La boîte de dialogue vous affiche les sources d’authentification passive que vous avez déjà configurées.

Si nécessaire, vous pouvez configurer ISE à partir de cette boîte de dialogue. Si vous n’avez pas encore configuré d’objet ISE, vous pouvez cliquer sur le lien Integrate ISE (intégrer ISE) et le créer maintenant. Si l’objet existe, il est répertorié avec son état : Enabled (activé) ou Disabled (désactivé).

Vous devez avoir configuré au moins une source d’identité passive pour créer des règles d’authentification passive.

Lorsqu'une règle d'identité requiert une authentification active pour un utilisateur, l'utilisateur est redirigé vers le port portail captif, puis il est invité à s'authentifier. Avant de configurer ces paramètres, lisez Bonnes pratiques pour Active Authentication (Authentification active).

• Server Certificate (certificat de serveur) : Sélectionnez le certificat interne à présenter aux utilisateurs lors de l'authentification active. Si vous n’avez pas encore créé le certificat requis, cliquez sur Create New Internal Certificate (créer un nouveau certificat interne) dans la partie inférieure de la liste déroulante.

  Les utilisateurs devront accepter le certificat si vous ne téléchargez pas un certificat déjà réputé fiable pour leurs navigateurs.

• Redirect to Host Name (rediriger vers le nom d'hôte) : sélectionnez l’objet réseau qui définit le nom d’hôte pleinement qualifié de l’interface devant être utilisée comme portail captif pour les demandes d’authentification active. Cliquez sur Create New Network (créer un nouveau réseau) si l’objet n’existe pas.

  Le nom de domaine complet doit mener à l’adresse IP de l’une des interfaces du périphérique. En utilisant un nom de domaine complet, vous pouvez attribuer un certificat pour l’authentification active que le client reconnaîtra, évitant ainsi que les utilisateurs reçoivent un avertissement de certificat non fiable lorsqu’ils sont redirigés vers une adresse IP. Le certificat peut préciser un nom de domaine complet, un nom de domaine complet générique ou plusieurs noms de domaine complets sous les autres noms de l’objet (SAN) du certificat.

  Si une règle d’identité requiert une authentification active pour un utilisateur, mais que vous ne précisez pas de nom de domaine complet de redirection, l’utilisateur sera redirigé vers le port du portail captif de l’interface de connexion.

• Port : le port du portail captif. La valeur par défaut est 885 (TCP). Si vous configurez un autre port, il doit être compris entre 1025 et 65535.

  Remarque

  Si vous ne pouvez pas fournir un nom de domaine complet Redirect to Host Name (Redirection vers le nom d'hôte), les méthodes d’authentification HTTP de base, la page de réponse HTTP et NTLM redirigent l’utilisateur vers le portail captif en utilisant l’adresse IP de l’interface. Toutefois, pour la négociation HTTP, l’utilisateur est redirigé à l’aide du nom DNS complet firewall-hostname.AD-domain-name . Si vous souhaitez utiliser la négociation HTTP sans nom de domaine complet de redirection vers l’hôte (Redirect to Host Name), vous devez également mettre à jour votre serveur DNS pour mapper ce nom avec les adresses IP de toutes les interfaces internes pour lesquelles une authentification active est requise. Sinon, la redirection ne peut pas être terminée et les utilisateurs ne peuvent pas s’authentifier. Nous vous recommandons de toujours fournir un nom de domaine complet de redirection vers le nom d’hôte (Redirect to Host Name) pour assurer un comportement cohérent, quelle que soit la méthode d’authentification.

Vous pouvez utiliser le certificat NGFW-Default-InternalCA prédéfini ou celui que vous avez créé ou téléversé. Si le certificat n'existe pas encore, cliquez sur Create Internal CA (créer une autorité de certification interne) pour le créer.

Si vous n'avez pas encore installé le certificat dans les navigateurs clients, cliquez sur le bouton de téléchargement () pour en obtenir une copie. Consultez la documentation de chaque navigateur afin de savoir comment installer le certificat. Voir aussi Téléchargement du certificat d'autorité de certification pour déchiffrer les règles de nouvelle signature.

• Passive Auth (Any Identity Source) (toute source d’identité) : l’identité de l’utilisateur est déterminée à l’aide de toutes les sources d’identité passive configurées pour les connexions qui ne correspondent à aucune règle d’identité. Si vous ne configurez aucune source d’identité passive, l’utilisation de Passive Auth comme action par défaut équivaut à l’utilisation de No Auth.

• No Auth (No Authentication Required) : l’identité de l’utilisateur n’est pas déterminée pour les connexions qui ne correspondent à aucune règle d’identité.

Pour supprimer une règle dont vous n’avez plus besoin, cliquez sur l’icône de suppression () de la règle.

Les règles sont appliquées sur la base de la première correspondance, vous devez donc vous assurer que les règles comprenant des critères de correspondance de trafic très spécifiques apparaissent au-dessus des politiques qui ont des critères plus généraux, qui s’appliqueraient autrement au trafic correspondant.

La valeur par défaut consiste à ajouter la règle à la fin de la liste. Si vous souhaitez modifier l'emplacement d'une règle ultérieurement, modifiez cette option.

Vous devez sélectionner le domaine d’identité AD qui comprend les comptes d’utilisateur pour les règles d’authentification passive et active. Si le domaine n'existe pas encore, cliquez sur Create New Identity Realm (créer un nouveau domaine d’identité) pour le créer maintenant. Pour l'authentification passive, vous pouvez sélectionner une séquence de domaine AD plutôt qu'un seul objet de domaine AD.

