Configuration et utilisation du tableau de bord CyberArk

Le but de l'entrée Tableau de bord CyberArk est de fournir aux utilisateurs de Remote Desktop Manager une interface qui élimine le besoin d'utiliser Password Vault Web Access (PVWA) pour voir la liste des coffres et des informations d'identification auxquelles l'utilisateur actuellement connecté a accès. Combiné avec des scénarios sans mot de passe et/ou notre riche contrôle d'accès basé sur les rôles (RBAC), cela signifie qu'un utilisateur n'a PAS besoin de connaître les informations d'identification CyberArk pour se voir présenter une liste de comptes auxquels ils ont accès. De plus, étant donné que le tableau de bord est conçu pour s'authentifier une fois sur votre serveur et, surtout, maintenir une session active tant qu'elle est active, il a l'avantage significatif de ne nécessiter une MFA qu'une seule fois lors du lancement du tableau de bord.

Un autre principe de conception du tableau de bord est que son principal modèle d'utilisation consiste à passer par le CyberArk Privileged Session Manager (PSM) pour atteindre les actifs. Cela signifie que Remote Desktop Manager n'a PAS besoin de lire le mot de passe pour le compte à utiliser. Des modèles moins sécurisés sont disponibles pour prendre en charge d'anciens scénarios que certains de nos clients utilisent encore.

Configuration

  1. Créer une nouvelle entrée CyberArk Dashboard ou aller dans les Propriétés de votre entrée existante.
  2. Dans la section Général, spécifiez un Nom et un Dossier pour votre entrée si cela n'est pas déjà fait.
    Propriétés du tableau de bord CyberArk – Général – Nom et Dossier
    Propriétés du tableau de bord CyberArk – Général – Nom et Dossier

Onglet Général

  1. Entrer l'URL des services Web pour se connecter à votre instance CyberArk. C'est l'adresse du serveur et devrait ressembler à "https://..loc/".

    General Tab
    General Tab

    Voici à quoi votre URL des services Web ressemblera, selon votre abonnement CyberArk :

    • SelfHosted : URL courte

    • PrivilegeCloud: URL courte si l'URL ne se termine pas par "cyberark.cloud"

    • PrivilegeCloud : /privilegecloud si l'URL se termine par "cyberark.cloud"

  2. Entrer un Répertoire virtuel. Ce champ est soit /privilegecloud soit vide.

  3. Sélectionner une Version dans la liste déroulante. Cela se réfère à la version CyberArk PVWA vue sur la page d'authentification CyberArk.

    Veuillez noter que nous supportons uniquement l'API CyberArk V12 pour le moment et que la version 12.1 de CyberArk est requise.

  4. Sélectionner le mode d'authentification utilisé pour se connecter à l'instance CyberArk (CyberArk, Windows, LDAP, RADIUS, ou SAML).

L'authentification SAML est supportée avec CyberArk depuis la version 2022.3.25 de Remote Desktop Manager, mais d'importantes améliorations et corrections de bugs ont été réalisées dans les versions ultérieures. Nous recommandons de mettre à jour au moins à la version 2023.1 de Remote Desktop Manager si votre version actuelle est antérieure. Une des améliorations dans la version 2023.1 est que vous n'avez plus besoin de fournir l'URL de connexion IdP lors de la configuration de votre authentification SAML. Si vous rencontrez des problèmes avec votre authentification SAML, consulter Configuration et dépannage SAML. L'authentification SAML pour CyberArk Privilege Cloud nécessite Remote Desktop Manager 2023.2.17 ou plus récent.

Votre administrateur de coffre-fort CyberArk devrait vous fournir le modèle d'authentification utilisé, mais si, dans le PVWA, vous cliquez sur un lien qui correspond au nom de domaine de votre entreprise, cela indique que le modèle LDAP est utilisé.

  1. Dans la liste déroulante des identifiants d'authentification, sélectionner Personnalisé pour entrer vos identifiants ci-dessous ou les sélectionner via un mécanisme de Remote Desktop Manager. Cette liste n'est pas disponible avec le mode d'authentification SAML.

