Configurer et utiliser l'Agent de poste
À quoi sert l'Agent de poste Olfeo SaaS ?
Présentation générale de l'Agent
L'agent de poste est le point d'accès entre le poste de vos utilisateurs et la plateforme. Il doit donc être installé sur le poste de vos utilisateurs pour que ceux-ci puissent être protégés par le service Olfeo SaaS .
Les binaires ou installeurs sont téléchargeables depuis l'interface d'administration de Olfeo SaaS. Retrouvez ci-dessous les procédures d'installation détaillées.
Lorsqu'il est installé sur le poste d'un utilisateur, l'Agent agit alors comme un proxy local sur le poste et route vers la plateforme Olfeo SaaS le trafic HTTP / HTTPS de cet utilisateur ou en direct, selon les paramètres que vous avez définis. En insérant un jeton d'authentification propre à l'utilisateur, il permet aussi d'authentifier les requêtes faites par l'utilisateur pour éviter les usages non-autorisés et permettre la traçabilité de la navigation et l'application de règles de filtrages fines basées sur l'identité.
L'Agent se lance automatiquement à l'issue de l'installation et lors des redémarrages des postes. Il nécessite des droits d'administrateur pour pouvoir être installé/désinstallé.
Systèmes et navigateurs supportés pour l'Agent de poste
L'Agent de poste est disponible et validé pour :
Windows 10 - Navigateurs : Edge, Chrome (stable)
MacOS 12.5 - Navigateurs : Chrome (stable)
NB : bien que non-officiellement supportés, l'Agent tourne sous Windows 11 et sous les différentes versions de MacOS depuis la 10.14,
NB2 : pareillement, bien que non-officiellement supportés, les principaux navigateurs alternatifs (Firefox, Safari, Opéra) fonctionnent généralement très bien avec l'Agent de poste, avec parfois quelques limites liées à leurs spécificités (par ex. la procédure d'authentification ne fonctionne pas sous Safari en raison de limitations propres à la plateforme MacOS)
SI vous utilisez l'un de ces navigateurs, veillez également noter que vous devrez peut être définir des paramétrages spécifiques, notamment concernant le support des magasins de certificats d'autorités de l'OS avec Firefox par exemple.. N'hésitez pas à vous reporter à la documentation de ces navigateurs..
Installation
Les procédures d'installation sont décrites ci-dessous (voir Installer l'agent de poste).
Quelque soit le mode d'installation choisi, lors de l'installation L'Agent de poste va récupérer depuis la plateforme et installer sur le poste :
les binaires nécessaires au fonctionnement de l'Agent de poste (l'Agent lui même ainsi que son systray, le service de communication avec l'utilisateur)
les fichiers de configuration de l'Agent
les certificats d'autorité de Olfeo SaaS nécessaires pour la validation de la chaine TLS suite au déchiffrement.
Astuce
Vous n'avez donc pas besoin de déployer manuellement les certificats TLS nécessaires au déchiffrement, l'Agent s'en charge pour vous et les insère dans le magasin de certificats du système. Leur mise à jour est également prise en charge par l'Agent.
le fichier proxy.pac attaché à la configuration d'Agent de poste que vous aurez définie (voir ci-dessous Créer une configuration d'Agent de poste).
L'Agent se lance automatiquement à l'issue de l'installation et lors des redémarrages des postes. Il nécessite des droits d'administrateur pour pouvoir être installé/désinstallé.
Authentification
L'authentification fonctionne en s'appuyant sur le principe de SAML, Olfeo SaaS agissant comme un fournisseur de service (Service Provider ou SP) et reposant sur votre solution de fourniture d'identité (Identity Provider ou IDP) comme source de vérité pour l'authentification de vos utilisateurs.
Avertissement
L'Agent de poste ne supporte pas les postes partagés et le multi-session pour l'instant.
Nous travaillons à faire évoluer l'Agent en ce sens mais pour l'instant, si Alice, ayant une session d'ouverte sur son poste, laisse Bob ouvrir sa session sur le poste d'Alice, il sera filtré avec l'identifiant d'Alice.
