Am Admin Guide - FR

GUIDE D'ADMINISTRATION
WALLIX Access Manager 2.0.19.3
Reference: https://doc.wallix.com/fr/am/2.0.19.3/am-admin-guide
Copyright © 2020 Wallix
WALLIX Access Manager 2.0.19.3 – Guide d'Administration
Table des matières

1. Introduction ............................................................................................................................ 3
1.1. Préambule ................................................................................................................... 3
1.2. Copyright, licences ...................................................................................................... 3
1.3. Légende ...................................................................................................................... 3
1.4. A propos de ce document .......................................................................................... 3
2. Compatibilité & limites ........................................................................................................... 4
3. Vue d'ensemble ..................................................................................................................... 5
4. Préférences de l'utilisateur ..................................................................................................... 6
5. Multi-tenants et organisations ................................................................................................ 7
5.1. L'organisation globale ................................................................................................ 8
5.2. L'organisation défaut .................................................................................................. 8
5.3. Politiques de mot de passe ........................................................................................ 8
5.4. Thèmes ....................................................................................................................... 9
6. Domaines d'authentification ................................................................................................. 11
6.1. Domaines locaux ...................................................................................................... 11
6.2. Domaines LDAP ....................................................................................................... 11
6.2.1. Configuration .................................................................................................. 11
6.2.2. Personnalisation de requête ........................................................................... 12
6.2.3. Authentification X509 ..................................................................................... 13
6.3. Domaines SAML ....................................................................................................... 14
7. Utilisateurs ........................................................................................................................... 17
7.1. Profils ........................................................................................................................ 17
7.2. Utilisateurs locaux ..................................................................................................... 17
7.3. Utilisateurs externes .................................................................................................. 18
8. Bastions ............................................................................................................................... 19
9. Autorisations de l'utilisateur ................................................................................................. 21
9.1. Autorisations et dossiers ........................................................................................... 21
9.2. Autorisations des utilisateurs sur les sessions .......................................................... 22
9.3. Autorisations des utilisateurs sur les mots de passe ................................................. 22
10. Réglages de l'application ................................................................................................... 24
10.1. Paramètres de l'application ..................................................................................... 24
10.2. Certificats du serveur Web ...................................................................................... 25
10.3. Logs ........................................................................................................................ 25
10.4. Sauvegarde et restauration de base de données .................................................... 26
10.4.1. Sauvegarde de la base de données ............................................................ 26
10.4.2. Restauration de la base de données ............................................................ 26
11. Réglages de l'audit de sessions ........................................................................................ 28
12. Paramètres de la base de données ................................................................................... 30
13. Journal d'audit .................................................................................................................... 31
14. Audit de sessions .............................................................................................................. 32
15. Montée en charge et Haute-disponibilité ............................................................................ 33
15.1. Déploiement de plusieurs instances Access Manager ............................................. 33
15.2. Déploiement d'un cluster de Bastions dans une instance Access Manager .............. 33
16. Sauvegardes ...................................................................................................................... 34
16.1. Oracle Database Server .......................................................................................... 34
16.2. MySQL Community Server ou MariaDB Server ....................................................... 34
17. Résolution de problèmes ................................................................................................... 35
18. Contacter le Support WALLIX Access Manager ................................................................. 36
2
Chapitre 1. Introduction
1.1. Préambule
Nous vous remercions d’avoir choisi WALLIX Access Manager (Access Manager).
Access Manager est distribué sous la forme d'un programme d'installation permettant de déployer
le logiciel sur un serveur.
Les équipes Wallix ont apporté le plus grand soin à l’élaboration de ce produit et souhaitent qu’il
vous apporte entière satisfaction.
1.2. Copyright, licences
Le présent document est la propriété de la société Wallix et ne peut être reproduit sans son accord
préalable.
Tous les noms de produits ou de sociétés cités dans le présent document sont des marques dé-
posées de leurs propriétaires respectifs.
WALLIX Access Manager est soumis au contrat de licence logicielle Wallix.
WALLIX Access Manager est basé sur des logiciels libres. La liste des logiciels utilisés par WALLIX
Access Manager est disponible auprès de Wallix. Pour l'obtenir, il suffit d’en faire une demande
par internet en créant une requête à l'adresse https://support.wallix.com ou par écrit à
l’adresse suivante :
WALLIX
Service Support
250 bis, Rue du Faubourg Saint-Honoré
75008 PARIS
FRANCE
1.3. Légende
prompt $ commande à taper <paramètre à remplacer>
retour de la commande
sur une ou plusieurs lignes
prompt $
1.4. A propos de ce document