    Comme pour toutes les entrées de tableau de bord dans Remote Desktop Manager, si vous créez une entrée qui sera visible par plusieurs utilisateurs, nous recommandons de choisir Paramètres de mon compte PVWA, puis de visiter Fichier Paramètres de mon compte CyberArk PVWA pour entrer vos informations d'identification personnelles CyberArk.

  2. Suivre cette étape si vous avez sélectionné Personnalisé dans la liste des identifiants d'authentification. Sinon, passer à la section Onglet avancé.

    1. Entrer votre Nom d'utilisateur et votre Mot de passe dans les champs correspondants. Utiliser le Générateur de mot de passe pour vous aider à créer un mot de passe sécurisé.
    2. Cochez la case Demander toujours le mot de passe pour être invité à entrer votre mot de passe chaque fois que vous vous connectez.
    3. Si vous avez un code RSA SecurID, cocher la case Ajouter le code RSA SecurID au mot de passe, puis sélectionner ci-dessous la source RSA SecurID.

Onglet avancé

Général

  1. L'option d'Actualisation automatique est activée par défaut. Elle maintient la connexion à votre environnement CyberArk et élimine la nécessité de saisir des informations d'identification A2F à chaque connexion. Il est recommandé de la laisser activée.

    Advanced Tab – General
    Advanced Tab – General

  2. Cochez Ouvrir les sessions à l'extérieur si vous ne souhaitez pas que vos sessions s'ouvrent en mode intégré dans Remote Desktop Manager. Cela est surtout utile pour les applications qui ne supportent que l'ouverture externe, telles que PSM-Putty (PSM-SSH) et de nombreux autres composants de connexion PSM. Il est nécessaire de se connecter aux applications distantes en utilisant des connexions PVWA.

    Pour la plupart des composants de connexion nécessitant l'ouverture d'une application sur PSM, l'option Ouvrir à l'extérieur doit être activée. Cela est dû à une limitation de l'ActiveX RDP que nous utilisons, qui ne prend pas en charge le mode RDP RemoteApp. Cependant, cette limitation peut être atténuée en définissant un paramètre de composant de connexion dans CyberArk. Ce paramètre s'appelle DisableRemoteApp et doit être défini sur Oui. Pour plus d'informations, voir la page de documentation de CyberArk sur le sujet.

  3. Vérifier Autoriser la connexion à l'hôte si vous souhaitez autoriser une connexion directe à la machine distante, ce qui signifie que l'utilisateur actuellement connecté doit avoir le droit de voir le mot de passe ; cela est donc moins sécurisé et n'est pas recommandé par l'équipe de CyberArk.

  4. Cocher Demander une raison si vous devez avoir une raison pour établir une connexion.

  5. Vérifier Demander un numéro de billet si vous devez fournir un numéro de billet pour établir une connexion selon votre configuration CyberArk. Le champ système de billetterie associé à cette option est une valeur chaîne qui a du sens dans votre environnement. Il est informatif et nous l'envoyons avec le numéro.

  6. La Sauvegarde Par Défaut charge vos Coffres-forts. Vous pouvez également cocher la case Charger les favoris par défaut pour charger vos coffres-forts favoris.

  7. Définir le format de nom d'utilisateur par défaut pour pouvoir se connecter à la machine distante. Ce format peut également être modifié dans le tableau de bord pour les connexions ponctuelles, mais ce sera le format par défaut pour cette instance de tableau de bord.

  8. Sélectionner la méthode de recherche de domaine dans la liste déroulante.

  9. La liste déroulante du champ Domaine est uniquement pertinente lorsque le format de nom d'utilisateur est réglé sur la valeur Champ. En fonction de la configuration de votre coffre-fort, il peut y avoir divers champs CyberArk utilisés pour contenir l'information de domaine. Choisir la valeur qui correspond à votre configuration de coffre-fort.

PVWA

  1. L'option Autoriser les connexions directes (PVWA) est activée par défaut et est la méthode recommandée. Elle permet exactement la même action que le bouton Connecter offre dans PVWA.

