Service de chiffrement

Le service de chiffrement de Devolutions Hub simplifie l'accès aux Hubs en éliminant l'exigence d'inviter individuellement chaque utilisateur depuis un fournisseur SSO. Cette fonctionnalité peut être activée dans le Hub sous AdministrationAuthentificationService de chiffrement.

Les Comptes Devolutions sont toujours requis avec le Devolutions Hub, le service de chiffrement est conçu pour fournir une expérience simple et conviviale. Lorsque les utilisateurs se connectent via une authentification unique, le service crée automatiquement leur Compte Devolutions en utilisant l'information du fournisseur d'authentification unique et récupère la clé de chiffrement du service lui-même.

Si le Compte Devolutions de l'utilisateur existe déjà, le système le reconnaîtra et fournira la clé nécessaire sans nécessiter d'action supplémentaire. Pour que cela fonctionne comme prévu, vous devez configurer le service de chiffrement au sein de votre locataire.

Exigences

Les prerequis suivants sont nécessaires pour activer et configurer le service de chiffrement:

Permissions de l'identité de l'application

Créer une identité d'application et lui attribuer les permissions système suivantes :

  • Gérer les utilisateurs et les groupes d'utilisateurs

  • Gérer la configuration du système (inclut les permissions système, les paramètres système, et les listes blanches IP)

Si vous utilisez une liste blanche d'IP, l'IP du service de chiffrement doit être ajoutée en tant qu'IP autorisée. Ne pas le faire empêchera le service de communiquer avec le Hub, le rendant non fonctionnel.

Abonnement aux services Azure

Si vous configurez votre service de chiffrement à l'aide d'un modèle Azure, qui est la méthode recommandée (voir les instructions ci-dessous), vous devez avoir un abonnement aux services Azure. Si vous n'en avez pas, suivre d'abord ces instructions :

  1. Se connecter à votre compte Microsoft Azure Portal.

  2. Sélectionner Abonnements dans les services Azure. Si vous ne le voyez pas, le chercher dans la barre de recherche en haut de la page ou cliquer sur Plus de services pour afficher d'autres services. Ce service peut être trouvé dans la catégorie Services de gestion et gouvernance.

    Subscriptions
    Subscriptions
  3. Cliquer sur Ajouter puis sélectionner l'offre d'abonnement Paiement à l'utilisation.

    Pay-As-You-Go offer
    Pay-As-You-Go offer
  4. Saisir les informations requises et s'inscrire au service.

Configuration du service de chiffrement

Utiliser un modèle Azure pour configurer le service de chiffrement est la méthode recommandée car elle est plus simple et plus directe et aide à éviter les complications inutiles. Vérifier que toutes les exigences sont remplies avant de continuer et s'assurer de planifier les changements à l'avance (voir la FAQ ci-dessous).

  1. Dans Devolutions Hub Business, aller dans Administration – Authentification – Service de chiffrement et cliquer sur Générer un modèle Azure.

    Administration – Authentication – Encryption service – Generate Azure template
    Administration – Authentication – Encryption service – Generate Azure template
  2. Copier le modèle généré.

    Copy the template
    Copy the template
  3. Sur la page d'accueil du Microsoft Azure Portal, sélectionner Déployer un modèle personnalisé dans les services Azure. Si vous ne le voyez pas, le chercher dans la barre de recherche en haut de la page ou cliquer sur Plus de services pour afficher d'autres services. Ce service peut être trouvé dans la catégorie Services généraux.

    Deploy a custom template
    Deploy a custom template
  4. Cliquer sur Créer votre propre modèle dans l'éditeur.

    Build your own template in the editor
    Build your own template in the editor
  5. Coller le modèle Azure généré que vous avez obtenu de Devolutions Hub dans l'éditeur de modèle Azure, en remplaçant tout contenu préexistant dans l'éditeur.

    Paste the Azure template
    Paste the Azure template
  6. Cliquer sur Sauvegarder.

  7. Sur la page Déploiement personnalisé, configurer vos informations comme décrit ci-dessous :

    • Abonnement: Sélectionner un abonnement si aucun n'est sélectionné.

    • Groupe de ressources : Sélectionner ou créer un groupe de ressources si aucun n'est sélectionné.