Une fois l'Agent installé, la séquence d'authentification se déroule comme présenté sur la figure ci-dessous :
L'authentification des requêtes de l'utilisateur (une fois son identité confirmée par votre IDP) repose sur des JWT. L'Agent authentifie les requêtes via un jeton d'accès à durée de vie courte (access token) qu'il rafraîchit régulièrement (15mn) à l'aide d'un jeton de rafraîchissement à vie plus longue (refresh token). Le renouvellement de ce dernier nécessite une confirmation de l'identité par votre IDP et se fait par défaut tous les 7 jours.
Ces jetons contiennent l'identité de l'utilisateur ainsi que des éléments nécessaires à la détermination du contexte de filtrage. Ils sont signés de sorte à ce qu'une altération de leur contenu les rende invalides.
Important
Ré-authentification
La réauthentification "transparente" repose sur le principe suivant. Lorsque le jeton de rafraîchissement expire, l'Agent, avant de traiter la requête elle-même, redirige la requête du navigateur vers votre IDP auquel il redonne alors les crédences d'accès via un cookie. Pour que la réauthentification transparente fonctionne il faut donc que les deux conditions suivantes soient remplies :
le navigateur doit être ouvert
l'utilisateur doit avoir souhaité rester connecté lors de sa première authentification et que son navigateur ait stocké le cookie associé (pas en navigation privée par ex.) - exemple ci-dessous
Révocation anticipée des jetons d'authentification
Les jetons de rafraichissement d'authentification peuvent être révoqués avant leur expiration nominale (7j). Cela peut se produire dans deux cas de figure :
Si l'Agent n'arrive pas à contacter le service d'authentification de Olfeo SaaS suite à un trop grand nombre d'échecs
Suite à certains évènement structurants apportés à vos utilisateurs dans votre annuaire : certains changements apportés à un utilisateur dans votre AD pourront, suite à leur synchronisation, déclencher une invalidation de l'usage du refresh token. Notamment dans les cas :
de suppression ou de désactivation d'un utilisateur : ainsi il s'écoule de fait au plus 15 mn entre la désactivation/suppression d'un utilisateur et son impossibilité de naviguer avec Olfeo SaaS,.
de changement de groupe d'un utilisateur : ainsi, il s'écoule là aussi au plus 15 mn avant que le jeton ne soit rafraîchi et que son nouveau contexte de filtrage (et donc des règles de filtrage potentiellement différentes le cas échéant) lui soient appliquées.
Continuité de service
L'agent de poste Olfeo SaaS vérifie très régulièrement si la plateforme est disponible.
S'il n'arrive pas à joindre la plateforme (échec d'une connexion TCP), il appliquera la politique de continuité de service que vous aurez définie jusqu'à ce que le service soit à nouveau disponible :
si vous avez choisi de laisser accès à Internet non-filtré : les paramètres proxy du système sont réinitialisés
sinon une page d'indisponibilité du service est directement servie par l'Agent de poste.
Au cas où le service est estimé injoignable par l'Agent, celui-ci tentera toutes les 10s de rétablir la connexion. Une fois la connexion rétablie, les paramètres proxy du système sont de nouveau remis en place et maintenus.
Vous rencontrerez fréquemment cette situation lors d'une sortie de veille si aucun réseau connu n'est joignable (typiquement le cas en déplacement avant la connexion à un portail public par exemple). Une fois l'authentification établie sur le réseau wifi, l'Agent mettra donc au plus 10 secondes à rétablir la connexion à Olfeo SaaS .
Mises à jour
Régulièrement, l'Agent vérifie auprès de la plateforme si la configuration d'Agent de poste a été mise à jour : si c'est le cas, elle est téléchargée automatiquement et instantanément prise en compte.
Cette recherche de mise à jour de configuration est faite par défaut toutes les 30mn.
De même, l'Agent interroge régulièrement la plateforme pour savoir si une mise à jour des binaires est disponible. Le cas échéant, il télécharge le binaire le plus récent de façon sécurisée et effectue la mise à jour en arrière-plan sans interruption de service pour vos utilisateurs.
Cette recherche est faite toutes les 30mn.