    Advanced Tab – PVWA
    Advanced Tab – PVWA

  2. Dans la zone Composants de connexion, entrer les composants que vous souhaitez utiliser pour vos connexions. Nous initialisons le champ avec les composants par défaut d'une installation de CyberArk standard, mais cette liste DOIT correspondre aux composants configurés dans votre coffre-fort.

  3. Depuis la version 2023.2.24 de Remote Desktop Manager, une nouvelle fonctionnalité appelée Remplacer les paramètres RDP est disponible. Par défaut, les paramètres RDP sont récupérés de CyberArk PVWA lors de la génération de la session PSM. Cette nouvelle option vous permet d'ignorer les paramètres fournis par CyberArk et d'appliquer ceux spécifiés dans l'entrée du Tableau de bord CyberArk à la place. Cette substitution concerne toutes les sessions PSM établies à partir de ce tableau de bord pour avoir des paramètres d'affichage différents. On peut envisager de créer différentes instances de l'entrée du tableau de bord pour refléter les préférences de différents utilisateurs.

    Override RDP Settings
    Override RDP Settings

    Les versions de Remote Desktop Manager et Devolutions Server doivent être au moins 2023.2.28 et 2023.2.8 pour que Remplacer les paramètres RDP fonctionne.

PSM

  1. L'option Autoriser la connexion en utilisant PSM (shell alternatif) est désactivée par défaut. L'activer si vous souhaitez autoriser les connexions via PSM, mais en utilisant la méthode héritée de fourniture d'un shell alternatif.
    Advanced Tab – PSM
    Onglet avancé - PSM

Activer la politique suivante pour n'autoriser que Cyberark PSM connect.

%Root%\SOFTWARE\Policies\Devolutions\RemoteDesktopManager\DisableCyberArkPasswordRetrieval

Voici les restrictions liées à PSM :

PSM Alternate Shell PSM /u  /a  /c  restrictions
  • Un utilisateur doit se connecter au serveur PSM via RDP et obtenir l'autorisation de le faire.
  • PSM doit être capable de lier le compte LDAP avec un profil PVWA de CyberArk (pourrait fonctionner avec un SAML Azure AD lorsque LDAP est cloné sur Azure AD)
  • Le compte à utiliser doit être trouvé sans ambiguïté dans le coffre CyberArk.

Ceci est fourni comme une commodité et n'est pas recommandé par l'équipe CyberArk. Il a certaines limitations par rapport à l'action Se connecter depuis PVWA qui utilise un jeton de durée de vie limitée. Vous devez avoir une entrée de serveur PSM configurée dans le même coffre. Sélectionnez-la dans la liste déroulante du serveur PSM.

Utiliser le tableau de bord

Veuillez noter que pour des raisons de clarté, cette section fournira uniquement des informations sur le modèle d'utilisation principal de la connexion via le PSM.

Interface utilisateur

CyberArk Dashboard User Interface
CyberArk Dashboard User Interface

  1. Le menu Actions permet de:
    • Se connecter ou se déconnecter du tableau de bord.
    • Se connecter à un hôte en utilisant les identifiants sélectionnés.
    • Actualiser le contenu du coffre.
    • Ajouter un coffre à vos favoris.
  2. Le menu en haut permet de:
    • Sélectionner un coffre avec lequel se connecter.
    • Sélectionner le Format du nom d'utilisateur.
    • Autoriser ou interdire à la session de S'ouvrir en externe (non intégré dans Remote Desktop Manager).
    • Actualiser le contenu du coffre.
    • Activer ou désactiver le Rafraîchissement automatique. Si désactivé, les connexions PSM peuvent nécessiter une AMF à chaque connexion.
  3. La zone de contenu permet de voir et d'interagir avec les comptes au sein d'un coffre ou d'un groupe. Vous pouvez voir le Compte, son Adresse, sa Plateforme, et le Coffre dans lequel il est situé.

Sélectionner un coffre

Avec le sélecteur de coffre, parcourir vos coffres et sélectionner celui que vous souhaitez utiliser.