Ce document est le Guide d'Administration du WALLIX Access Manager 2.0.19.3. Il vous guide lors
de la configuration et l'administration au quotidien du produit.
3
Chapitre 2. Compatibilité & limites

Veuillez vous référer au document Release Notes pour vérifier la compatibilité du WALLIX Access
Manager 2.0.19.3 avec les différents clients ou cibles et obtenir plus d'informations sur les limita-
tions, les problèmes connus et également les pré-requis techniques et les nouvelles fonctionnalités
de cette nouvelle version.
4
Chapitre 3. Vue d'ensemble
WALLIX Access Manager (Access Manager) fournit des services de connexions entre des naviga-
teurs web et des cibles auxquelles des utilisateurs sont autorisés à accéder. Les accès aux cibles
sont effectués à travers des appliances WALLIX Bastion. Les connexions sont effectuées au moyen
de clients HTML5 ; les navigateurs ne nécessitent aucune extension. Access Manager permet éga-
lement aux utilisateurs possédant les droits appropriés d'afficher les mots de passe des cibles dans
le navigateur et/ou de les copier directement dans le presse-papier.
Access Manager prend en charge une configuration « multi-tenante » au moyen de conteneurs

appelés « Organisations » comme décrit dans Chapitre 5, Multi-tenants et organisations.
Afin de sauvegarder la configuration, Access Manager a besoin d'un accès à une base de données
externe. Les paramètres de base de données sont configurés comme décrit dans Chapitre 12,
Paramètres de la base de données.
La configuration des appliances Wallix Bastion déployées par l'organisation est décrite dans Cha-
pitre 8, Bastions.
Figure 3.1. Diagramme de flux
5
Chapitre 4. Préférences de l'utilisateur
Un utilisateur connecté peut modifier ses préférences d'utilisation à tout moment, indépendamment
de son profil et de l'organisation à laquelle il/elle appartient.
La page « Préférences », accessible en cliquant sur le nom de l'utilisateur connecté sur la droite
de la barre de menu, permet de modifier les préférences de l'utilisateur.
Les préférences de l'utilisateur sont définies par les attributs suivants :
• Identifiant : La valeur que l'utilisateur fournit pour s'identifier.

• Nom : La valeur affichée à l'écran pour le nom de l'utilisateur connecté.
• E-mail : L'adresse e-mail de l'utilisateur connecté. Cette adresse peut être modifiée.
• Organisation : L'organisation sur laquelle l'utilisateur est actuellement connecté.
• Domaine : Le domaine d'authentification de l'organisation sur laquelle l'utilisateur est actuelle-
ment connecté.
• Langue : La langue d'affichage de l'interface choisie par l'utilisateur connecté. Une autre langue
peut être sélectionnée dans la liste.
• Modifier le mot de passe : Bouton permettant de changer le mot de passe de l'utilisateur
connecté. Il doit se conformer à la politique de mot de passe pour l'organisation. Voir Section 5.3,
« Politiques de mot de passe » pour plus d'informations.
6
Chapitre 5. Multi-tenants et
organisations
Access Manager est multi-tenant car plusieurs configurations peuvent cohabiter au sein du même
serveur Access Manager. Une configuration est associée à un objet « Organisation ». Une organi-
sation est un ensemble d'utilisateurs et d'instances WALLIX Bastion. Un utilisateur et une instance
WALLIX Bastion appartiennent uniquement à une seule organisation.
La page « Organisations », accessible depuis le menu « Configuration », permet d'ajouter des

