Skip to main content

Documentation technique Olfeo SaaS

Agent de poste

Incompatibilité avec macOS Sequoia

En raison de changements profonds et non-documentés par Apple de la gestion de la pile réseau dans macOS Sequoia, la compatibilité de l'Agent de poste Olfeo SaaS n'est plus assurée.

Nous travaillons à rétablir la compatibilité dès que possible.

#2.6.5
Agent de poste 2.6.5 - Février 2024
Quoi de neuf ?

Cette nouvelle version inclut des correctifs mineurs et prépare la connectivité avec des infrastructures plus distribuées, ainsi-que l'usage d'un nouveau certificat pour signer l'installeur (MSI).

Si vous disposez de procédures d'installation et de déploiement automatisées (exemple: par GPO), il est recommandé de les modifier en utilisant la dernière version de l'installeur téléchargeable depuis l'interface d'administration (en savoir plus).

#2.6
Agent de poste 2.6 - Novembre 2023

Cette version apporte de nombreux correctifs améliorant sa stabilité et le confort d’usage pour vos utilisateurs.

Quoi de neuf ?
Support du multi-session utilisateurs sur MacOS

Le multi-session est désormais disponible sur MacOS en version 2.6.

Quoi de mieux ?
Amélioration des diagnostics embarqués

La fonction de diagnostics embarqués s’enrichit de nouveau dans la 2.6. Elle supporte maintenant le multi-session et inclut :

  • La date future d’expiration du jeton d’authentification

  • Le statut du proxy local (activé / désactivé)

Le diagnostic embarqué indiquait parfois l’erreur « Failed to resolve DNS » de manière erronée à cause d’un problème de cache. Cela a été corrigé.

Amélioration du mécanisme de mise à jour automatique

Le téléchargement automatique de la dernière version de l’agent était impossible pour les connexions à faible bande passante. Cela était dû à un timeout trop court, nous avons augmenté sa durée.

Correction des réauthentifications prématurées

Le jeton d’authentification était parfois supprimé à tort, ce qui entrainait des réauthentifications prématurées. Cela a été corrigé.

#2.5
Agent de poste 2.5 - Septembre 2023
Quoi de neuf ?
La fonctionnalité du multi-session fait son arrivée !

Vous avez été nombreux à nous le demander : l’Agent de poste permet à présent à plusieurs utilisateurs distincts d’utiliser le service Olfeo SaaS sur un même poste, chacun bénéficiant alors de son contexte de filtrage et d’une journalisation individualisée.

Ainsi si Bob ouvre une session avec ses identifiants sur le poste d’Alice, lorsqu’il voudra se connecter à Internet, il devra s’authentifier sur Olfeo SaaS et sera protégé avec les politiques s’appliquant à son contexte et son historique de navigation sera bien journalisé dans Olfeo SaaS avec son identifiant (et non plus avec ceux d’Alice).

Attention

Cette fonctionnalité n’est disponible pour l’instant que pour les postes sous Windows. Le multi sessions sous MacOS sera supporté dans une version prochaine.

Rappel : lorsqu’un agent est installé sur un poste Windows, la connexion au service Olfeo SaaS se fait dans son navigateur. Chaque utilisateur d’une session Windows est amené à se connecter puis naviguer. Cette navigation passe par la solution Olfeo SaaS en utilisant les règles correspondantes à chaque utilisateur et les journaux de navigation sont historisés par utilisateur. Une autre fonction joliment enrichie !

La désactivation de l’Agent de poste

Dans certains cas de figure, vous pouvez être amenés à souhaiter « désactiver » l’Agent de poste sans pour autant le désinstaller, il est maintenant possible de désactiver et de réactiver l’Agent de poste sans devoir le désinstaller.

Pour limiter son usage à tort, cette fonctionnalité n’est utilisable qu’avec des droits d’administration sur le poste et n’est disponible qu’en ligne de commande.

Les commandes suivantes ont été ajoutées à l’Agent de poste :

  • « proxy status » permet de connaitre l’état de l’Agent

  • « proxy disable » permet de désactiver un Agent actif en supprimant les paramètres de forçage automatique du proxypac dans les préférences Réseau

  • « proxy enable » permet d’activer un Agent désactivé en réinstaurant et maintenant forcé le paramètre du proxypac dans les préférences Réseau avec la valeur qui était celle lors de l’installation de l’Agent de poste.

