Configuration et utilisation du tableau de bord CyberArk

Le but de l'entrée Tableau de bord CyberArk est de fournir aux utilisateurs de Remote Desktop Manager une interface qui élimine le besoin d'utiliser Password Vault Web Access (PVWA) pour voir la liste des coffres et des informations d'identification auxquelles l'utilisateur actuellement connecté a accès. Combiné avec des scénarios sans mot de passe et/ou notre riche contrôle d'accès basé sur les rôles (RBAC), cela signifie qu'un utilisateur n'a PAS besoin de connaître les informations d'identification CyberArk pour se voir présenter une liste de comptes auxquels il a accès. De plus, étant donné que le tableau de bord est conçu pour s'authentifier une fois sur votre serveur et, surtout, maintenir une session active aussi longtemps qu'elle est active, il présente l'avantage significatif de ne nécessiter qu'une AMF une fois lors du lancement du tableau de bord.

Un autre principe de conception du tableau de bord est que son principal modèle d'utilisation consiste à passer par le CyberArk Privileged Session Manager (PSM) pour atteindre les actifs. Cela signifie que Remote Desktop Manager n'a PAS besoin de lire le mot de passe pour le compte à utiliser. Des modèles moins sécurisés sont disponibles pour prendre en charge d'anciens scénarios que certains de nos clients utilisent encore.

Configuration

1. Créer une nouvelle entrée de Tableau de bord CyberArk ou aller sur les Propriétés de votre entrée existante.

2. Dans la section Général, spécifier un Nom et un Dossier pour votre entrée si cela n'est pas déjà fait.

General tab

3. Entrer l'URL des services Web pour se connecter à votre instance CyberArk. C'est l'adresse du serveur et elle doit ressembler à "https://..loc/".

   Voici ce que sera votre URL des services Web, selon votre abonnement CyberArk :

   • SelfHosted : URL courte

   • PrivilegeCloud : URL courte si l'URL ne se termine pas par « cyberark.cloud »

   • PrivilegeCloud : /privilegecloud si l'URL se termine par « cyberark.cloud »

4. Entrer un Répertoire virtuel. Ce champ est soit /privilegecloud soit vide.

5. Sélectionner une Version dans la liste déroulante. Cela fait référence à la version PVWA de CyberArk vue sur la page d'authentification CyberArk.

   Veuillez noter que nous supportons uniquement l'API CyberArk V12 pour le moment et que la version 12.1 de CyberArk est requise.

6. Sélectionner le Mode d'authentification utilisé pour se connecter à l'instance CyberArk (CyberArk, Windows, LDAP, RADIUS, ou SAML).

   L'authentification SAML est prise en charge avec CyberArk depuis la version 2022.3.25 de Remote Desktop Manager, mais d'importantes améliorations et corrections de bugs ont été mises en œuvre dans les versions ultérieures. Recommander de mettre à jour au moins à la version 2023.1 de Remote Desktop Manager si votre version actuelle est plus ancienne. Une des améliorations de la version 2023.1 est que vous n'avez plus besoin de fournir l'URL de connexion IdP lors de la configuration de votre authentification SAML. Si vous rencontrez des problèmes avec votre authentification SAML, consulter Configuration et résolution des problèmes SAML. L'authentification SAML pour CyberArk Privilege Cloud nécessite Remote Desktop Manager 2023.2.17 ou une version plus récente.

   Votre administrateur de coffre-fort CyberArk devrait vous fournir le modèle d'authentification utilisé, mais si, dans le PVWA, vous cliquez sur un lien qui correspond au nom de domaine de votre entreprise, cela indique que le modèle LDAP est utilisé.

7. Dans la liste déroulante des Informations d'authentification, sélectionner Personnalisé pour entrer vos informations d'identification ci-dessous ou les sélectionner en utilisant un mécanisme de Remote Desktop Manager. Cette liste n'est pas disponible avec le mode d'authentification SAML.

   Comme pour toutes les entrées de tableau de bord dans Remote Desktop Manager, si vous créez une entrée qui sera visible par plusieurs utilisateurs, nous recommandons de choisir Mes paramètres de compte PVWA, puis de visiter Fichier – Mes paramètres de compte – CyberArk PVWA pour entrer vos identifiants CyberArk personnels.

8. Suivre cette étape si vous avez sélectionné Personnalisé dans la liste Informations d'identification d'authentification. Sinon, passer à la section Onglet Avancé.

   1. Enter your Username and Password in the corresponding fields. Use the Password generator to help you create a secure password.
   2. Check the Always ask password box to be prompted for your password each time you connect.
   3. If you have a RSA SecurID code, check the Append RSA SecurID code to password box, then select below the RSA SecurID source.

