Skip to main content

Documentation technique Olfeo SaaS

Guide de démarrage

Introduction

Ce guide de démarrage vous propose les 6 étapes essentielles pour configurer rapidement votre compte Olfeo SaaS et commencer à sécuriser votre trafic web grâce à une configuration simple.

Vous trouverez également dans cette documentation un guide d'utilisation détaillé comprenant toutes les sections nécessaires pour exploiter pleinement la solution et son interface.

Etapes à suivre pour démarrer avec Olfeo SaaS

Les étapes à suivre pour démarrer sont les suivantes :

Prérequis

Pour créer un premier compte administrateur, vous devez disposer d'une licence active et de son bon de livraison sur lequel figurent des informations indispensables.

Vous êtes intéressé(e) mais n'avez pas encore de licence ? N'hésitez pas à prendre contact avec nous !

  1. Rendez-vous sur la page d'identification d'Olfeo SaaS et cliquez sur Première connexion > Activer votre compte.

    Olfeo-SaaS_login-page.png
  2. Remplissez les champs demandés (login et mot de passe de la licence) puis cliquez sur Suivant.

  3. Indiquez :

    1. une adresse mail à laquelle vous avez accès (un e-mail de validation vous y sera envoyé)

    2. votre prénom

    3. votre nom

  4. Cliquez sur Valider.

  5. Un e-mail confirmant l'activation de votre compte et vous invitant à créer un nouveau mot de passe vous est envoyé. Cliquez sur le lien contenu dans l'email pour afficher la page permettant d'initialiser votre mot de passe et cliquez sur Valider.

    E-mails d'activation non-reçu ou lien non-fonctionnel ?

    Si vous ne recevez pas les e-mails d'invitation et de confirmation, vérifiez dans vos messages indésirables et dans votre logiciel anti-spam.

    Certains anti-spams peuvent insérer automatiquement du contenu dans les liens hypertexte présents dans les e-mails afin de prévenir les attaques de phishing.

    Si vous n'avez pas le comportement attendu (ici : accès à la page de définition du mot de passe). n'hésitez pas à vérifier les liens en les survolant avec votre curseur. Au besoin, copiez-collez les URL dans la barre d'adresse de votre navigateur.

  6. Vous êtes redirigé automatiquement vers la page d'identification d'Olfeo SaaS

    Votre licence est activée et votre compte administrateur est créé avec succès. Vous pouvez maintenant vous connecter.

Connecter votre annuaire d'entreprise à Olfeo SaaS va vous permettre de définir des politiques de filtrage et de sécurité en fonction de la structure de votre organisation et est un prérequis pour mettre en place l'authentification de vos utilisateurs sur le service.

Retrouvez ci-après les instructions pour connecter un annuaire depuis le cloud Azure Active Directory (Azure AD) ou depuis un serveur Microsoft Active Directory (AD) maintenu on premises.

Suivez les étapes ci-dessous pour créer votre premier annuaire dans Olfeo SaaS.

  1. Rendez-vous sur Configuration > Annuaires.

  2. Cliquez sur + Créer un annuaire.

  3. Saisissez le nom que vous souhaitez donner à votre annuaire.

  4. Sélectionnez le fournisseur d'identités : Azure ou Via agent de synchronisation Olfeo SaaS.

    Annuaire_AD__choix_fournisseur.png
  5. Cliquez sur Créer.

    L'annuaire a été créé.

A partir de là, vous pouvez :

Pour simplifier la mise en place la synchronisation et l'authentification entre votre annuaire Azure AD et Olfeo SaaS nous avons intégré une application d'entreprise au catalogue d'applications d'Azure qui se charge de ces actions. Suivez les étapes ci-dessous pour la mettre en place :

Prérequis

Pour mettre en place une synchronisation entre votre annuaire Azure AD et Olfeo SaaS, vous devez au préalable :

  • disposer d'un compte administrateur sur votre tenant Microsoft Azure disposant des privilèges "Administrateur d'applications" nécessaires pour installer une application d'entreprise depuis la galerie Azure.

  • disposer d'un compte administrateur Olfeo SaaS actif et une licence active

  • avoir déjà créé un annuaire Olfeo SaaS de type "Azure"

Pour configurer Azure AD avec Olfeo SaaS, vous devez ajouter l'application Olfeo SaaS à votre Azure AD.

L'application Olfeo ou Olfeo SaaS est disponible dans la galerie d'applications Azure AD.

Suivez le pas-à-pas ci-dessous pour ajouter l'application :

  1. Connectez-vous à votre interface Microsoft Azure.

  2. Sélectionnez le service Azure Active Directory.

    service_azureAD.png
  3. Depuis la page d'accueil, rendez-vous sur la page Applications d'entreprise > + Nouvelle application.

    azure_add-enterprise-app.png
  4. Tapez Olfeo SaaS dans la zone de recherche.