Exemple:

PS C:\Windows\system32> cd C:\"Program files"\trustlane
PS C:\Program files\trustlane> .\trustlane_authentication_agent.exe proxy status
Proxy is : enabled
PS C:\Program files\trustlane> .\trustlane_authentication_agent.exe proxy disable
INFO : 2023/09/05 21:13:29.220512 logger.go:57: [2.5.3]: UnSetProxyParameter
PS C:\Program files\trustlane> .\trustlane_authentication_agent.exe proxy status
Proxy is : disabled
PS C:\Program files\trustlane> .\trustlane_authentication_agent.exe proxy enable
INFO : 2023/09/06 07:59:03.398111 proxy_parametrize_windows.go:32: [2.5.3]: SetProxyParameter PAC: https://storage.gra.cloud.ovh.net/v1/AUTH_d988-some-random-string-here-c264/preprod-pub/e97d s0m3-rand0m-str1ng-here-90/2.pac 
PS C:\Program files\trustlane> .\trustlane_authentication_agent.exe proxy status
Proxy is : enabled

Rappel : par défaut l’Agent de poste est localisé dans le système aux chemins suivants :

  • Windows : C:\Program Files\trustlane\authentication_agent_windows_amd64.exe

  • MacOS : /usr/local/bin/trustlane_authentication_agent

Limite connue

Lorsqu'il est désactivé, ce statut particulier ne se reflète pas encore dans l'icône du systray de l'Agent de poste - ainsi le systray peut indiquer que l'Agent de poste est connecté au service alors même que le proxy local est désactivé ! Ce cas particulier sera supporté dans une prochaine version.

Quoi de mieux ?
Les diagnostics embarqués s'enrichissent !

Améliorée en 2.3, la fonction de diagnostics embarqués s’enrichit de nouveau dans la 2.5 incluant maintenant la date du diagnostic et quelques améliorations graphiques mineures.

Amélioration de la résilience en cas de non connexion à l’IDP

La communication avec l’IDP n’est désormais plus vérifiée pour les tests de continuité de service. Jusqu’à présent, lors de la vérification de la disponibilité de la plateforme, l’Agent de poste suivait les redirections jusqu’à atteindre l’IDP. En cas d’indisponibilité de l’IDP cela provoquait à tort la désactivation de la proxyfication et masquait un problème d’authentification.

#2.3
Agent de poste 2.3.1 - Juillet 2023
Quoi de neuf ?
Les diagnostics embarqués s'enrichissent !

Introduite en 2.2, la fonction de diagnostics embarqués s'améliorer dans la 2.3 (et ce n'est pas fini !).

Dans cette version, le look'n feel des résultats s'est nettement amélioré et adopte à présent l'identité visuelle d'Olfeo SaaS.

embeed_diags_results_all_ok_rlnt-231.png

Les informations sur le jeton d'authentification sont également affichées : sa date d'émission et -le cas échéant- sa date de dernière invalidation et le motif d'invalidation, pour vous permettre de mieux appréhender les remontées de vos utilisateurs. Plus d'informations à ce sujet par ici.

Quoi de mieux ?
Amélioration de la résilience en cas de perte du keyring

Dans certains cas spécifiques, l'Agent ne peut plus accéder normalement aux informations d'authentification contenues dans le keyring (effacement par un logiciel tiers, manipulation ou altération par l'utilisateur ou un programme...).

Dans ce cas, l'Agent n'est plus bloqué et redirigera automatiquement l'utilisateur sur la mire d'authentification de votre IDP pour obtenir un nouveau jeton valide, sans qu'une réinstallation soit nécessaire.

Poursuite de la mise à l'image

La mise à l'image vers notre nouvelle identité se poursuit : au survol de l'icône de l'Agent dans le systray (ou barre des programmes sous MacOS), l'infobulle affiche désormais "Agent d'authentification Olfeo SaaS"

NB : le nom technique de l'Agent lui-même (i.e le service windows) reste pour l'instant avec notre ancienne dénomination "TrustLane"

# 2.2
Agent de poste - Juin 2023

En complément des fonctionnalités listées ci-dessous, cette release améliore la résilience générale de l'Agent, apporte de nombreux correctifs (fonctionnels comme de sécurité) et est vivement recommandée pour tous les nouveaux utilisateurs.

NB : Pour tous les utilisateurs installés, cette version devrait se déployer automatiquement.

Quoi de neuf ?
Les diagnostics embarqués arrivent dans l'Agent de poste !

Une nouvelle fonctionnalité fait son apparition dans le systray de l'Agent de poste : les diagnostics embarqués !

launch_embedded-diagnostics_windows_rlnt-224.png

Cette fonction, à destination des administrateurs, permet (dans cette première version) de lancer une série de diagnostics propre au fonctionnement de l'Agent pour tester la connectivité de bout en bout de l'Agent au service Olfeo SaaS et permettre d'isoler les causes d'une absence d'accès à internet sur un poste où l'Agent est installé.