Ouverture de destinations et de ports sur vos pare-feux pour le trafic
L'ouverture des destinations par ports suivantes dans vos pare-feux est requise pour permettre le passage du trafic
Sur les ports 80 et 443 | *.trustlane.xyz et *.trustlane-qa.xyz (pour le monitoring et la métrologie) ainsi que detectportal.firefox.com (pour les mires d'accès à Internet) |
storage.gra.cloud.ovh.net/* (pour la récupération de la configuration, des certificats TLS et du proxy.pac) AstuceSi vous ne souhaitez pas ouvrir tout ce domaine et que vous êtes en capacité de restreindre plus finement l'accès à un ensemble de ressources, contactez notre Support pour que nous vous donnions les informations nécessaires. | |
Sur les ports 80, 443 et 3128 | *.trustlane.io (pour le rafraichissement des jetons et pour la gestion du trafic passant par Olfeo SaaS). |
Ouverture de destinations et de ports sur vos pare-feux pour l'authentification de vos utilisateurs.
L'accès non-proxifié aux ressources nécessaires pour l'authentification de vos utilisateurs auprès de votre fournisseur d'identité est également requis et nécessite l'ouverture additionnelles de destinations et de ports dans vos pare-feux pour fonctionner.
Vous utilisez un annuaire Azure AD : : :les proxy.pac Olfeo SaaS contiennent par défaut les destinations suivantes permettant l'accès non-proxifié aux ressources nécessaires sur Azure pour l'identification et l'authentification de vos utilisateurs, vous n'avez rien de particulier à faire. Cependant, il faudra néanmoins que vos pare-feux autorisent vos utilisateurs à accéder aux ressources d'identification suivantes :
Sur les ports 80 et 443 : |
|---|
officehome.cdn.office.net |
www.office.com |
.microsoftonline.com |
.live.com |
.office365.com |
aadcdn.msftauth.net |
Vous utilisez un AD on-premises avec un ADFS : Il vous appartient de définir dans votre proxy.pac Olfeo SaaS les points de terminaisons publics de votre entreprise à ne pas proxyfier pour que vos utilisateurs puissent s'identifier et s'authentifier sur votre ADFS. Reportez-vous à cette section de la documentation pour voir comment faire pour ajouter une destination au proxy.pac.
Il convient aussi (mais c'est surement déjà fait) que cette destination soit ouverte sur vos pare-feux.
Sur l'interface Olfeo SaaS, rendez-vous sur > .
Cliquez sur l'icône
(modifier) de votre annuaire.Rendez-vous sur .
Choisissez un proxy.pac (voir Créer un proxy.pac).
Définissez en cochant la case si vous souhaitez que l'Agent soit installé et proxifie le trafic globalement (au niveau système), plutôt qu'application par application.
Note : quel impact a le fait de "forcer l'installation au niveau système" ?
L'installation au niveau système applique par défaut l'orientation des flux vers la plateforme Olfeo SaaS sans que vous n'ayez à modifier les paramètres des différents clients HTTP (navigateurs, clients lourds...) installés sur les postes de vos utilisateurs.
L'Agent modifie automatiquement les propriétés réseaux du système lors de l'installation pour indiquer que l'usage d'un proxy est obligatoire et inscrit l'URL du fichier de configuration automatique (proxy.pac). Il maintient ensuite ces paramètres pour empêcher l'utilisateur de les modifier.
C'est l'usage recommandé de notre plateforme.
Sinon, l'Agent se contentera d'écouter passivement les requêtes HTTP/S transmises par les clients HTTP et vous devrez paramétrer manuellement (ou via GPO) vos différents clients pour modifier leurs politiques d'accès à internet. Plus lourde à mettre en place et à maintenir, cette approche peut être intéressante dans certains cas d'usage particuliers.
Cliquez sur .
Une URL de l'Agent de poste vient d'être générée. Copiez l'URL de l'Agent de poste générée en cliquant sur l'icône
(presse-papier) ou sur cette icone-ci
Prérequis
Pour pouvoir télécharger et installer l'Agent de poste, vous devez :
avoir créé une configuration d'Agent de poste (voir ci-dessus) - ça n'aurait pas beaucoup de sens de télécharger un Agent que vous ne pourriez pas utiliser :)
disposer d'un utilisateur avec des droits d'administration sur le poste où vous souhaitez installer l'Agent de poste.
Télécharger l'Agent de poste
Une fois que vous avez créé une configuration d'Agent de poste, les liens de téléchargement de l'Agent de poste s'activent sur la page des Annuaires.
Il vous suffit de cliquer sur le lien correspondant à l'OS sur lequel vous souhaitez installer l'Agent pour télécharger l'installeur.
