5.28. Le composant IDERI note Gateway en détails

IDERI note Gateway est un composant facultatif de la suite de produits IDERI note qui est cependant obligatoire pour l’utilisation de IDERI note mobile.

5.28.1. Responsibilités IDERI note Gateway

Comme son nom l’indique, IDERI note Gateway est un composant qui sert de facilité de transition des demandes des clients mobiles vers un environnement basé Active Directory®. Outre la transition de protocole purement technique de la communication basée sur le service Web des appareils mobiles via https depuis Internet ou un intranet vers les protocoles LAN basés sur RPC d’un environnement classique IDERI note, le IDERI note Gateway utilise également une transition de protocole en ce qui concerne l’authentification des clients. Pour commencer, au cours d’une configuration de connexion de client mobile, le IDERI note Gateway sert à l’authentification utilisateur classique avec des informations d’identification utilisateur (nom d’utilisateur, nom de domaine, mot de passe), afin de présenter un certificat X.509 au client après une authentification réussie. Le nom commun de ce certificat client individuel contient le SID de l’utilisateur ayant été authentifié, de sorte que les demandes ultérieures d’un client utilisant ce certificat peuvent être vérifiées par le IDERI note Gateway et provenir de l’utilisateur représenté par le SID. À l’aide de ces informations, le IDERI note Gateway peut désormais effectuer une transition/conversion d’authentification pour toutes les demandes de synchronisation des clients avec leurs certificats respectifs authentifiés par IDERI note Gateway, en utilisant les extensions Kerberos-S4U et la délégation contrainte (toutes deux introduites avec Windows Server 2003), afin de créer une session de connexion réseau au nom de l’utilisateur mobile sur le serveur IDERI note associé à IDERI note Gateway.

Les certificats clients qui sont présentés aux utilisateurs mobiles après une authentification réussie lors de la configuration de la connexion sur le périphérique mobile, sont valides uniquement sur le IDERI note Gateway lui-même, car ils ont été délivrés par une autorité de certification locale sur le IDERI note Gateway. En outre, les sessions de connexion réseau créées par le IDERI note Gateway sur le serveur IDERI note lors de la synchronisation du client mobile à l’aide de l’authentification par certificat, ne peut être créé que par le IDERI note Gateway à son associé serveur IDERI note et aucun autre ordinateur dans Active Directory®, grâce à la délégation contrainte qui est configurée à partir de IDERI note Gateway à un service IDERI note.

Après cette introduction conceptuelle, les paragraphes suivants donneront un aperçu de processus d’installation et de configuration IDERI note Gateway.

5.28.2. Configuration IDERI note Gateway

Pour utiliser le composant IDERI note Gateway dans un environnement productif, IDERI note Gateway doit d’abord être installé comme décrit dans le chapitre 3.9. Ensuite, l’application nommée “Configuration IDERI note Gateway” peut être lancée via le menu Démarrer.

Lorsque vous démarrez pour la première fois la configuration IDERI note Gateway, vous verrez que toutes les étapes sont marquées comme “Statut:incomplet” comme le montre la figure 5.76.

Configuration overview of the |INOTEGW| on first start

Figure 5.76: Présentation de la configuration IDERI note Gateway au premier démarrage

Suivez les étapes individuelles pour configurer le IDERI note Gateway en conséquence.

5.28.2.1. Étape 1: configurer la connexion à votre serveur IDERI note

Configurer la connexion au serveur IDERI note à l’étape 1. Spécifiez le nom de domaine complet (FQDN) et le nom NetBIOS du serveur sur lequel le service IDERI note installé et en cours d’exécution. Pour vous connecter avec succès, vous devez également définir les ports TCP pour l’interface d’administration et client du service IDERI note comme indiqué dans la figure 5.77. Si ceux-ci ne sont pas déjà configurés, vous devez les activer et les définir sur le serveur IDERI note selon le chapitre 5.21.

Connection configuration to the |INOTE| server

Figure 5.77: Configuration de la connexion à un serveur IDERI note

Pour vérifier si le serveur peut communiquer avec succès via ces ports, vous pouvez utiliser les boutons “Test” dans la boîte de dialogue de configuration.