Au lancement d'un diagnostic l'Agent va tester la présence de fichiers clés (configuration, certificats), tester l'accessibilité interne du routeur et du proxy sur le poste, puis tester la connectivité TCP avec deux mires publiques (pour valider l'absence de portail captif ou de restrictions firewall par ex.) et enfin tester la connectivité au service Olfeo SaaS lui-même.

embeed_diags_results_all_ok_rlnt-224.png

Des évolutions seront régulièrement apportées dans les mois qui viennent à cette fonctionnalité pour vous permettre de comprendre les problèmes d'accès à internet de vos utilisateurs protégés par Olfeo SaaS.

Retrouvez tous les détails de cet outil de diagnostics embarqués dans la documentation de l'Agent de poste (profondément remaniée d'ailleurs, si vous avez des remarques, nous sommes à votre écoute !).

L'Agent de poste prend les couleurs d'Olfeo SaaS !

La transition vers notre nouvelle identité se poursuit : l'icône de l'Agent de poste évolue pour adopter un format similaire au favicon du produit (la modification du nom du service interviendra dans une prochaine mise à jour).

L'icône du systray s'adapte au thème (sombre ou clair) de votre OS et gère à présent les statuts avec des niveaux de transparence distincts selon que l'Agent dispose de crédences pour se connecter au service distant ou non.

Quoi de mieux ?
Amélioration de la résilience de l'Agent

Une refonte en profondeur des mécanismes de résilience de l'Agent de poste a été entrepris ces derniers mois pour améliorer son comportement lorsqu'un ou plusieurs services sont inaccessibles ou lorsque des fichiers nécessaires à son fonctionnement sont indisponibles ou inexploitables.

Mises à jour de sécurité

La version de go a été mise à jour vers la 1.20.1

Problème(s) connu(s)
Perte du statut de connexion dans le systray

Dans certains cas de figures rares, le statut de connexion peut ne plus s'afficher dans l’interface du systray. Notez que cela n’a pas d’effet sur l'authentification de vos utilisateurs sur Olfeo SaaS, non plus que sur le service Windows de l’Agent lui-même.

#2.0.8
Agent de poste - Mars 2023

Cette version améliore la stabilité de la connexion, apporte de nombreux correctifs (fonctionnels comme de sécurité) et est vivement recommandée pour tous les nouveaux utilisateurs.

NB : Pour tous les utilisateurs installés, cette version devrait se déployer automatiquement.

Quoi de mieux ?
Améliorations du comportement de l’Agent en cas de perte de communication avec le cloud

En cas de perte de connexion avec la plateforme TrustLane, l’Agent ne supprime plus les jetons d’accès automatiquement mais retente régulièrement de se reconnecter.

Pour votre utilisateur, cela se traduit par une présentation moins fréquente de la page d’authentification de votre IDP.

Amélioration de la gestion des groupes de l’utilisateur

Les évènements sur les groupes sont mieux gérés et se traduisent par moins de réauthentifications (apparition de la page Successful authentication).

Amélioration de la gestion de l’expiration des jetons

A l’expiration des jetons d’accès, l’Agent de poste retente plus intelligemment l’authentification en cas d’échec, en particulier si les requêtes émanent d’un client/application exécuté en tâche de fond.

Amélioration du fonctionnement du systray.

Le systray (composant de l’Agent de poste qui permet à votre utilisateur d’interagir avec l’Agent) a été réécrit pour permettre une meilleure évolutivité à l’avenir et améliore la communication entre le service principal et le systray.

Ainsi le systray :

  • se lance directement à l’installation, sans temporisation

  • reflète mieux le statut de connexion à la plateforme

  • ne « disparaît » plus lors des mises à jour*

  • disparaît bien suite à la désinstallation de l’Agent

  • et sa stabilité globale est largement améliorée.

* il peut encore apparaître « en double », un survol du systray avec la souris permet à Windows de rafraîchir l’affichage.

L’Agent gère mieux les requêtes POST nécessitant une (ré)’authentification

Dans le cas (rare) où ce soit une requête utilisant la méthode POST qui nécessite une (ré)authentification, l’Agent redirigera proprement la requête (Redirect 303).

Installeur

Lorsqu’on tente d’installer (via le msi sous Windows) une version antérieure de l’Agent à celle déjà installée, un message explicite est désormais affiché.

Améliorations de sécurité

Diverses corrections mineures ont été apportées pour corriger quelques défauts mineurs de sécurité.

Problème(s) connu(s)
Absence de statut de connexion dans le systray

Dans certains cas de figures rares, si le systray est amené à redémarrer, il peut ne pas afficher de statut de connexion dans l’interface. Notez que cela n’a pas d’effet sur le service de l’Agent lui-même.