organisations.
Une organisation est définie par les attributs suivants :
• Nom : Le nom de l'organisation telle qu'il apparaît dans l'application. Il s'agit d'une chaîne de
longueur comprise entre 1 et 128 caractères.
• Identifiant : Une chaîne obligatoire d'une longueur comprise entre 1 et 64 caractères. Les
caractères autorisés sont les lettres minuscules et majuscules latines (A à Z). L'identifiant est
utilisé soit comme élément du chemin de l'URL juste après le chemin de contexte, soit comme
le premier élément d'un nom complètement qualifié - fully qualified name (FQDN) - de l'hôte. Ac-
cess Manager recherche d'abord dans le chemin puis dans le FQDN pour identifier l'organisation
utilisée lors de la connexion.
Exemples:
– https://mycompany.tld/wabam/myorg : Dans cet exemple, le chemin de contexte est
wabam. L'URL indique myorg comme organisation. Le FQDN mycompany.tld est utilisé pour
toutes les organisations.
– https://myorg.mycompany.tld/wabam : Dans cet exemple, le FQDN
myorg.mycompany.tld indique myorg comme organisation.
Si aucun identifiant d'organisation n'est précisé dans l'URL, alors Access Manager applique la
règle suivante :
– si seule l'organisation globale est présente, Access Manager redirige automatiquement
l'utilisateur vers cette dernière,
– si une seule organisation locale existe, Access Manager redirige automatiquement l'utilisateur
vers cette dernière,
– si plusieurs organisations locales existent, Access Manager demande alors à l'utilisateur de
préciser l'organisation dans l'URL.
• Domaine par défaut : Le domaine utilisé si aucun domaine n'est indiqué dans l'URL. Voir
Chapitre 6, Domaines d'authentification pour plus d'informations.
• Nom du domaine local : Le nom utilisé pour référencer le domaine local et, principalement, le
paramètre local de l'URL. Voir Chapitre 6, Domaines d'authentification pour plus d'informations.
• Politique de mot de passe : La politique de mot de passe utilisée pour cette connexion.
Voir Section 5.3, « Politiques de mot de passe » pour plus d'informations.
• Thème : Le thème utilisé pour l'organisation. Voir Section 5.4, « Thèmes » pour plus
d'informations.
• Certificat AC : Le certificat de l'Autorité de Certification utilisé pour l'organisation afin de
vérifier la signature du certificat client.
Cette vérification a lieu lorsque la configuration suivante est mise en place :
7
– dans un premier temps, positionner le paramètre web.check.client.certificate du fi-

chier wabam.properties à « true ». Le fichier wabam.properties est disponible dans
le répertoire de configuration par défaut : /etc/opt/wallix/wabam sous Linux et C:\Pro-
gramData\Wallix\wabam\conf sous Windows.
– ensuite, redémarrer le service Access Manager ;
– enfin, au niveau de chaque organisation, coller le certificat au format PEM en déployant le
champ Certificat AC.
Lors de la connexion de l'utilisateur à l'organisation, le navigateur Web affiche une fenêtre de