Installer l'Agent de poste
Sous Windows, l'Agent de poste est fourni avec un installeur (.msi) qui vous permettra aisément de l'installer via l'interface graphique (pratique pour installer sur un poste à la demande) ou en ligne de commande (pour des déploiements plus massifs via une GPO et/ou une télédistribution).
Quelle que soit la façon dont vous installez l'Agent, lors de son installation celui-ci va réaliser les actions suivantes :
Il crée un dossier trustlane dans C:\ProgramData et y copie les fichiers de paramétrage ainsi que les certificats et leurs sommes de contrôle.
Il crée un dossier trustlane dans C:\ProgramFiles et y copie le binaire complet et les deux services qui composent l'Agent
il copie le msi dans le répertoire système pour permettre la désinstallation via le panneau de configuration
il ajoute les clés de registres nécessaires pour son lancement (au démarrage notamment) et sa bonne exécution (contactez nous pour plus d'informations à ce sujet).
il lance ensuite les services
Suivez les étapes ci-dessous pour installer l'Agent de poste de la façon qui vous conviendra le mieux :
Dans l'interface d'administration de Olfeo SaaS, téléchargez l'installeur pour Windows et copiez l'URL de configuration d'Agent de poste que vous avez précédemment créé.
Exécutez le fichier.msi de l'Agent de poste en tant qu'administrateur pour ouvrir l'assistant d'installation.
Lisez les instructions de l'assistant d'installation et acceptez les conditions d'utilisation puis cliquez sur Suivant.
Collez l'URL de l'Agent de poste quand l'assistant vous invite à le faire. Cliquez sur Suivant.
L'installeur télécharge le fichier de configuration ainsi que les certificats d'autorités de certification d'Olfeo (nécessaires au déchiffrement TLS) pour les installer sur le poste et il exécute ensuite les opérations d'installation.
Selon la configuration de vos postes, Windows peut vous afficher un avertissement avant d'autoriser l'installeur à apporter des modifications à votre système par Windows : cliquez sur Oui.
Si tout s'est bien passé, l'installeur vous confirme la bonne installation. Vous avez terminé :)
L'Agent de poste est maintenant installé sur le poste. Les requêtes HTTP et HTTPS des utilisateurs de ce poste seront dirigés vers le proxy Olfeo SaaS :
si vous avez choisi de forcer l'usage au niveau système (recommandé), ce routage est fait automatiquement
sinon, vous devez modifier les paramètres proxy de votre navigateur en indiquant l'URL du proxypac associé à cette configuration pour orienter les requêtes de votre navigateur vers Olfeo SaaS.
Vérifiez l'installation de l'Agent en accédant à une URL autorisée par vos règles de filtrage (ex. https://www.qwant.com). Vous devriez alors :
être redirigé vers votre fournisseur d'identité -sauf si vous vous êtes déjà authentifié précédemment
voir apparaître très brièvement une page affichant "Successful authentication"
s'afficher ensuite automatiquement la page d'accueil de Qwant.
Si vous avez activé le déchiffrement TLS, (et que vous n'avez pas exclu *.qwant.com du déchiffrement), contrôlez bien que le certificat utilisé est celui de Olfeo SaaS (à défaut celui d'Olfeo).
Félicitations, vous êtes protégé par Olfeo SaaS !
Vous pouvez visualiser les requêtes que vous faites via l'outil de Diagnostic et vous devriez commencer à voir des données s'afficher dans les Statistiques.
Dans l'interface d'administration de Olfeo SaaS, téléchargez l'installeur pour Windows et copiez l'URL de configuration d'Agent de poste que vous avez précédemment créé.
Lancez l'invite de commande (Powershell par ex.) en tant qu'administrateur.
Déplacez-vous jusqu'au dossier contenant l'installeur puis saisissez la commande suivantes :
msiexec.exe /i authentication_agent_fr.msi /qn /quiet CONFIG_URL="$configUrl"Pour obtenir les logs d'installation, vous pouvez ajouter
/L*V C:\chemin\vers\votre\dossier\trustlane_install.logà la commande d'installation
L'Agent de poste est maintenant installé sur le poste. Les requêtes HTTP et HTTPS des utilisateurs de ce poste seront dirigés vers le proxy Olfeo SaaS :
si vous avez choisi de forcer l'usage au niveau système (recommandé), ce routage est fait automatiquement
sinon, vous devez modifier les paramètres proxy de votre navigateur en indiquant l'URL du proxypac associé à cette configuration pour orienter les requêtes de votre navigateur vers Olfeo SaaS.