  5. Sélectionnez l'application dans le volet des résultats et adaptez son nom à votre convenance.

  6. Cliquez sur Ajouter l'application. Patientez quelques instants.

  7. L'application est maintenant ajoutée à votre liste d'applications Azure AD.

Par mesure de sécurité, l'application d'entreprise "Olfeo SAAS" requiert par défaut que vos utilisateurs ou groupes soient explicitement affectés à l'application pour pouvoir l'utiliser. En pratique, tant que vous n'avez pas affecté d'utilisateurs ou de groupes à l'application, ceux-ci ne sont pas synchronisables et ne peuvent pas s'authentifier.

Vous pouvez bien sûr désactiver ce paramètre pour synchroniser facilement tout votre annuaire sur Olfeo SaaS ou affecter des utilisateurs et groupes à l'application (NB: si l'affectation d'utilisateurs est incluse dans le plan gratuit d'Azure, l'affectation de groupes aux applications d'entreprise nécessite un plan payant d'Azure).

Pour modifier le paramètre d'affectation, rendez-vous dans la section "Propriétés" de l'application

Pour gérer les utilisateurs et groupes affectés à l'application, rendez-vous dans la section "Utilisateurs et groupes" de l'application.

app_affectation-settings.png

Pour mettre en place la synchronisation, vous aurez besoin d'alterner l'affichage de votre interface d'administration Olfeo SaaS et celui de votre console Azure.

  1. Dans votre console Azure AD, rendez-vous dans le détail de votre application d'entreprise Olfeo SaaS et allez dans la section Approvisionnement et cliquez sur Démarrer (la première fois).

  2. Choisissez le mode d'approvisionnement Automatique, puis copiez / collez le Tenant URL et le Jeton Secret dans les champs correspondants.

  3. 9-microsoft_azure_copier_coller_tenant_et_jeton_puis_tester.png

    Vous trouverez le tenant URL et le jeton secret dans votre interface Olfeo SaaS, à l'onglet Synchronisation de votre annuaire.

    Synch__AZURE.png
  4. Cliquez sur Test de la connexion pour vérifier qu' Azure AD peut se connecter à Olfeo SaaS.

    Un message de confirmation s'affiche.

  5. Cliquez sur Enregistrer.

  6. A présent, définissez le paramètre État de l'approvisionnement sur Activé pour activer le service d'approvisionnement Azure AD pour Olfeo SaaS. Vous pouvez également définir un email de contact en cas d'anomalie sur le service de synchronisation.

    app_provisionning_settings.png
  7. Dans la section Étendue, définissez les utilisateurs que vous souhaitez approvisionner :

    • l'intégralité de vos utilisateurs/groupes (nécessite que l'affectation à l'application ne soit pas requise - voir ici pour plus de détails) ;

    • "uniquement vos utilisateurs/groupes assignés à cette application (nécessite que vous ayez affecté des utilisateurs ou groupes à l'application - voir ici pour plus de détails) .

  8. Cliquez sur Enregistrer puis fermez cette section consacrée aux détails des paramètres d'approvisionnement en cliquant sur la croix en haut à droite de la zone et revenir au sommaire de l'approvisionnement.

    app_provisionning_settings_save.png
  9. Cliquez sur Démarrer l'approvisionnement pour lancer le cycle initial d'approvisionnement.

    app_start-provisionning.png

    Note

    Cette opération démarre la synchronisation initiale de tous les utilisateurs et/ou groupes définis dans le paramètre Étendue. Le cycle initial d'approvisionnement dépend de la charge d'Azure et peut prendre jusqu'à 40 minutes.

    Les synchronisations suivantes se font en temps quasi-réel.

Prérequis

Pour mettre en place une synchronisation entre votre annuaire on premises et Olfeo SaaS, vous devez au préalable avoir :

  • Un compte administrateur Olfeo SaaS actif (licence activée)

  • Un annuaire Active Directory ainsi qu'un compte disposant de droits en lecture sur cet annuaire qui sera utilisé par l'Agent de synchronisation d'annuaires

  • Un serveur (physique ou virtuel), distinct de votre AD, et qui respecte la configuration minimale requise pour installer et exécuter l'Agent de synchronisation d'annuaires.

Si vous ne l'avez pas déjà fait, commencez par créer un nouvel annuaire dans Olfeo SaaS, en suivant les étapes ci-dessous :

  1. Rendez-vous sur Configuration > Annuaires.

  2. Cliquez sur + Créer un annuaire.

  3. Saisissez le nom que vous souhaitez donner à votre annuaire.

  4. Sélectionnez le fournisseur : Via agent de synchronisation Olfeo SaaS.

    Annuaire_AD__choix_fournisseur.png
  5. Cliquez sur Créer.

