Comment intégrer RSA SecurID à mon compte LastPass Business ?

La version officielle de ce contenu est en anglais. Une partie du contenu de la documentation GoTo a été traduit automatiquement pour en faciliter l’accès. GoTo n’a aucun contrôle sur le contenu traduit automatiquement, qui peut contenir des erreurs, des inexactitudes ou des termes inappropriés. Aucune garantie n’est émise, expresse ou implicite, quant à l’exactitude, la fiabilité, l’adéquation ou la justesse de toute traduction de l’original anglais vers toute autre langue, et GoTo ne peut pas être tenu responsable de tout dommage ou problème lié l’utilisation que vous faites de ce contenu traduit automatiquement ou de la confiance que vous pourriez accorder à ce contenu.

Comment intégrer RSA SecurID à mon compte LastPass Business ?

LastPass Business prend en charge l’intégration avec RSA SecurID, qui permet à vos utilisateurs d’utiliser RSA SecurID comme second facteur d’authentification lorsqu’ils se connectent à LastPass.

Remarque : Les étapes décrites ci-dessous doivent être effectuées par un administrateur de l’outil d’intégration et de LastPass Business.

Limitations et compatibilité

Fonctionnalités de RSA Authentication Manager	Pris en charge dans LastPass Business ?
Authentification RSA SecurID via le protocole UDP RSA SecurID natif	Non
Authentification RSA SecurID via le protocole TCP RSA SecurID natif	Non
Authentification RSA SecurID via le protocole RADIUS	Oui
Authentification RSA SecurID via le protocole IPv6	Non
Authentification à la demande via le protocole UDP SecurID natif	Non
Authentification à la demande via le protocole TCP SecurID natif	Non
Authentification basée sur le risque	Non
Prise en charge des réplicas de RSA Authentification Manager	Oui
Prise en charge du serveur RADIUS secondaire	Oui
Automatisation des jetons logiciels RSA SecurID	Non
Automatisation des jetons RSA SecurID SD800	Non
Protection de l’interface d’administration RSA SecurID	Non

Conditions préalables à l’installation

Avant de commencer, assurez-vous que les éléments suivants sont en place :

Compte RSA SecurID
Compte LastPass Business

Étape 1 : Configurer un client RADIUS et obtenir les informations d’intégration de RSA SecurID

LastPass Business prend en charge l’authentification RSA SecurID via RADIUS, ce qui vous permet de définir RSA SecurID comme une option d’authentification multifacteur pour vos utilisateurs. Pour cela, vous devez d’abord configurer un client RADIUS dans RSA Authentication Manager et obtenir certaines informations sur RSA SecurID.

Ajoutez un enregistrement d’agent hôte à la base de données RSA Authentication Manager. Définissez le type d’agent sur « Agent standard » lors de l’ajout de l’agent d’authentification.
Ceci est nécessaire pour faciliter la communication entre LastPass Business et RSA Authentication Manager / RSA SecurID Appliance. L’enregistrement d’agent hôte identifie LastPass Business et contient des informations sur la communication et le chiffrement.
Créez un client RADIUS qui correspond à l’enregistrement de l’agent hôte dans RSA Authentication Manager. Suivez les instructions pour configurer un client RADIUS.

Ceci est nécessaire car LastPass communiquera avec RSA Authentication Manager via RADIUS.

Les clients RADIUS sont gérés en utilisant la console de sécurité RSA.

Les informations suivantes sont requises pour créer un client RADIUS :
- Nom d’hôte
- Adresses IP pour les interfaces réseau
- Radius Secret
Remarque : Le nom d’hôte du client RADIUS doit être résolu dans l’adresse IP spécifiée.

De fait que le RSA Authentication Manager ne vous permet pas de préciser plusieurs adresses IP pour un client RADIUS, nous recommandons d’utiliser l’option « TOUT client » et d’utiliser un pare-feu séparé pour restreindre les connexions aux adresses IP nécessaires. Si vous utilisez l’option « TOUT client », vous devez aussi modifier le fichier securid.ini et passer CheckUserAllowedByClient de 1 à 0. Ce client RADIUS doit être accessible depuis toutes les adresses IP de serveurs LastPass.
Les administrateurs de RSA Authentication Manager doivent configurer des enregistrements d’agent hôte et/ou des clients RADIUS pour chaque serveur LastPass Business.

Ceci est nécessaire car LastPass Business utilise une architecture distribuée qui englobe de nombreux serveurs configurés de manière similaire.

Plusieurs méthodes différentes peuvent être appliquées, nécessitant des efforts administratifs divers. Ces possibilités sont :
- Configurer un enregistrement d’agent hôte et le client RADIUS correspondant pour chaque serveur LastPass Business.
- Configurer un enregistrement d’agent hôte correspondant pour chaque serveur LastPass Business avec un client RADIUS partagé.
- Configurer un client RADIUS partagé qui n’utilise pas d’enregistrement d’agent hôte (modification globale).
Remarque : Reportez-vous au Guide de l’administrateur de RSA Authentication Manager pour plus d’informations sur la configuration des clients RADIUS partagés.
Copiez les valeurs suivantes et enregistrez-les dans un éditeur de texte :
- Adresses IP des serveurs RADIUS
  Remarque : Séparez les adresses IP par des virgules, ajoutez « :port » si ce n’est pas 1812 (par ex. 216.162.248.81,216.162.248.82:1645)
- Secret partagé RADIUS
- Délai d’attente RADIUS (secondes)
- Messages d’échec

Étape 2: Configurer RSA SecurID par l'intégration Radius dans LastPass Business

Afin de définir RSA SecurID comme option d’authentification multifacteur pour vos utilisateurs, après avoir configuré un client RADIUS, vous devez configurer l’intégration de RSA SecurID dans LastPass Business lui-même.

