez ces utilisateurs dans des configurations d'utilisateurs contenant ces applications.

3

Utilisation et gestion des dfinitions d'application

L'Agent Citrix Password Manager reconnat et rpond aux applications selon des paramtres dfinis dans les dfinitions d'application. Les dfinitions d'application contiennent des formulaires qui permettent l'Agent d'analyser chaque application au moment de son lancement, de reconnatre certaines des caractristiques qui l'identifient et de dterminer si elle requiert que l'Agent effectue des actions spcifiques, par exemple : soumettre des informations d'identification de l'utilisateur dans une invite d'authentification ; traiter une interface d'informations d'identification changeante ; traiter l'interface de confirmation des informations d'identification.

Les dfinitions d'application consistent en des ensembles de caractristiques d'actions et de reconnaissance de formulaire d'informations d'identification appels dfinitions de formulaires. Elles comprennent galement un groupe d'options de configuration qui s'applique tous les formulaires d'une mme configuration. Les paramtres de la dfinition de formulaire sont configurs pour reconnatre quel moment une application requiert des informations d'identification et dfinissent les actions qui doivent tre effectues pour traiter ces informations d'identification. Une dfinition d'application est l'ensemble de tous les formulaires de gestion des informations d'identification associs une mme application. Bien que la plupart des applications et leurs dfinitions utilisent seulement deux formulaires pour grer les informations d'identification des utilisateurs, une dfinition d'application peut contenir autant de formulaires qu'une application le requiert pour grer les informations d'identification.

40


Password Manager prend en charge un grand nombre d'applications, y compris des applications de type Windows, Web et hte. Il fonctionne avec des applications Java, des solutions SAP ainsi que des applications hberges sur un ordinateur central (mainframe), un systme AS/400 ou un serveur UNIX. Pour permettre de simplifier le processus de dfinition d'application, le site Web de Citrix (http://www.citrix.com/passwordmanager/gettingstarted) vous permet d'importer un grand nombre de modles de dfinitions d'application prdfinis dans Password Manager. Ce site sert d'change interactif permettant aux consultants Citrix, ingnieurs des ventes, intgrateurs de systmes et administrateurs de Password Manager de partager des dfinitions d'application. Le partage des dfinitions d'application facilite la mise en uvre des dfinitions d'application autorisant l'authentification unique. Il est recommand aux administrateurs de toujours utiliser si possible les modles de dfinitions d'application prdfinis pour la cration de dfinitions d'application appropries pour leur environnement. Pour la cration de dfinitions d'application qui n'ont pas de modles prdfinis, l'interface de cration de dfinitions d'application comprend un assistant de dfinition d'application qui vous permet de configurer les caractristiques de tous les formulaires inclus dans une dfinition. Elle comprend galement un assistant de dfinition de formulaire contenant des procdures dtailles pour permettre aux administrateurs de dfinir la prise en charge des applications de type Windows, Web et hte.

password manager administrators guide

Documents

cls et

scurit et

marques ou

et sunos sont

marques etou

copyright et

macrovision et flexlm

aux tatsunis et dans