choix du certificat client approprié, dans le cas où plusieurs certificats clients sont définis.
A partir de la liste affichée sur la page « Organisations », il est possible de :
• dupliquer une organisation existante en cliquant sur l'icône Dupliquer au début de la ligne
concernée, ou encore en effectuant un clic-droit sur la ligne afin d'afficher un menu contextuel
avec l'option Dupliquer. La fenêtre de création de l'organisation s'affiche et le formulaire est
pré-rempli avec les paramètres de l'organisation choisie : le champ Nom doit être renseigné pour
cette nouvelle organisation.
• supprimer une organisation existante en effectuant un clic-droit sur la ligne concernée : un menu
contextuel s'affiche et l'option Supprimer doit être sélectionnée. Access Manager affiche une
fenêtre demandant une confirmation avant la suppression définitive de la ligne.
5.1. L'organisation globale
L'organisation globale est une organisation pré-existante. Son nom par défaut est global. Les
utilisateurs de cette organisation ont la possibilité d'accéder aux autres organisations pour des be-
soins d'administrations. Seuls les administrateurs de l'organisation globale peuvent créer d'autres
organisations. Les utilisateurs des autres organisations peuvent uniquement accéder aux objets
de leur propre organisation.
Les utilisateurs de l'organisation globale ne peuvent pas avoir des autorisations pour se connecter
à des cibles.
5.2. L'organisation défaut
Lors du déploiement de Access Manager, une organisation dénommée default est créée et mise
à disposition. Cette organisation est prête pour une utilisation normale. Elle peut cependant être
renommée et supprimée.
5.3. Politiques de mot de passe

Chaque fois qu'une organisation est créée, une politique par défaut de mots de passe est également
créée. Il est possible de créer des politiques additionnelles au sein de l'organisation, mais une seule
peut être active à la fois.
De nouvelles politiques de mot de passe peuvent être ajoutées sur la page « Politiques de mot de
passe », accessible depuis le menu « Configuration ».
Une politique de mot de passe est définie par les attributs suivants :
• Nom : Le nom de la politique de mot de passe.
8
• Accepter des car. non-ASCII : Bouton permettant d'autoriser ou non les caractères non-
ASCII dans le mot de passe.
• Taille minimale : Le nombre minimum de caractères dans un mot de passe. Le plus petit
nombre est 4.
• Taille maximale : Le nombre maximal de caractères dans un mot de passe. Le maximum
est de 64.
• Car. minuscules min : Le nombre minimal de caractères alphabétiques minuscules que doit
contenir un mot de passe.
• Car. majuscules min : Le nombre minimal de caractères alphabétiques majuscules que doit
contenir un mot de passe.
• Car. spéciaux min : Le nombre minimal de caractères ASCII non-alphanumériques.
• Car. numériques min : Le nombre minimal de chiffres que doit contenir un mot de passe.
• Car. différents avec précédent : Le nombre de caractères différents qui doivent être
présents dans le nouveau mot de passe par rapport au précédent. Cela s'applique uniquement au
mot de passe précédent et non pas aux autres mots de passe de l'historique car celui-ci conserve
seulement les hachages unidirectionnels. Les utilisateurs devront fournir le mot de passe actuel
pour le changer.
• Taille de l'historique des MDPs : La taille de l'historique de mot de passe à conserver.
Cet historique conserve seulement les hachages unidirectionnels.
• Délai d'expiration : Le nombre de jours avant l'expiration du mot de passe.
• Délai d'avertissement d'expiration : Le nombre de jours avant l'expiration du mot de
passe à partir duquel l'utilisateur doit être averti de changer son mot de passe.
• Nombre d'échecs autorisés : Le nombre d'échecs d'authentification autorisés avant le
verrouillage du compte utilisateur.
A partir de la liste affichée sur la page « Politiques de mot de passe », il est possible de :
• dupliquer une politique de mot de passe existante en cliquant sur l'icône Dupliquer au début
de la ligne concernée, ou encore en effectuant un clic-droit sur la ligne afin d'afficher un menu
contextuel avec l'option Dupliquer. La fenêtre de création de la politique de mot de passe
s'affiche et le formulaire est pré-rempli avec les paramètres de la politique choisie : le champ Nom
doit être renseigné pour cette nouvelle politique de mot de passe.
• supprimer une politique de mot de passe existante en effectuant un clic-droit sur la ligne concer-
née : un menu contextuel s'affiche et l'option Supprimer doit être sélectionnée. Access Manager
affiche une fenêtre demandant une confirmation avant la suppression définitive de la ligne.
5.4. Thèmes
Access Manager offre la possibilité de définir un thème personnalisé par organisation. Plusieurs
thèmes peuvent être définis pour les organisations. Cependant, un seul thème peut être appliqué.
Le thème actif est défini dans le champ Thème de l'organisation sélectionnée sur la page « Orga-
nisations », accessible depuis le menu « Configuration ».
Un thème est défini par les attributs suivants :
• Nom : Le nom du thème.