    L'annuaire a été créé.

  6. Ajoutez une description (optionnel) et cliquez sur Mettre à jour sinon cliquez sur l'onglet Synchronisation pour télécharger l'Agent de synchronisation d'annuaires et commencer à mettre en place la synchronisation entre votre annuaire et Olfeo SaaS.

    dl_agent_synchro.png

Suivez les instructions ci-dessous pour installer et lancer la configuration initiale de l'Agent de synchronisation d'annuaires (retrouvez ces informations plus en détail dans son Guide d'utilisation).

  1. Installez l'Agent de synchronisation en suivant les instructions de l'assistant d'installation.

  2. Avant de quitter l'assistant d'installation, cochez la case Démarrer la configuration :

    De_marrer_la_synchronisation.gif

    Une fenêtre d'assistant de configuration s'ouvre.

  3. Sur l'onglet Annuaire, remplissez les champs suivants pour vous connecter à votre Active Directory :

    • URL du serveur de votre Active Directory

    • Login du compte dédié à l'Agent de synchronisation pour la lecture sur votre AD

    • Mot de passe de connexion à l'AD

    step_1_AD-connection_1.png

    Cliquez sur Vérifier et observez si le test est réussi (État) et les nombres d'utilisateurs/groupes trouvés.

  4. Sur l'onglet Attributs, cochez les attributs que vous souhaitez synchroniser avec les profils utilisateurs. Les attributs obligatoires sont en gras :

    step_2_user-profile-config.png

    Choix de la propriété identifiante qui sera utilisée pour l'authentification

    Choisissez prudemment : la propriété identifiante (SamAccountName ou UserPrincipalName) que vous allez associer à userName sera utilisée par l'authentification sur Olfeo SaaS. Pour prévenir les erreurs, cette propriété n'est plus modifiable une fois définie sur un annuaire donné.

    Nous recommandons l'usage du UserPrincipalName comme propriété identifiante parce que cela correspond aux préconisations récentes de Microsoft sur ce point mais l'usage de l'un comme de l'autre pour l'authentification sont possibles et dépendent surtout de votre contexte d'usage (veuillez noter cependant que l'usage de SamAccountName comme propriété identifiante pour Olfeo SaaS peut nécessiter des ajustements complémentaires à votre configuration ADFS).

  5. Sur l'onglet Compte Olfeo SaaS, complétez les champs Tenant URL et Jeton Secret.

    Retrouvez ces informations dans la vue Synchronisation de votre annuaire Olfeo SaaS

  6. Sur l'onglet Période de synchronisation, définissez la fréquence de synchronisation.

  7. Sur l'onglet État du service :

    Cliquez sur Synchronisation complète pour synchroniser votre Active Directory avec Olfeo SaaS.

    Sync_delta_ou_complete.png
  8. Fermez l'assistant de configuration une fois la synchronisation complète effectuée. L'Agent continuera à tourner en tâche de fond (en tant que service Windows).

    La configuration de l'agent de synchronisation est terminée : lorsque vous affichez la vue "Utilisateurs et Groupes" de votre annuaire, les utilisateurs et les groupes correspondant au scope des requêtes LDAP sont affichés.

Une fois votre annuaire synchronisé avec Olfeo SaaS, vous allez devoir paramétrer l'authentification de vos utilisateurs sur le service au travers de l'authentification SAML.

Suivez les étapes ci-dessous en fonction du fournisseur d'identité que vous utilisez.

Propriété identifiante dans l'authentification

Par défaut, Olfeo SaaS utilise UserPrincipalName comme propriété identifiante.

Cette propriété est non-modifiable pour les annuaires Azure.

Pour vos annuaires Active Directory on premises, vous pouvez également utiliser SamAccountName comme propriété identifiante - des ajustements sur la configuration de votre ADFS seront alors nécessaires.

Dans la suite de ce guide, nous partons du principe que la propriété identifiante utilisée est bien UserPrincipalName.

Prérequis

Pour paramétrer l'authentification SAML entre Azure et Olfeo SaaS vous devez :

  • avoir ajouté une application d'entreprise "Olfeo SAAS" à votre tenant Azure AD

  • avoir configuré la synchronisation de votre annuaire avec Olfeo SaaS

La mise en place de l'authentification nécessitera une configuration parallèle de votre application d'entreprise Olfeo SaaS sur votre tenant Azure AD et de votre annuaire Olfeo SaaS notamment pour valider les métadonnées et certificats qui seront échangés entre eux.