Advanced tab

General

9. L'option Auto refresh est activée par défaut. Elle maintient la connexion à votre environnement CyberArk et supprime la nécessité d'entrer les informations d'identification A2F à chaque connexion. Il est recommandé de la laisser activée.

10. Cochez Ouvrir les sessions en externe si vous ne voulez pas que vos sessions s'ouvrent en mode intégré dans Remote Desktop Manager. Ceci est principalement utile pour les applications qui ne prennent en charge que l'ouverture en externe, telles que PSM-Putty (PSM-SSH) et de nombreux autres composants de connexion PSM. Il est nécessaire de se connecter à des applications à distance en utilisant des connexions PVWA.

    Pour la plupart des composants de connexion nécessitant l'ouverture d'une application sur PSM, l'option Ouvrir à l'extérieur doit être activée. Cela est dû à une limitation du ActiveX RDP que nous utilisons, qui ne prend pas en charge le mode RemoteApp RDP. Cependant, cette limitation peut être atténuée en définissant un paramètre de composant de connexion dans CyberArk. Ce paramètre est appelé DisableRemoteApp et doit être défini sur Oui. Pour plus d'informations, consulter la documentation de CyberArk.

11. Cochez Autoriser la connexion à l'hôte si vous souhaitez autoriser une connexion directe à la machine distante, c'est-à-dire que l'utilisateur actuellement connecté doit avoir le droit de visualiser le mot de passe; il est donc moins sûr et n'est pas recommandé par l'équipe de CyberArk.

12. Cocher Demander la raison si vous êtes tenu de fournir une raison pour établir une connexion.

13. Cocher Demander un numéro de billet si vous êtes tenu de fournir un numéro de billet pour établir une connexion selon votre configuration CyberArk. Le champ Système de billetterie qui accompagne cette option est une valeur de chaîne qui fait sens dans votre environnement. Elle est informative et nous l'envoyons avec le numéro.

14. Le Sauvegarde par défaut charge vos coffres. Vous pouvez également cocher la case Charger par défaut les favoris pour charger vos coffres favoris.

15. Définir le Format du nom d'utilisateur par défaut pour pouvoir se connecter à la machine à distance. Changer également cela dans le tableau de bord pour les connexions ad hoc, mais cela sera le format par défaut pour cette instance du tableau de bord.

16. Sélectionner la Méthode de recherche de domaine dans la liste déroulante.

17. La liste déroulante du Champ du domaine est uniquement pertinente lorsque le Format de nom d'utilisateur est réglé sur la valeur Champ. Selon la configuration de votre coffre, il peut y avoir divers champs CyberArk utilisés pour contenir l'information de domaine. Choisir la valeur qui correspond aux paramètres de votre coffre.

PVWA

18. L'option Autoriser les connexions directes (PVWA) est activée par défaut et est la méthode recommandée. Elle permet exactement la même action que le bouton Connecter offre dans PVWA.

19. Dans la boîte Composants de connexion, entrer les composants que vous souhaitez utiliser pour vos connexions. Nous initialisons le champ avec les composants par défaut d'une installation standard de CyberArk, mais cette liste DOIT correspondre aux composants configurés dans votre coffre.

20. Depuis la version 2023.2.24 de Remote Desktop Manager, il existe une nouvelle fonctionnalité appelée Remplacer les paramètres RDP. Par défaut, les paramètres RDP sont récupérés à partir de CyberArk PVWA lors de la génération de la session PSM. Cette nouvelle option permet d'ignorer les paramètres fournis par CyberArk et d'appliquer ceux spécifiés dans l'entrée du Tableau de bord CyberArk. Cette substitution est pour toutes les sessions PSM établies à partir de ce tableau de bord pour avoir des paramètres d'affichage différents. Considérer créer différentes instances de l'entrée du tableau de bord pour refléter les préférences des différents utilisateurs.

    Les versions de Remote Desktop Manager et de Devolutions Server doivent être au moins 2023.2.28 et 2023.2.8 pour que Override RDP Settings fonctionne.

PSM

21. The Allow connect using PSM (alternate shell) option is disabled by default. Enable it if you want to allow connections via PSM, but using the legacy method of providing an alternate shell.

%Root%\SOFTWARE\Policies\Devolutions\RemoteDesktopManager\DisableCyberArkPasswordRetrieval

Voici les restrictions liées à PSM :

PSM Alternate Shell PSM /u <account to use> /a <endpoint> /c <component> restrictions

• Un utilisateur doit se connecter au serveur PSM via RDP et obtenir l'autorisation de le faire.

• PSM doit pouvoir lier le compte LDAP avec un profil CyberArk PVWA (pourrait fonctionner avec un SAML Entra ID lorsque LDAP est cloné sur Entra ID)

• Le compte à utiliser doit être trouvé sans aucune ambiguïté dans le coffre CyberArk.