Vérifiez l'installation de l'Agent en accédant à une URL autorisée par vos règles de filtrage (ex. https://www.qwant.com). Vous devriez alors :
être redirigé vers votre fournisseur d'identité -sauf si vous vous êtes déjà authentifié précédemment
voir apparaître très brièvement une page affichant "Successful authentication"
s'afficher ensuite automatiquement la page d'accueil de Qwant.
Si vous avez activé le déchiffrement TLS, (et que vous n'avez pas exclu *.qwant.com du déchiffrement), contrôlez bien que le certificat utilisé est celui de Olfeo SaaS (à défaut celui d'Olfeo).
Félicitations, vous êtes protégé par Olfeo SaaS !
Vous pouvez visualiser les requêtes que vous faites via l'outil de Diagnostic et vous devriez commencer à voir des données s'afficher dans les Statistiques.
Déployer à grande échelle
Cette approche d'installation est clé pour déployer aisément à grande échelle. Découvrez quelques exemples de cas d'usages pour les déploiements dans notre base de connaissances !
Suivez les étapes ci-dessous pour installer l'Agent de poste Olfeo SaaS sur un mac.
Dans l'interface d'administration de Olfeo SaaS, téléchargez l'installeur pour Windows et copiez l'URL de configuration d'Agent de poste que vous avez précédemment créé.
Lancez le terminal en tant qu'administrateur. Déplacez vous jusqu'au dossier où vous avez placé le binaire d'installation.
Modifiez les droits d'usage du binaire :
sudo chmod +x authentication_agentLancez ensuite l'installation de l'Agent :
sudo ./authentication_agent install --verbose --config https://URL_DE_CONFIGURATIONAvis
MacOS vous demandera le mot de passe utilisateur à plusieurs reprises au cours de l'installation. C'est normal.
L'installeur télécharge le fichier de configuration ainsi que les certificats d'autorités de certification d'Olfeo (nécessaires au déchiffrement TLS) pour les installer sur le poste et il exécute ensuite les opérations d'installation.
Les différentes étapes s'affichent dans le terminal au fur et à mesure de l'exécution.
Au cours de l'installation l'Agent aura effectué les actions suivantes :
il crée un dossier trustlane dans /usr/bin/local et y copie les binaires nécessaires au fonctionnement de l'Agent (l'Agent lui même et son systray pour communiquer avec l'utilisateur dans la barre de programmes)
il crée un dossier trustlane dans ~/Library/ et y copie les fichiers de configuration ainsi que les certificats nécessaires pour le déchiffrement TLS et leurs sommes de contrôle.
il lance ensuite les services
L'Agent de poste est maintenant installé sur le poste. Les requêtes HTTP et HTTPS des utilisateurs de ce poste seront dirigés vers le proxy Olfeo SaaS :
si vous avez choisi de forcer l'usage au niveau système (recommandé), ce routage est fait automatiquement
sinon, vous devez modifier les paramètres proxy de votre navigateur en indiquant l'URL du proxypac associé à cette configuration pour orienter les requêtes de votre navigateur vers Olfeo SaaS.
Vérifiez l'installation de l'Agent en accédant à une URL autorisée par vos règles de filtrage (ex. https://www.qwant.com). Vous devriez alors :
être redirigé vers votre fournisseur d'identité -sauf si vous vous êtes déjà authentifié précédemment
voir apparaître très brièvement une page affichant "Successful authentication"
s'afficher ensuite automatiquement la page d'accueil de Qwant.
Si vous avez activé le déchiffrement TLS, (et que vous n'avez pas exclu *.qwant.com du déchiffrement), contrôlez bien que le certificat utilisé est celui de Olfeo SaaS (à défaut celui d'Olfeo).
Félicitations, vous êtes protégé par Olfeo SaaS !
Vous pouvez visualiser les requêtes que vous faites via l'outil de Diagnostic et vous devriez commencer à voir des données s'afficher dans les Statistiques.