Portails captifs

Dans certains cas de connexion à internet en passant par un portail captif, il se peut que l’Agent mette plus longtemps que prévu à se reconnecter à la plateforme. La navigation internet n’est pas interrompue mais la navigation se fait momentanément en direct sans passer par la plateforme.

# 2.0.1
Agent de poste - Septembre 2022
Quoi de neuf ?
Installeurs et installation de l'Agent

La version de l’Agent de poste figure désormais dans le nom du fichier d’installation !

L’Agent respecte à présent les préconisations des éditeurs d’OS quant à l’emplacement des fichiers de configuration et des binaires exécutables. Lors de l’installation, il n’est plus possible de modifier le répertoire d’installation de l’Agent de poste (celui-ci ne pouvait et n’était de toute façon pas être pris en compte pour un bon fonctionnement de l’Agent).

Suite à l’installation, les différents composants sont installés comme suit :

  • Widows

    • Les binaires (l’Agent lui-même et le systray) sont installés dans C:\Program Files\trustlane

    • Les fichiers de configuration sont installés dans C:\ProgramData\trustlane

    • Une copie est faite également dans le répertoire système pour permettre une désinstallation « propre » depuis Paramètres > Applications

  • MacOS

    • Les binaires sont installés dans /usr/local/bin

    • Les fichiers de configuration sont installés dans ~/Library/

Systray

On a largement amélioré la communication interne entre l’Agent de poste et son systray pour mieux refléter les informations de l’Agent de poste à l’utilisateur ; ainsi la version affichée est désormais celle de l’Agent de poste lui-même et cela nous ouvre surtout la voie à des améliorations futures !

Quoi de mieux ?
Amélioration de la protection lors de certains changements d’états particuliers.

Dans certains cas d’usage, (notamment en cas de connexion à un réseau différent en sortie de veille, veille prolongée sur une période longue…), l’Agent de poste estimait à tort que la plateforme TrustLane était injoignable et laissait sortir le trafic en direct.

On a donc largement amélioré le comportement de l’Agent de poste aux changements d’état du poste de l’utilisateur (sortie de veille, redémarrages etc.) pour que le cas échéant, la vérification de la disponibilité du service se fasse plus rapidement (10s)  (bugId #OC-3222).

Support du blocage sur des destinations non-déchiffrées

L’Agent supporte à présent le blocage de destinations exclues du déchiffrement, que l’utilisateur essaye d’y accéder en http comme en HTTPS

Utilisateur "bloqué" sur Successful Authentification

L’agent tolère dorénavant mieux les petits décalages d’horloge sur le poste client lors de l’authentification et permet de régler certains problèmes particuliers de navigateurs bloqués sur la page de confirmation d'authentification (bugId #OC-3260 et #OC-2998)

Comportement du systray

[MacOS]  On a corrigé un problème qui empêchait parfois le systray d’apparaître dans la barre des tâches de MacOS ou d’apparaitre en « double

Note Importante

Danger

Si vous disposez de postes sur lesquels une version antérieure (1.0.8) est installée, ce paragraphe vous concerne.

Des changements portant notamment sur l'emplacement des exécutables et sur leurs modalités de communication, font que la montée de version transparente (qui est habituellement la norme) ne peut s'appliquer proprement sur cette version.

Exceptionnellement, cette version nécessite donc que vous désinstalliez la version précédente et que vous installiez ensuite cette version.

# 1.0.8
Agent de poste - Juin 2022
Quoi de mieux ?

Gestion de la continuité de service

On améliore le mécanisme de détection de l’Agent pour définir si le service de filtrage distant est indisponible (bugId #OC-3060).

Si l’Agent détecte que le service est indisponible, il teste beaucoup plus fréquemment son retour en ligne pour rétablir la connexion au service de filtrage.

Connexion au service de filtrage suite à l'installation

On a amélioré le processus de connexion au service distant suite à l’installation de l’Agent (bugId #OC-3048).

Améliorations générales

La stabilité et la fiabilité générale de l’Agent ont été améliorées.

# 1.0.6
Agent de poste - Janvier 2022
Quoi de mieux ?
Signature des exécutables

Les exécutables sont dorénavant signés avec des certificats valides.

ATTENTION : le certificat actuel est valide mais il peut déclencher des alertes de sécurité Windows.

image2.png

Gestion de la continuité de Service

L’Agent utilise désormais un cache interne pour stocker la résolution DNS du meilleur endpoint d’accès à la plateforme et optimiser les requêtes DNS faites et l’empreinte réseau.

Icône du systray (Windows)

L'icône du systray s'affiche dorénavant systématiquement.