  1. Rendez-vous sur Configuration > Annuaires puis cliquez sur l'icône edit.svg (modifier) de votre annuaire.

  2. Allez sur la vue Authentification et choisissez SAML dans la liste déroulante des méthodes d'authentification :

    Annuaire__auth__SAML.png
  3. Cliquez sur Activer.

    Des métadonnées Olfeo SaaS nécessaires à la configuration de l'authentification SAML sont générées :

    • un identificateur d'entité

    • une URL de réponse (ACS)

    • une URL de connexion

    • une URL de déconnexion

  4. Copiez et collez, une par une, les métadonnées Olfeo SaaS dans votre application d'entreprise sur Azure AD :

    1. Dans l'interface de configuration de votre application d'entreprise Olfeo SAAS, rendez vous dans la section "Authentification unique" (Single Sign-On)

      app_authentication.png
    2. Sélectionnez la méthode d'authentification unique SAML.

    3. Dans la partie 1- Configuration SAML de base, cliquez sur Modifier.

    4. Collez les métadonnées Olfeo SaaS dans les champs correspondants - il est possible que vous ayez à "Ajouter" des valeurs pour l'identificateur ou l'URL d'ACS si ces champs ne sont pas disponibles immédiatement.

      app_authentication_add_ACS.png
    5. Cliquez sur Enregistrer.

  5. Copiez ensuite l'URL des métadonnées de fédération d'application d'Azure pour votre application.

    Pour récupérer l'URL des métadonnées :

    1. Dans la section "Authentification unique" de votre application, rendez-vous dans la partie 3 - Certificat SAML.

    2. Copiez l'URL des métadonnées de fédération d'application.

      2-microsoft_azure_authentification_SAML_copier_URL_metadonees.png
  6. Retournez ensuite sur la page de configuration de votre annuaire Olfeo SaaS sur la vue Authentification.

  7. Dans le champ Métadonnées du fournisseur, cliquez sur Modifier puis collez l'URL des métadonnées de fédération d'application dans le champ URL de métadonnées.

  8. Cliquez sur Mettre à jour pour enregistrer les données saisies.

Prérequis

Pour mettre en place l'authentification unique SAML avec votre ADFS vous devez :

  • avoir configuré la synchronisation de votre annuaire vers Olfeo SaaS ;

  • avoir activé le rôle ADFS sur votre annuaire Active Directory et fait en sorte que les points de terminaison nécessaires à l'authentification soient exposés publiquement sur Internet.

La mise en place de l'authentification nécessitera une configuration parallèle de votre ADFS et de votre annuaire Olfeo SaaS notamment pour valider les métadonnées et certificats qui seront échangés entre eux.

  1. Rendez-vous sur Configuration > Annuaires et cliquez sur l'icône edit.svg (modifier) de l'annuaire.

  2. Allez sur la vue Authentification. Dans la liste déroulante des méthodes d'authentification, choisissez SAML :

    Annuaire__auth__SAML.png
  3. Cliquez sur Activer. Cette action génère des métadonnées Olfeo SaaS nécessaires à la configuration de l'authentification SAML.

  4. Saisissez l'URL d'exposition des métadonnées de fédération SAML fournies par votre ADFS dans le champ Métadonnées du fournisseur. puis cliquez sur Mettre à jour

    ADFS_FS-metadata-set-up.png

    Cette URL devrait se trouver dans les détails de la partie de confiance publique (Relying Party Trust) de votre ADFS dans l'outil ADFS maanger.

    Par défaut, cette URL devrait fortement ressembler à : https://<adfs_hostname>/FederationMetadata/2007-06/FederationMetadata.xml.

    Important

    Rappel : cette URL doit être publique et accessible sur internet pour queOlfeo SaaS puisse y accéder et que l'authentification fonctionne.

    Alternativement, vous pouvez importer le fichier XML de métadonnées de fédération en copiant-collant son contenu. Assurez-vous qu'il respecte le format suivant :

    <?xml version="1.0" encoding="UTF-8"?>
    <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="https://sub-domain.domain.tld/path-to-entity-">
       <IDPSSODescriptor xmlns:ds="http://www.w3.org/2000/09/xmldsig#" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
          <KeyDescriptor use="signing">
             <ds:KeyInfo>
                <ds:X509Data>
                   <ds:X509Certificate>MIIDST_certificat_valide_en_base_64_XLswDQYJKoZINw=</ds:X509Certificate>
                </ds:X509Data>
             </ds:KeyInfo>
          </KeyDescriptor>
          <SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://sub-domain.domain.tld/path-to-logout" />
          <SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://sub-domain.domain.tld/path-to-logout" />
          <NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</NameIDFormat>
          <SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://sub-domain.domain.tld/path-to-sign-on" />
          <SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://sub-domain.domain.tld/path-to-sign-on" />
       </IDPSSODescriptor>
       <ContactPerson contactType="technical">
          <SurName>your_tech_support_team_name</SurName>
          <EmailAddress>your_tech_support_team_emailID@domain.tld</EmailAddress>
       </ContactPerson>
    </EntityDescriptor>
  5. La configuration coté Olfeo SaaS est terminée. Copiez l'URL des métadonnées Olfeo SaaS, vous allez en avoir besoin dans la configuration de votre ADFS.