Les utilisateurs ont trois chances de s’authentifier. Si elles échouent, votre sélection pour cette option détermine la façon dont l'utilisateur est marqué. Vous pouvez écrire des règles d’accès en fonction de ces valeurs.

• Fall Back as Guest (basculement au mode d’invité) > On (activé) Les utilisateurs sont marqués en tant qu’invité (Guest).

• Fall Back as Guest (basculement au mode d’invité) > Off (désactivé) Les utilisateurs sont marqués en tant qu’authentification échouée (Failed Authentication).

N’oubliez pas que l’authentification active sera tentée uniquement avec le trafic HTTP. Par conséquent, il n’est pas nécessaire de configurer des règles entraînant la non-authentification pour le trafic en dehors du HTTP, et il est inutile de créer des règles d’authentification active pour tout trafic en dehors du HTTP. Cependant, l’authentification passive est valide pour tout type de trafic.

Les critères Source/Destination d’une règle d’identité définissent les zones de sécurité (interfaces) par lesquelles passe le trafic, les adresses IP ou le pays ou le continent (emplacement géographique) pour l’adresse IP, ou les protocoles et les ports utilisés dans le trafic. La valeur par défaut englobe toute zone ou adresse et tout emplacement géographique, protocole et port.

Pour modifier une condition, vous cliquez sur le bouton + dans cette condition, sélectionnez l'objet ou l'élément souhaité, puis cliquez sur OK dans la boîte de dialogue contextuelle. Si le critère requiert un objet, vous pouvez cliquer sur Create New Object (créer un nouvel objet) si l’objet requis n’existe pas. Cliquez sur le x d'un objet ou d'un élément pour le supprimer de la politique.

Vous pouvez configurer les critères de correspondance de trafic suivants.

Zones source, zones de destination

Les objets de la zone de sécurité qui définissent les interfaces par lesquelles passe le trafic. Vous pouvez définir un critère, les deux critères ou aucun critère : tout critère non spécifié s’applique au trafic sur n’importe quelle interface.

• Pour faire correspondre le trafic sortant de l’appareil depuis une interface dans la zone, ajoutez cette zone aux zones de destination.

• Pour faire correspondre le trafic entrant dans l’appareil depuis une interface dans la zone, ajoutez cette zone aux zones source ( Source Zones).

• Si vous ajoutez des conditions de zone source et de zone de destination à une règle, le trafic correspondant doit provenir de l'une des zones source spécifiées et sortir par l'une des zones de destination.

Utilisez ces critères lorsque la règle doit être appliquée en fonction de l’entrée ou de la sortie du trafic sur l’appareil. Par exemple, si vous voulez vous assurer que l’information sur l’identité de l’utilisateur soit collectée à partir de tout le trafic provenant des réseaux internes, sélectionnez une zone interne comme zones source (Source Zones) tout en laissant la zone de destination vide.

Remarque

Vous ne pouvez pas combiner des zones de sécurité passives et routées dans une seule règle. En outre, vous pouvez spécifier des zones de sécurité passives comme zones source uniquement, vous ne pouvez pas les spécifier comme zones de destination.

Réseaux sources, réseaux de destination

Les objets réseau ou les emplacements géographiques qui définissent les adresses réseau ou les emplacements du trafic.

• Pour faire correspondre le trafic d’une adresse IP ou d’un emplacement géographique, configurez les réseaux sources (Source Networks).

• Pour faire correspondre le trafic à une adresse IP ou à un emplacement géographique, configurez les réseaux de destination (Source Networks).

• Si vous ajoutez des conditions de réseau source et de destination à une règle, le trafic correspondant doit provenir de l’une des adresses IP spécifiées et être destiné à l’une des adresses IP de destination.

Lorsque vous ajoutez ce critère, vous sélectionnez les onglets suivants :

• Network (réseau) : Sélectionnez les objets ou groupes réseau qui définissent les adresses IP source ou de destination du trafic que vous souhaitez contrôler.

• Geolocation (géolocalisation) : Sélectionnez l’emplacement géographique pour contrôler le trafic en fonction de son pays ou continent de source ou de destination. La sélection d’un continent sélectionne tous les pays du continent. En plus de sélectionner l’emplacement géographique directement dans la règle, vous pouvez également sélectionner un objet de géolocalisation que vous avez créé pour définir l’emplacement. En utilisant la localisation géographique, vous pouvez facilement restreindre l’accès à un pays en particulier sans avoir besoin de connaître toutes les adresses IP potentielles qui y sont utilisées.

  Remarque

  Pour vous assurer que vous utilisez des données de localisation géographique à jour pour filtrer votre trafic, Cisco vous recommande fortement de mettre à jour régulièrement la base de données de géolocalisation (GeoDB).

Ports source, ports/protocoles de destination

Les objets de port qui définissent les protocoles utilisés dans le trafic. Pour TCP/UDP, cela peut inclure les ports.

• Pour faire correspondre le trafic d'un protocole ou d'un port, configurez les ports source (Source Ports). Les ports source peuvent uniquement être TCP/UDP.

• Pour faire correspondre le trafic à un protocole ou à un port, configurez les protocoles/ports de destination (Destination Ports/Protocols).

• Pour faire correspondre le trafic provenant de ports TCP/UDP spécifiques et destiné à des ports TCP/UDP spécifiques, configurez les deux. Si vous ajoutez des ports source et de destination à une condition, vous ne pouvez ajouter que des ports partageant un seul protocole de transport, TCP ou UDP. Par exemple, vous pouvez cibler le trafic du port TCP/80 au port TCP/8080.