    • Nom de l'application et Nom du plan d'App Service: Laisser les noms par défaut ou les modifier selon vos préférences.

    • URL du Hub : S'assurer qu'il est défini sur l'URL de votre Devolutions Hub Business.

    • Clé d'identité de l'application et Secret d'identité de l'application : entrer votre clé d'identité de l'application et le secret dans les champs correspondants. L'identité de votre application doit avoir les permissions Gérer la configuration du système et Gérer les utilisateurs et les groupes d'utilisateurs, comme indiqué dans les permissions de l'identité de l'application.

    Custom deployment configuration
    Custom deployment configuration
  8. Cliquer sur Réviser + créer.

  9. Cliquer sur Créer.

    Create the custom deployment
    Create the custom deployment
  10. Une fois le déploiement terminé, ce qui peut prendre quelques secondes, cliquer sur Aller au groupe de ressources.

    Go to resource group
    Go to resource group
  11. Sélectionner votre nouveau App Service dans la liste.

    App Service
    App Service
  12. Copier le nom de domaine par défaut donné (https://your-app-name.azurewebsites.net) ou le nom de domaine personnalisé (https://yourdomain.com) si vous avez décidé d'en créer un.

    Copy the default or custom domain
    Copy the default or custom domain
  13. Ajouter ce domaine à la liste des URI de redirection dans votre application d'entreprise. Suivre les instructions ci-dessous pour vous guider dans ce processus :

    1. Retourner à la page d'accueil du Microsoft Azure Portal et sélectionner Applications d'entreprise dans les services Azure. Si vous ne le voyez pas, cliquer sur Plus de services pour afficher d'autres services.

      Enterprise applications
      Enterprise applications
    2. Sélectionner votre application dans la liste.

    3. Dans le menu de gauche, cliquer sur Propriétés.

      Porperties of the application
      Porperties of the application
    4. Dans le texte en haut de la page, cliquer sur enregistrement d'application.

      Application registration
      Application registration
    5. Dans le menu de gauche, cliquer sur Authentification.

    6. Cliquer sur Ajouter URI et coller le domaine dans le champ URI de redirection. Ajouter /auth/callback à la fin de l'URL et s'assurer qu'il commence par https://. Le résultat final devrait ressembler à ceci : https://your-app-name.azurewebsites.net/auth/callback.

      Add URI
      Add URI
    7. Cliquer sur Sauvegarder.

  14. Dans Devolutions Hub, retourner à Administration – Authentification – Service de chiffrement et activer le service de chiffrement si ce n'est pas déjà fait.

  15. Coller votre domaine par défaut ou personnalisé dans le champ URL du Service de chiffrement, s'assurer qu'il commence par https://. Le résultat final devrait ressembler à ceci : https://your-app-name.azurewebsites.net. C'est là où le service de chiffrement écoutera les requêtes entrantes. Cette URL ou adresse IP doit seulement être accessible par les clients se connectant en utilisant le service de chiffrement.

    Paste the domain
    Paste the domain
  16. Tester la connexion. Si la connexion échoue, vérifier la validité des informations que vous avez saisies et réessayer. Si vous rencontrez toujours des problèmes de connexion, veuillez contacter nos techniciens du service d'assistance à service@devolutions.net.

Tous les utilisateurs de votre fournisseur d'authentification unique peuvent maintenant se connecter et accéder à votre Devolutions Hub automatiquement, contournant la nécessité d'invitations. Il n'est pas non plus nécessaire que les utilisateurs aient une clé privée configurée pour utiliser le Hub. Le serveur fonctionne sur une base auto-hébergée ; il joue donc un rôle vital dans l'infrastructure. Si le serveur rencontre un temps d'arrêt ou échoue à fonctionner, les utilisateurs sans clés privées rencontreront des problèmes pour se connecter au Hub.

Configuration du service de chiffrement avec les Devolutions Hub Services

Utiliser un modèle Azure pour configurer le service de chiffrement est la méthode recommandée car c'est l'approche la plus simple et directe et aide à éviter des complications inutiles. Néanmoins, si vous souhaitez utiliser la méthode suivante des Devolutions Hub Services, vérifier que toutes les conditions préalables sont remplies avant de continuer et s'assurer de planifier les modifications à l'avance (voir la FAQ ci-dessous).