Ouvrez à présent la console de gestion de votre ADFS.

Attention : les écrans figurant ci-dessous sont pris de ADFS pour Windows Server 2022 - les étapes et les écrans peuvent varier selon la version de Windows Server que vous utilisez mais la logique générale devrait rester très similaire.

Déclarez une nouvelle approbation de partie de confiance pour le service Olfeo SaaS

  1. Dans l'outil AD FS management de votre serveur, affichez les approbations de partie de confiance et ajoutez-en une nouvelle.

    ADFS_c_add-RPT_1.png
  2. Sélectionnez le choix "Claims avare" pour que cette approbation soit basée sur des revendications.

    ADFS_c_add-RPT_2.png
  3. Indiquez l'URL de récupération des métadonnées de fournisseur de service de Olfeo SaaS comme suit.

    ADFS_c_add-RPT_3.png
  4. Donnez un nom à cette approbation qui a du sens pour vous.

    ADFS_c_add-RPT_4.png
  5. Autorisez tous les utilisateurs de votre AD (le contrôle d'accès sécurisé par une authentification à facteurs multiples au service IOlfeo SaaS n'est pas encore supporté).

    ADFS_c_add-RPT_5.png
  6. Vérifiez votre saisie.

    ADFS_c_add-RPT_6.png
  7. Validez en décochant la configuration des revendications.

    ADFS_c_add-RPT_7.png

À sa création, en l'absence de politiques de filtrage définies, votre compte Olfeo SaaS est paramétré par défaut pour bloquer tout trafic. Si l'antivirus est bien actif par défaut, le déchiffrement TLS est en revanche désactivé (il est de votre responsabilité de l'activer).

Suivez la procédure ci-dessous pour paramétrer l'accès sécurisé à Internet pour l'ensemble des utilisateurs de votre annuaire.

Vous allez à présent :

  • créer une politique de filtrage bloquant les sites juridiquement et techniquement dangereux,

  • mettre en place l'approche Trust-Centric pour permettre l'accès à Internet en toute confiance,

  • activer le déchiffrement TLS, garantie d'une meilleure sécurité (filtrage et antivirus)

Prérequis

Pour mettre en place des politiques de filtrage et l'approche Trust-Centric, vous devez :

  • avoir configuré et connecté au moins un annuaire avec Olfeo SaaS (voir étapes précédentes)

  1. Rendez-vous sur Filtrage > Politiques de filtrage et cliquez sur Créer une politique.

  2. Paramétrez la politique de filtrage (voir aussi Créer une politique) et à l'étape Sélection de la population, cliquez sur Sélectionner toutes les populations pour que la politique s'applique à tous (groupes et utilisateurs).

    add_1st_policy_all-pop-selection.png
  3. Cliquez sur Ajoutez une règle. Sélectionnez le thème Risque pénal et le thème Risque de sécurité. Validez.

    3.png
  4. Choisissez Bloquer comme action pour ces deux destinations. Validez et cliquez sur Enregistrer.

    4.png
  5. Activez la politique en passant son statut à Activé via le sélecteur de statut.

  6. Dans la section Règle finale,cliquez sur Modifier.

    filtering_default-action-blocked.png
  7. Choisissez Interdire les sites inconnus comme définition de la règle finale et cliquez sur Enregistrer. (En savoir plus sur la vision d'Olfeo et l'approche Trust-Centric.)

    filtering_default-actions_edit.png
  8. Rendez-vous sur Configuration > Déchiffrement TLS et activez le déchiffrement.

    Suite à cette première activation, les catégories de sites "Banques, assurances, caisses" ainsi que "Santé" sont automatiquement ajoutées aux exclusions du déchiffrement en respect des préconisations de la CNIL - vous pourrez ajuster ces exclusions par la suite bien entendu.

    TLS-decruption_activated.png

    Pour plus d'information sur le Déchiffrement TLS, son fonctionnement et ses enjeux c'est par ici.

À ce stade, vous avez configuré votre espace sécurisé. Pour vous assurer de sa mise en place effective, rendez-vous sur Tableau de bord > Vue d'ensemble et reportez-vous au bouclier Olfeo SaaS et aux indicateurs. La Vue d'ensemble vous permet de voir en un coup d'œil les éléments configurés au travers de votre interface.