Quand tout va bien, l'Agent est invisible de vos utilisateurs. Cela étant dit, tout ne se passe pas toujours bien (ou vous pouvez simplement être curieux-se), retrouvez ci-dessous les principales rubriques relatives à l'exploitation de l'Agent.
Le systray de l'Agent permet de communiquer avec l'utilisateur.
Celui-ci affiche une icône dont la transparence varie selon que l'utilisateur s'est authentifié et dispose de crédences valides sur le service Olfeo SaaS ou non. L'icône s'adapte au thème général de l'OS défini par l'utilisateur (thème sombre ou clair).
Un clic sur cette icone fait apparaître une petite fenêtre avec d'avantage de détails, en particulier le numéro de version de l'Agent de poste (i.e le service lui-même).
L'icone de statut et la fenêtre du systray lorsque l'utilisateur n'est pas authentifié :
L'icone de statut et la fenêtre du systray une fois l'utilisateur authentifié :
L'Agent de poste écrit des évènements dans différents journaux :
Journal | types d'évènements |
|---|---|
com.trustlane.authentication.agent.installer | [déprécié] |
com.trustlane.authentication.agent.main | évènements liés aux fonctions de commande de l'Agent (installation, mise à jour, réglages des paramètres proxy du système, récupération et contrôle du fichier de configuration, etc.) |
com.trustlane.authentication.agent.proxy | évènements du proxy interne de l'Agent |
com.trustlane.authentication.agent.service | [déprécié] |
com.trustlane.authentication.agent.systray | [déprécié] |
com.trustlane.authentication.agent.unistaller | [déprécié] |
Pour Windows
En trois mots : filtrer les journaux d'applications Windows pour n'afficher que les services commençant par com.trustlane dans l'Observateur d'évènements.
Pas à pas :
lancez l'Observateur d'évènements de Windows : clic droit sur le menu Windows
Affichez les journaux d'applications Windows
Créer un filtre de ces journaux pour n'afficher que les évènements qui vous intéressent.
Dans cet exemple, tous les journaux sont sélectionnés - ajustez la sélection et la période observée (ici "A tout moment") selon vos besoins
Pour MacOS
Ouvrez un Terminal et lancez la commande suivante : tail -f /private/var/log/system.log | grep trustlane
En principe et la plupart du temps, l'Agent de poste est transparent pour vos utilisateurs.
Les quelques fois où il sert du contenu lui même sont les suivantes :
Lors d'une authentification réussie. La page suivante s'affiche brièvement avant de rediriger l'utilisateur vers la destination qu'il a demandé initialement (cf. les principes de fonctionnement de l'Agent de poste) .
Lors d'une perte de connexion au service Olfeo SaaS si vous avez choisi de bloquer l'accès à Internet dans le paramétrage de al continuité de service. Dans ce dernier cas, la page suivante est affichée :
Lors d'un refus d'usage du service (cas d'un utilisateur désactivé/supprimé de votre annuaire par exemple et tenant encore d'utiliser le service ou dans le cas où votre licence a expiré -exemple ci-dessous). L'utilisateur verra alors la page suivante avec le motif de refus.
Hmmm.... teasing : une bien belle fonctionnalité à venir.
Prochainement dans votre Agent de poste préféré ;)
Avis
L'Agent de poste nécessite des privilèges administrateur pour être désinstallé.
Pour WIndows
Tout comme l'installation, la désinstallation de l'Agent peut s'effectuer :
via l'interface de l'installeur : lancez l'installeur, si l'Agent est déjà installé, il devrait vous proposer de supprimer l'Agent du poste.
via la CLI : lancez un terminal avec des droits d'administration (Powershell par ex.) et saisissez la commande suivante :
Vous pouvez aussi passer par les Paramètres de Windows dans la section Paramètres > Applications > Applications et fonctionnalités
A la fin de la désinstallation, les paramètres proxy sont effacés. L'accès à Internet se fait alors directement.
Pour MacOS
Pour désinstaller l'Agent sur un mac :
ouvrez un terminal
Positionnez vous dans le dossier /usr/bin/local/trustlane
Exécutez la commande suivante :
sudo ./authentication_agent uninstall --verbose
A la fin de la désinstallation, les paramètres proxy sont effacés. L'accès à Internet se fait alors directement.