Using the Dashboard

User interface

1. Le menu Actions permet de :

   • Se connecter ou se déconnecter du tableau de bord.

   • Se connecter à un hôte en utilisant les identifiants sélectionnés.

   • Actualiser le contenu du coffre.

   • Ajouter un coffre à vos favoris.

2. Le menu supérieur permet de :

   • Sélectionner un coffre auquel se connecter.

   • Sélectionner le Format du nom d'utilisateur.

   • Autoriser ou interdire la session à Ouvrir en externe (non intégrée dans Remote Desktop Manager).

   • Actualiser le contenu du coffre.

   • Activer ou désactiver l'Auto refresh. Si désactivé, les connexions PSM peuvent nécessiter une AMF à chaque connexion.

3. La zone de contenu vous permet de voir et d'interagir avec les comptes à l'intérieur d'un coffre ou d'un groupe. Vous pouvez voir le Compte, son Adresse, sa Plateforme, et le Coffre où il se trouve.

Selecting a safe

Avec le sélecteur de coffre, parcourir vos coffres et sélectionner celui que vous souhaitez utiliser.

1. La partie supérieure de la liste déroulante contient un sous-ensemble des coffres auxquels on a accès. Vous pouvez également voir et gérer la liste des coffres exclus dans Fichier – Paramètres – Types – CyberArk.

2. Les Favoris afficheront les comptes marqués comme favoris, mais depuis Remote Desktop Manager. Ce n'est pas une fonctionnalité CyberArk.

3. Tout afficher listera tous les comptes auxquels l'utilisateur a accès. Pour certains utilisateurs, cette liste sera considérable et ne sera pas une opération rapide. Elle est fournie pour les utilisateurs ayant accès à une liste finie de comptes.

4. Parcourir... affichera la boîte de dialogue de sélection sécurisée, où il y a pagination et filtrage pour aider l'utilisateur à localiser la sécurité pertinente. Encore une fois, elles sont listées par défaut dans l'ordre reçu de CyberArk.

Ci-dessous se trouve un aperçu de la page CyberArk Sélectionner un coffre qui apparaît après avoir sélectionné Parcourir... dans le sélecteur de coffre.

Dans cette vue, si vous sélectionnez un coffre et cliquez sur OK, vous pourrez alors voir les comptes de ce coffre.

Connecting to a host

Après avoir sélectionné le compte que vous souhaitez utiliser, vous pouvez soit utiliser le bouton Connecter dans le menu Actions, soit cliquer avec le bouton droit et sélectionner le composant de connexion approprié.

Dans les deux cas, vous verrez alors une boîte de dialogue qui vous permet de spécifier l'hôte auquel vous souhaitez vous connecter.

Selecting a host

1. Champ Hôte

   • Si le champ d'accès à distance CyberArk est utilisé dans les propriétés du compte, les points de terminaison qui ont été saisis seront listés dans ce champ. Cela permet des connexions même pour les actifs qui ne sont pas gérés dans Remote Desktop Manager.

   • Si le champ d'accès à distance CyberArk Remote n'est pas utilisé, taper n'importe quel nom dans le contrôle pour s'y connecter. Veuillez noter que la résolution de noms est effectuée au niveau PSM. Par conséquent, respecter les normes de votre installation CyberArk pour réussir.

2. Champ de filtrage : Taper des caractères correspondant au nom d'un actif pour appliquer un filtre dans la grille ci-dessous.

3. La grille affichera des entrées qui représentent un système hôte. Par conséquent, se connecter à celui qui représente le point de terminaison auquel vous devez vous connecter.

Using the Remote Desktop Manager Navigation pane to establish connections

Après avoir sélectionné le compte dans le Tableau de bord CyberArk, utiliser également le Volet de navigation pour sélectionner un hôte en cliquant avec le bouton droit sur une entrée et en naviguant vers le menu Se connecter en utilisant.

Le menu peut être contourné en autorisant une action double-clic lorsqu'il n'y a qu'une seule combinaison possible de compte/passerelle/composant.

$connection.ConnectUsingDashboardOnDoubleClick = "True";
$RDM.Save();

1. Sélectionner une entrée et aller à Propriétés – Avancé.

2. Aller à Se connecter en utilisant le tableau de bord en double clic et cliquer sur Oui.

   La même option peut être trouvée dans Fichier – Paramètres – Types.

   

3. Cliquer sur OK pour enregistrer et fermer la fenêtre.

Double-cliquer ouvrira maintenant automatiquement le Tableau de bord.

See also

• Devolutions Blog – Spotlight on: CyberArk Dashboard in RDM