Suivez les étapes ci-dessous pour créer un proxy.pac nécessaire lors la création de la configuration d'Agent de poste.

  1. Rendez-vous sur Configuration > Gestion du trafic.

  2. Cliquez sur + Créer un proxy.pac.

    proxypac_creer-1.png
  3. Dans les Paramètres, renseignez le nom et la description du proxy.pac.

    proxypac_creer-2.png
  4. Dans les Contenus vous pouvez :

    • Sélectionner une des applications déjà paramétrées par Olfeo SaaS.

    • Saisir les domaines (FQDN) ou IP que vous souhaitez exclure du proxy Olfeo SaaS, puis cliquer sur Valider pour les ajouter à la liste

      Utilisation de wildcards

      Vous pouvez utiliser le wildcard * pour inclure l'ensemble des sous-domaines d'un domaine dans une seule déclaration (ex. *.olfeo.com)

      proxypac_creer-3.png
    • Utiliser l'Edition multiple pour ajouter d'un coup une grande liste de domaines (un contrôle de formatest fait à la validation)

      proxypac_creer-3-bis.png
  5. Cliquez sur Valider.

  6. Cliquez sur Enregistrer et quitter pour finaliser la création du proxy.pac.

    proxypac_creer-4.png

    Vérifiez que le proxy.pac est créé en vous rendant sur Gestion du Trafic > Liste de vos proxy.pac.

Vous voilà à la dernière étape : il vous reste à générer une configuration pour l'Agent de poste et à installer ce dernier sur le poste d'un utilisateur (puis de l'ensemble de vos utilisateurs).

Dans Olfeo SaaS, un annuaire est associé à une et une seule configuration pour l'Agent de poste.

Suivez les étapes ci-dessous pour générer une configuration d'Agent de poste pour l'annuaire que vous avez connecté puis ensuite, télécharger l'installeur de l'Agent et suivez les instructions pour l'installer sur un poste.

Veuillez noter que certains prérequis (réseaux notamment) peuvent devoir être levés au préalable pour que l'Agent puisse se connecter au cloud Olfeo SaaS. Reportez vous à la documentation détaillée de l'Agent pour plus d'informations à ce propos.

Prérequis

Avant de générer une configuration d'Agent de poste, vous devez avoir :

Pour définir une configuration de l'Agent de poste, suivez la procédure ci-dessous :
  1. Sur l'interface Olfeo SaaS, rendez-vous sur Configuration > Annuaires.

  2. Cliquez sur l'icône edit.svg (modifier) de votre annuaire.

  3. Rendez-vous sur Agent de poste.

  4. Choisissez un proxy.pac (voir Créer un proxy.pac).

    Capture_d_ecran_2021-01-07_a_16_48_52.png
  5. Définissez en cochant la case si vous souhaitez que l'Agent soit installé et proxifie le trafic globalement (au niveau système), plutôt qu'application par application.

    Note : quel impact a le fait de "forcer l'installation au niveau système" ?

    L'installation au niveau système applique par défaut l'orientation des flux vers la plateforme Olfeo SaaS sans que vous n'ayez à modifier les paramètres des différents clients HTTP (navigateurs, clients lourds...) installés sur les postes de vos utilisateurs.

    L'Agent modifie automatiquement les propriétés réseaux du système lors de l'installation pour indiquer que l'usage d'un proxy est obligatoire et inscrit l'URL du fichier de configuration automatique (proxy.pac). Il maintient ensuite ces paramètres pour empêcher l'utilisateur de les modifier.

    C'est l'usage recommandé de notre plateforme.

    Sinon, l'Agent se contentera d'écouter passivement les requêtes HTTP/S transmises par les clients HTTP et vous devrez paramétrer manuellement (ou via GPO) vos différents clients pour modifier leurs politiques d'accès à internet. Plus lourde à mettre en place et à maintenir, cette approche peut être intéressante dans certains cas d'usage particuliers.

  6. Cliquez sur Générer la configuration.

    Une URL de l'Agent de poste vient d'être générée. Copiez l'URL de l'Agent de poste générée en cliquant sur l'icône Clipboard.png (presse-papier) ou sur cette icone-ci

Prérequis

Pour pouvoir télécharger et installer l'Agent de poste, vous devez :

  • avoir créé une configuration d'Agent de poste (voir ci-dessus) - ça n'aurait pas beaucoup de sens de télécharger un Agent que vous ne pourriez pas utiliser :)

  • disposer d'un utilisateur avec des droits d'administration sur le poste où vous souhaitez installer l'Agent de poste.

Télécharger l'Agent de poste

Une fois que vous avez créé une configuration d'Agent de poste, les liens de téléchargement de l'Agent de poste s'activent sur la page des Annuaires.