5.28.2.2. Étape 2: configurer une autorité de certification locale (CA) pour les certificats client

Comme IDERI note mobile utilise des certificats pour identifier et authentifier les utilisateurs une autorité de certification (CA) doit être configurée qui est responsable de la signature de ces certificats. S’il existe déjà une telle autorité de certification sur le système, vous pouvez la sélectionner en choisissant le deuxième choix de figure 5.78. Il utilisera toujours le magasin de certificats local sur le système. Alternativement, une nouvelle autorité de certification peut être créée en sélectionnant le premier choix.

Selection dialog for creating or selecting the CA

Figure 5.78: Boîte de dialogue de sélection pour créer ou sélectionner l’autorité de certification

Si l’élément “Je souhaite créer une nouvelle autorité de certification auto-signée” est sélectionné, un assistant s’ouvre, ce qui conduit à la création de la nouvelle autorité de certification.

5.28.2.3. Étape 3: configuration d’un certificat à utiliser pour la sécurité de la couche de transport

S’assurer que la transmission des messages de IDERI note Gateway aux utilisateurs finaux se fait de manière sécurisée et cryptée, vous devrez configurer un certificat à l’étape 3. Comme le montre la figure 5.79, il est possible de sélectionner un certificat déjà présent dans le magasin de certificats Windows® local ou d’en créer un nouveau. Un certificat existant peut être un certificat émis par une autorité de certification publique, comme par exemple GoDaddy, Strato ou LetsEncrypt.

Dialog for creating or selecting the certificate for transport layer security

Figure 5.79:  Boîte de dialogue pour créer ou sélectionner le certificat pour la sécurité de la couche de transport

Si vous décidez de créer un nouveau certificat, vous accédez à la page de configuration de l’assistant illustré dans la figure 5.80.

Configuration page for creating a new certificate for transport layer security

Figure 5.80: Page de configuration pour la création d’un nouveau certificat pour la sécurité de la couche de transport

Veuillez noter que le “Nom commun du certificat de serveur” doit être égal à l’adresse avec laquelle les clients se connectent à IDERI note Gateway plus tard. Si les noms diffèrent, cela entraînera une erreur de certification.

5.28.2.4. Étape 4: configuration de la configuration du point de terminaison du service Web

Configurez l’adresse d’un port à l’étape 4, les clients se connecteront à IDERI note Gateway plus tard. (voir la figure 5.81) Encore une fois, veuillez noter que l’adresse doit correspondre au nom commun des certificats défini à l’étape 3.

Configuration page for the public name of the |INOTEGW|

Figure 5.81: Page de configuration pour le nom public de IDERI note Gateway

Si toutes les étapes ont été configurées avec succès, les configurations effectuées doivent être enregistrées en cliquant sur “Appliquer”. Il en résulte un message indiquant que le service IDERI note Gateway doit être redémarré, ce qui est obligatoire pour appliquer les modifications apportées.

5.28.2.5. Étape 5 (facultative): configurer la sécurité du serveur et d’autres paramètres

La page de configuration de l’étape 5 (voir la figure 5.82) contient les paramètres d’un port TCP dédié pour gérer le IDERI note Gateway à distance. Ce port vous donne la possibilité de gérer les certificats utilisateur (respectivement les connexions client) émis par le IDERI note Gateway via les certificats snap-In MMC IDERI note à partir d’un ordinateur distant.

Configuration page for the gateways common and security settings

Figure 5.82:  Page de configuration des paramètres communs et de sécurité des passerelles

En sélectionnant l’élément “Gestion des accès”, vous pouvez définir des autorisations d’accès pour le IDERI note Gateway et le comportement par défaut des nouveaux certificats. (voir la figure 5.83)

Configuration page for user permissions on the |INOTEGW|

Figure 5.83: Page de configuration des autorisations utilisateur sur le IDERI note Gateway

Vous pouvez définir ici par exemple, que les certificats d’utilisateur pour les utilisateurs d’un Active Directory® spécifique sera approuvé immédiatement et ne sera pas mis en quarantaine en premier lieu, afin que ces utilisateurs puissent recevoir instantanément des messages via leur client IDERI note mobile. De plus, il est possible de définir ici quels utilisateurs peuvent gérer les certificats d’utilisateurs par exemple, pour réactiver les certificats mis en quarantaine.

La page nommée “Authentification” (figure 5.84) contient les paramètres d’authentification.