Connectez-vous et accédez à la console d’administration à l’adresse https://lastpass.com/company/#!/dashboard.
Accédez à Options avancées > Options Business > Options multifacteur > RSA SecurID/RADIUS.
Saisissez les informations suivantes que vous avez obtenues à l’Étape 1 ci-dessus :
- Adresses IP des serveurs RADIUS
  Remarque : Séparez les adresses IP par des virgules, ajoutez « :port » si ce n’est pas 1812 (par ex. 216.162.248.81,216.162.248.82:1645)
- Secret partagé RADIUS
- Délai d’attente RADIUS (secondes)
- Messages d’échec
RADIUS permet aussi de prendre en charge d’autres options d’authentification multifacteur en dehors de RDA SecurID (par exemple SafeNet). Pour personnaliser le nom et les logos que voient vos utilisateurs, procédez comme suit :
- Saisissez un « Nom du service »
- Logo mis à jour 1 (124x124 PNG)
- Logo mis à jour 2 (190x42 PNG)
Cliquez sur Mettre à jour lorsque vous avez terminé.

Étape 3 : activez RSA SecurID comme option multifacteur

Avant que vos utilisateurs puissent configurer RSA SecurID de leur côté comme une couche de sécurité supplémentaire pour protéger leur compte LastPass, vous devez activer RSA SecurID comme option d’authentification multifacteur dans LastPass Business.

Depuis la Console d’administration, accédez à Options avancées > Options Business > Options multifacteur.
Sous Options multifacteur activées, activez le commutateur pour l’option RSA SecurID/RADIUS.

Étape 4 : Ajouter et configurer une stratégie d’authentification multifacteur

Avec LastPass Business, vous pouvez laisser la décision de l’authentification multifacteur à vos utilisateurs finaux ou vous pouvez imposer son utilisation à l’aide de nos stratégies de sécurité configurables. Ajoutez une stratégie pour exiger de vos utilisateurs qu’ils utilisent une solution d’authentification multifacteur.

Dans la Console d’administration, accédez à Paramètres > Stratégies dans le volet de navigation.
Cliquez sur Ajouter une stratégie.
Sous Multifacteur, sélectionnez Exiger l’utilisation d’une option multifacteur.
Sélectionnez la liste des utilisateurs auxquels vous souhaitez appliquer la stratégie.
Entrez des notes d’informations supplémentaires sur cette stratégie (facultatif).
Cliquez sur Enregistrer lorsque vous avez terminé.

Que faire ensuite : Pensez à ajouter la stratégie Autoriser les utilisateurs à ignorer l’authentification multifacteur aux emplacements de confiance. Cette stratégie permet de limiter les ordinateurs de confiance d’après leur adresse IP. Vous pouvez activer cette stratégie pour autoriser les utilisateurs à ignorer le deuxième facteur d’authentification depuis les sites de confiance (comme le bureau), tout en l’exigeant à partir de lieux distants.

Étape 5 : Conseillez à vos utilisateurs de configurer l’authentification multifacteur RSA SecurID

Une fois que vous avez terminé les opérations ci-dessus, vos utilisateurs peuvent configurer et activer l’authentification multifacteur RSA SecurID pour leur compte LastPass Business.

Note importante concernant la suppression des utilisateurs activés avec RSA SecurID/RADIUS

L’intégration RSA SecurID/RADIUS est associée à votre compte LastPass Business. Si vous supprimez des utilisateurs du compte de votre entreprise sans avoir préalablement désactivé RSA SecurID/RADIUS comme option d’authentification multifacteur, ces utilisateurs risquent d’être bloqués dans leur compte LastPass (s’il est converti en compte LastPass Free) une fois supprimé. Pour cette raison, nous recommandons de désactiver RSA SecurID/RADIUS pour les utilisateurs que vous prévoyez de supprimer.

Accédez à https://lastpass.com/company/#!/dashboard et connectez-vous pour accéder à la console d’administration.
Sélectionnez Utilisateurs dans le volet de navigation.
Cochez les cases en regard des utilisateurs souhaités.

Conseil : pour trier par utilisateurs ayant RSA SecurID/RADIUS activé, cliquez sur la ligne d’en-tête de la colonne Multifacteur pour le tableau des utilisateurs.
Sélectionnez Plus d’actions > Désactiver l’authentification multifacteur pour les utilisateurs sélectionnés.
Cliquez sur OK pour confirmer.

Résultat: Vous avez désactivé RSA SecurID/RADIUS pour vos utilisateurs sélectionnés et vous pouvez maintenant en toute sécurité retirer ces utilisateurs de votre compte d'entreprise sans risque de blocage (si leurs comptes sont convertis en LastPass Comptes gratuits).