Agents_telechargement.png

Il vous suffit de cliquer sur le lien correspondant à l'OS sur lequel vous souhaitez installer l'Agent pour télécharger l'installeur.

Installer l'Agent de poste

Sous Windows, l'Agent de poste est fourni avec un installeur (.msi) qui vous permettra aisément de l'installer via l'interface graphique (pratique pour installer sur un poste à la demande) ou en ligne de commande (pour des déploiements plus massifs via une GPO et/ou une télédistribution).

Quelle que soit la façon dont vous installez l'Agent, lors de son installation celui-ci va réaliser les actions suivantes :

  • Il crée un dossier trustlane dans C:\ProgramData et y copie les fichiers de paramétrage ainsi que les certificats et leurs sommes de contrôle.

  • Il crée un dossier trustlane dans C:\ProgramFiles et y copie le binaire complet et les deux services qui composent l'Agent

  • il copie le msi dans le répertoire système pour permettre la désinstallation via le panneau de configuration

  • il ajoute les clés de registres nécessaires pour son lancement (au démarrage notamment) et sa bonne exécution (contactez nous pour plus d'informations à ce sujet).

  • il lance ensuite les services

Suivez les étapes ci-dessous pour installer l'Agent de poste de la façon qui vous conviendra le mieux :

  1. Dans l'interface d'administration de Olfeo SaaS, téléchargez l'installeur pour Windows et copiez l'URL de configuration d'Agent de poste que vous avez précédemment créé.

  2. Exécutez le fichier.msi de l'Agent de poste en tant qu'administrateur pour ouvrir l'assistant d'installation.

  3. Lisez les instructions de l'assistant d'installation et acceptez les conditions d'utilisation puis cliquez sur Suivant.

  4. Collez l'URL de l'Agent de poste quand l'assistant vous invite à le faire. Cliquez sur Suivant.

    Assistant_installation_Agent_d_authentification.png
  5. L'installeur télécharge le fichier de configuration ainsi que les certificats d'autorités de certification d'Olfeo (nécessaires au déchiffrement TLS) pour les installer sur le poste et il exécute ensuite les opérations d'installation.

    Selon la configuration de vos postes, Windows peut vous afficher un avertissement avant d'autoriser l'installeur à apporter des modifications à votre système par Windows : cliquez sur Oui.

  6. Si tout s'est bien passé, l'installeur vous confirme la bonne installation. Vous avez terminé :)

L'Agent de poste est maintenant installé sur le poste. Les requêtes HTTP et HTTPS des utilisateurs de ce poste seront dirigés vers le proxy Olfeo SaaS :

  • si vous avez choisi de forcer l'usage au niveau système (recommandé), ce routage est fait automatiquement

  • sinon, vous devez modifier les paramètres proxy de votre navigateur en indiquant l'URL du proxypac associé à cette configuration pour orienter les requêtes de votre navigateur vers Olfeo SaaS.

Vérifiez l'installation de l'Agent en accédant à une URL autorisée par vos règles de filtrage (ex. https://www.qwant.com). Vous devriez alors :

  1. être redirigé vers votre fournisseur d'identité -sauf si vous vous êtes déjà authentifié précédemment

  2. voir apparaître très brièvement une page affichant "Successful authentication"

  3. s'afficher ensuite automatiquement la page d'accueil de Qwant.

Si vous avez activé le déchiffrement TLS, (et que vous n'avez pas exclu *.qwant.com du déchiffrement), contrôlez bien que le certificat utilisé est celui de Olfeo SaaS (à défaut celui d'Olfeo).

Félicitations, vous êtes protégé par Olfeo SaaS !

Vous pouvez visualiser les requêtes que vous faites via l'outil de Diagnostic et vous devriez commencer à voir des données s'afficher dans les Statistiques.

  1. Dans l'interface d'administration de Olfeo SaaS, téléchargez l'installeur pour Windows et copiez l'URL de configuration d'Agent de poste que vous avez précédemment créé.

  2. Lancez l'invite de commande (Powershell par ex.) en tant qu'administrateur.

  3. Déplacez-vous jusqu'au dossier contenant l'installeur puis saisissez la commande suivantes : msiexec.exe /i authentication_agent_fr.msi /qn /quiet CONFIG_URL="$configUrl"

    Pour obtenir les logs d'installation, vous pouvez ajouter /L*V C:\chemin\vers\votre\dossier\trustlane_install.log à la commande d'installation

L'Agent de poste est maintenant installé sur le poste. Les requêtes HTTP et HTTPS des utilisateurs de ce poste seront dirigés vers le proxy Olfeo SaaS :

  • si vous avez choisi de forcer l'usage au niveau système (recommandé), ce routage est fait automatiquement

  • sinon, vous devez modifier les paramètres proxy de votre navigateur en indiquant l'URL du proxypac associé à cette configuration pour orienter les requêtes de votre navigateur vers Olfeo SaaS.