  1. Télécharger les services Devolutions Hub et lancer l'installateur.

  2. Cliquer Suivant pour continuer au-delà de la page de bienvenue.

    setup wizard welcome page
    setup wizard welcome page
  3. Lire et accepter les termes de l'accord de licence, puis cliquer sur Suivant.

    Accept the terms in the License Agreement
    Accept the terms in the License Agreement
  4. Sous Configuration personnalisée, sélectionner Chiffrement, puis cliquer sur Suivant.

    Install the encryption feature
    Install the encryption feature
  5. Entrer les informations suivantes dans les champs correspondants :

    • l'Hôte, qui est l'URL de votre Devolutions Hub.

    • le secret de l'application et la clé de l'application, qui vous ont été fournis lors de la création initiale de l'identité de l'application.

  6. Cliquer sur Tester la connexion. Vous devriez recevoir un message indiquant que la connexion a réussi. Si ce n'est pas le cas, vérifier la validité des informations que vous avez saisies et réessayer. Si vous rencontrez toujours des problèmes de connexion, veuillez contacter nos techniciens du service d'assistance à service@devolutions.net.

    Test Connection
    Test Connection
  7. Cliquer sur Suivant.

  8. Entrer l'URL (HTTPS est obligatoire) et le numéro de Port où le service de chiffrement écoutera les requêtes entrantes. Assurer la configuration du port pour qu'il soit accessible.

  9. Rechercher votre Certificat et le sélectionner. Si votre certificat est protégé par un mot de passe, l'entrer dans mot de passe du certificat.

    URL, port, and certificate
    URL, port, and certificate
  10. Cliquer sur Suivant.

Lancer le processus d'installation.

Résolution de problèmes

  • Si les utilisateurs rencontrent des problèmes de connexion alors que le service de chiffrement est activé, il est possible de redémarrer l'application depuis la page du service d'application pour tenter de résoudre le problème. Si le problème persiste, essayer d'arrêter le service d'application. Cependant, sachez que les utilisateurs sans mot de passe devront en créer un et recevront une invitation pour accéder au Hub.

  • Pour accéder aux journaux, aller au Centre de Déploiement depuis la page de l'App Service en le sélectionnant dans le menu de gauche, puis naviguer vers l'onglet Journaux. Il est recommandé d'envoyer ces journaux lors de l'ouverture d'un billet de support pour obtenir de l'assistance.

Questions fréquemment posées

Q : Qu'est-ce qui est enregistré ou stocké par le service de chiffrement auto-hébergé ?

R : La paire de clés privées et publiques est générée dans le navigateur et n'est jamais sauvegardée ni stockée. Le service de chiffrement ne reçoit que la clé publique pour permettre à l'authentification de se poursuivre.

Q : Que se passerait-il avec les clés de chiffrement existantes si le service de chiffrement auto-hébergé était mis à jour via Azure AD ?

R : Redéployer récupère la dernière version du conteneur ; les clés de chiffrement ne sont sauvegardées nulle part et ne sont donc pas affectées.

Q : Le service de chiffrement peut-il être sécurisé davantage ?

R : Ajouter plus de couches de sécurité est parfaitement faisable ici. Assurez-vous que le service peut atteindre – et être atteint par –, Devolutions Hub et Devolutions Portal. Le service de chiffrement fonctionne comme une redirection dans le flux d'authentification de Devolutions Hub, permettant un provisionnement SSO automatique, déchiffrant votre clé Devolutions Hub à chaque connexion et éliminant le besoin d'invitations.

Q : Puis-je créer des services de chiffrement de secours ?

R : Des services de chiffrement supplémentaires peuvent être créés, mais un utilisateur doit pouvoir se connecter et changer l'URL dans les paramètres du service de chiffrement. Sinon, il revient à la méthode normale de déchiffrement des clés. Se déconnecter pourrait être nécessaire ici.

Q : Puis-je configurer le service de chiffrement pendant que d'autres utilisent le Hub ?

R : En principe, cela ne devrait poser aucun problème. Il est recommandé de planifier les changements de services à l'avance afin d'éviter des problèmes de configuration, dans ce cas il est préférable de désactiver la fonctionnalité en totalité pendant que l'on travaille sur une correction.

Devolutions Forum logo Donnez-nous vos commentaires