Configuration page for the gateways authentication settings

Figure 5.84: Page de configuration des paramètres d’authentification des passerelles

Avec les paramètres de la page à onglet intitulée “Paramètres du périphérique”, illustrés dans la figure 5.85, vous pouvez contrôler le comportement de l’application sur l’appareil de l’utilisateur final. Par exemple, vous pouvez activer le mode d’accusé de réception rapide, afin que le message soit automatiquement signalé comme lu dès que l’utilisateur ouvre le message, au lieu d’avoir à acquitter le message en appuyant sur le bouton “J’ai lu le message”. De plus, vous pouvez configurer le type de notifications à afficher sur l’appareil mobile de l’utilisateur.

Configuration page for device settings

Figure 5.85: Page de configuration des paramètres de l’appareil

5.28.3. Gestion des certificats d’utilisateur émis

Pour l’activer, définissez la mise en quarantaine ou supprimez les certificats utilisateur émis par le IDERI note Gateway vous pouvez utiliser les certificats snap-In MMC IDERI note. En savoir plus sur le composant logiciel enfichable dans le chapitre 2.10.

5.28.4. Configuration de la connexion client mobile en détail

Lors du démarrage de la configuration d’une nouvelle connexion sur un appareil mobile, le certificat requis pour les opérations de synchronisation client ultérieures n’est pas encore sur l’appareil mobile. Après tout, il est de la responsabilité de la configuration de la connexion de déployer ce certificat sur le client. Le reste de ce paragraphe décrit les opérations entre l’appareil mobile et le IDERI note Gateway pendant la configuration de la connexion.

Lors de la configuration de la connexion du client mobile, l’appareil mobile génère d’abord une demande de signature de certificat (CSR) pour le certificat à obtenir à partir de IDERI note Gateway. Un sous-produit du processus de génération de CSR est la création de la clé privée pour le certificat. La clé privée ne quittera jamais l’appareil mobile et est stockée dans l’installation de stockage sécurisé de la plateforme mobile respective utilisée. En utilisant cette clé privée, il sera plus tard possible pour l’appareil mobile de prouver à IDERI note Gateway dans le cadre du processus d’authentification du certificat client pour chaque synchronisation client, qu’il s’agit bien du client qu’il prétend être. Après la création de la CSR et de la clé privée, le client mobile envoie la CSR via une interface de service Web à IDERI note Gateway et authentifie cet appel de service Web avec son informations d’identification Active Directory® (nom d’utilisateur, mot de passe, nom de domaine). Depuis une connexion SSL/TLS au IDERI note Gateway ne peut réussir que si IDERI note Gateway présente un certificat valide au client mobile qui est considéré comme fiable car il a été créé par une autorité de certification (CA) qui fait partie de la liste des autorités de certification racine du client, le client sait qu’il présente ses informations d’identification au serveur approprié. En plus du serveur authentifié auprès du client, la connexion SSL/TLS garantit également la confidentialité des informations d’identification pendant le transit. Si les pouvoirs présentés au IDERI note Gateway sont corrects, le IDERI note Gateway génère un certificat client à partir de la CSR qu’il a reçue du client mobile à l’aide de son autorité de certification locale et le renvoie au client mobile en tant que réponse à la demande de service Web. Après cela, le client mobile dispose de toutes les informations nécessaires pour démarrer sa conversation de synchronisation client avec le IDERI note Gateway. Selon que le certificat nouvellement créé est déjà activé ou toujours en quarantaine, cette opération de synchronisation lancée par le client mobile peut déjà réussir ou peut nécessiter un effort administratif pour activer le certificat client.

5.28.5. Aspects de la sécurité des communications avec les clients mobiles

Toutes les communications entre les appareils mobiles et le IDERI note Gateway est protégé par SSL/TLS, la version étant actuellement TLS 1.2. Le CSR créé par le client mobile a une taille de module RSA de 2048 bits. La clé publique des certificats clients créés par le IDERI note Gateway sont également 2048 bits et utilisent l’algorithme de hachage SHA256 avec RSA pour l’échange de signatures. Le certificat racine auto-signé pour l’autorité de certification locale et le certificat de couche de transport auto-signé facultatif utilisent la taille de clé publique configurée lors de l’exécution de leurs assistants de création de certificat.