Vérifiez l'installation de l'Agent en accédant à une URL autorisée par vos règles de filtrage (ex. https://www.qwant.com). Vous devriez alors :

  1. être redirigé vers votre fournisseur d'identité -sauf si vous vous êtes déjà authentifié précédemment

  2. voir apparaître très brièvement une page affichant "Successful authentication"

  3. s'afficher ensuite automatiquement la page d'accueil de Qwant.

Si vous avez activé le déchiffrement TLS, (et que vous n'avez pas exclu *.qwant.com du déchiffrement), contrôlez bien que le certificat utilisé est celui de Olfeo SaaS (à défaut celui d'Olfeo).

Félicitations, vous êtes protégé par Olfeo SaaS !

Vous pouvez visualiser les requêtes que vous faites via l'outil de Diagnostic et vous devriez commencer à voir des données s'afficher dans les Statistiques.

Déployer à grande échelle

Cette approche d'installation est clé pour déployer aisément à grande échelle. Découvrez quelques exemples de cas d'usages pour les déploiements dans notre base de connaissances !

Suivez les étapes ci-dessous pour installer l'Agent de poste Olfeo SaaS sur un mac.

  1. Dans l'interface d'administration de Olfeo SaaS, téléchargez l'installeur pour Windows et copiez l'URL de configuration d'Agent de poste que vous avez précédemment créé.

  2. Lancez le terminal en tant qu'administrateur. Déplacez vous jusqu'au dossier où vous avez placé le binaire d'installation.

    Modifiez les droits d'usage du binaire : sudo chmod +x authentication_agent

    Lancez ensuite l'installation de l'Agent : sudo ./authentication_agent install --verbose --config https://URL_DE_CONFIGURATION

    Avis

    MacOS vous demandera le mot de passe utilisateur à plusieurs reprises au cours de l'installation. C'est normal.

  3. L'installeur télécharge le fichier de configuration ainsi que les certificats d'autorités de certification d'Olfeo (nécessaires au déchiffrement TLS) pour les installer sur le poste et il exécute ensuite les opérations d'installation.

    Les différentes étapes s'affichent dans le terminal au fur et à mesure de l'exécution.

Au cours de l'installation l'Agent aura effectué les actions suivantes :

  • il crée un dossier trustlane dans /usr/bin/local et y copie les binaires nécessaires au fonctionnement de l'Agent (l'Agent lui même et son systray pour communiquer avec l'utilisateur dans la barre de programmes)

  • il crée un dossier trustlane dans ~/Library/ et y copie les fichiers de configuration ainsi que les certificats nécessaires pour le déchiffrement TLS et leurs sommes de contrôle.

  • il lance ensuite les services

L'Agent de poste est maintenant installé sur le poste. Les requêtes HTTP et HTTPS des utilisateurs de ce poste seront dirigés vers le proxy Olfeo SaaS :

  • si vous avez choisi de forcer l'usage au niveau système (recommandé), ce routage est fait automatiquement

  • sinon, vous devez modifier les paramètres proxy de votre navigateur en indiquant l'URL du proxypac associé à cette configuration pour orienter les requêtes de votre navigateur vers Olfeo SaaS.

Vérifiez l'installation de l'Agent en accédant à une URL autorisée par vos règles de filtrage (ex. https://www.qwant.com). Vous devriez alors :

  1. être redirigé vers votre fournisseur d'identité -sauf si vous vous êtes déjà authentifié précédemment

  2. voir apparaître très brièvement une page affichant "Successful authentication"

  3. s'afficher ensuite automatiquement la page d'accueil de Qwant.

Si vous avez activé le déchiffrement TLS, (et que vous n'avez pas exclu *.qwant.com du déchiffrement), contrôlez bien que le certificat utilisé est celui de Olfeo SaaS (à défaut celui d'Olfeo).

Félicitations, vous êtes protégé par Olfeo SaaS !

Vous pouvez visualiser les requêtes que vous faites via l'outil de Diagnostic et vous devriez commencer à voir des données s'afficher dans les Statistiques.

Aller plus loin...

A ce stade, votre configuration de Olfeo SaaS est fonctionnelle et vous pouvez commencer à naviguer avec le poste sur lequel vous venez d'installer l'Agent. Vous devriez voir apparaître de premières Statistiques d'ici quelques instants

Vous pouvez aller plus loin dans votre configuration en mettant en place notamment...

Vous pouvez vous rendre sur la vue Diagnostics ou Tester une URL pour comprendre le comportement des utilisateurs de votre organisation et donc paramétrer Olfeo SaaS selon vos besoins précis.