Safe Selector
Safe Selector

  1. La partie supérieure de la liste déroulante contient un sous-ensemble des coffres auxquels vous avez accès. Vous pouvez également voir et gérer la liste des coffres exclus dans Fichier – Paramètres – Types – CyberArk.
  2. Favoris affichera les comptes qui ont été marqués comme favoris, mais depuis Remote Desktop Manager. Ce n'est pas une fonctionnalité CyberArk.
  3. Afficher tout listera tous les comptes auxquels l'utilisateur a accès. Pour certains utilisateurs, ce sera une liste importante et ne sera pas une opération rapide. Elle est fournie pour les utilisateurs qui ont accès à une liste finie de comptes.
  4. Parcourir... affichera le dialogue de sélection de coffre-fort, où il y a pagination et filtrage pour aider l'utilisateur à localiser le coffre-fort pertinent. Encore une fois, ils sont listés par défaut dans l'ordre reçu de CyberArk.

Ci-dessous un aperçu de la page Sélectionner un coffre CyberArk qui apparaît après avoir sélectionné Parcourir... dans le sélecteur de coffre.

CyberArk Select Safe
CyberArk Select Safe

Dans cette vue, si vous sélectionnez un coffre et cliquez sur OK, vous pourrez alors voir les comptes de ce coffre.

Accounts View
Accounts View

Connexion à un hôte

Après avoir sélectionné le compte que vous souhaitez utiliser, vous pouvez soit utiliser le bouton Connecter dans le menu Actions, soit faire un clic droit et sélectionner le composant de connexion approprié.

Connect to an Account
Connect to an Account

Dans les deux cas, vous verrez alors une boîte de dialogue qui vous permet de spécifier l'hôte auquel vous souhaitez vous connecter.

Sélectionner un hôte

CyberArk Select Host
CyberArk Select Host

  1. Champ Hôte
    • Si le champ d'accès distant CyberArk est utilisé dans les propriétés du compte, les points de terminaison qui ont été entrés seront listés dans ce champ. Cela permet des connexions même pour des actifs qui ne sont pas gérés dans Remote Desktop Manager.
    • Si le champ d'accès distant CyberArk n'est pas utilisé, vous pouvez taper n'importe quel nom dans le contrôle pour vous connecter à celui-ci. Veuillez noter que la résolution de nom est effectuée au niveau PSM. Par conséquent, veuillez respecter les normes de votre installation CyberArk pour réussir.
  2. Champ de filtrage : Taper des caractères correspondant au nom d'un actif pour appliquer un filtre dans la grille ci-dessous.
  3. La grille affichera des entrées qui représentent un système hôte. Par conséquent, se connecter à celui qui représente le point de terminaison auquel vous devez vous connecter.

Utilisation du Volet de Navigation de Remote Desktop Manager pour établir des connexions

Après avoir sélectionné le compte dans le tableau de bord CyberArk, vous pouvez également utiliser le Volet de navigation pour sélectionner un hôte en cliquant droit sur une entrée et en naviguant vers le menu Connecter via.

Connect using
Connect using

Le menu peut être contourné en autorisant une action double-clic lorsqu'il n'y a qu'une seule combinaison possible de compte/passerelle/composant.

Vous pouvez utiliser un script PowerShell d'édition par lot pour permettre une action de double-clic au lieu de sélectionner l'option décrite dans les étapes ci-dessous.

$connection.ConnectUsingDashboardOnDoubleClick = "True";
$RDM.Save();
  1. Sélectionner une entrée et aller à PropriétésAvancé.

  2. Aller à Connecter à l'aide du tableau de bord en double-cliquant et cliquer sur Oui.

    Properties – Advanced
    Properties – Advanced

    La même option peut être trouvée dans Fichier Paramètres Types.

    File – Settings – Types
    File – Settings – Types

  3. Cliquer sur OK pour enregistrer et fermer la fenêtre.

Le double-clic ouvrira désormais automatiquement le Tableau de bord.

Devolutions Forum logo Donnez-nous vos commentaires