• Titre de la page : La chaîne de caractères affichée en titre de la page.
• Logo d'en-tête de page : L'image affichée dans l'en-tête de la page. Celle-ci doit être
encodée au format JPEG ou PNG. La taille du fichier correspondant ne doit pas excéder 200
kilo-octets. La taille optimale de l'image est de 80 x 50 pixels.
9
• Logo de page de connexion : L'image affichée dans l'en-tête de la page de connexion.

Celle-ci doit être encodée au format JPEG ou PNG. La taille du fichier correspondant ne doit pas
excéder 200 kilo-octets. La taille optimale de l'image est de 106 x 70 pixels.
• Couleur Primaire : La couleur principale de l'application. Elle correspond à la couleur de
l'en-tête.
• Couleur Défaut : La couleur neutre des éléments graphiques.
• Couleur Succès : La couleur signalant la réussite ou le caractère bénin d'une action.
• Couleur Information : La couleur signalant une information ou une action.
• Couleur Avertissement : La couleur d'un avertissement ou d'une action de test.
• Couleur Erreur : La couleur signalant une erreur, un danger ou une action risquée.
• Couleur Texte des widgets : La couleur du texte des éléments graphiques (boutons, barre
de navigation, etc.).
• Couleur Texte : La couleur du texte de l 'application.
• Couleur Liens : La couleur des liens hypertextes.
• Couleur Arrière-plan : La couleur de l'arrière-plan.
L'icône « menu » en bas à gauche regroupe plusieurs actions proposant une assistance à la création
du thème :
• Essayer : Le thème est temporairement appliqué. Pour revenir au thème précédent, il suffit de
cliquer sur l'icône de l'œil barré dans l'en-tête de la page.
Cette action est uniquement disponible lors de la modification d'un thème existant.
• Remplir le formulaire avec les paramètres du thème par défaut : Cette action
peut être utilisée pour remplir le formulaire avec les paramètres du thème par défaut de Access
Manager.
• Exporter sous format XML : Cette action peut être utilisée pour télécharger les paramètres
du thème sous forme de fichier XML.
• Importer un fichier XML : Cette action peut être utilisée pour importer les paramètres à
utiliser lors de la création ou de la modification d'un thème, à partir d'un fichier au format XML.
A partir de la liste affichée sur la page « Thèmes », il est possible de :
• dupliquer un thème existant en cliquant sur l'icône Dupliquer au début de la ligne concernée,
ou encore en effectuant un clic-droit sur la ligne afin d'afficher un menu contextuel avec l'option
Dupliquer. La fenêtre de création du thème s'affiche et le formulaire est pré-rempli avec les
paramètres du thème appliqué à la session courante : le champ Nom doit être renseigné pour
ce nouveau thème.
• supprimer un thème existant en effectuant un clic-droit sur la ligne concernée : un menu contex-
tuel s'affiche et l'option Supprimer doit être sélectionnée. Access Manager affiche une fenêtre
demandant une confirmation avant la suppression définitive de la ligne.
10
Chapitre 6. Domaines d'authentification
Le domaine permet de définir un schéma d'authentification pour un sous-ensemble d'utilisateurs
de l'organisation. Access Manager prend en charge trois types de domaines :
• local : Les utilisateurs sont définis dans Access Manager.

• LDAP :Les utilisateurs sont définis sur un serveur LDAP ou dans un annuaire Active Directory.
• SAML : Les utilisateurs sont définis à partir d'un fournisseur d'identité (IdP) SAML.
Lors de la connexion à Access Manager, le domaine doit être référencé en paramètre dans l'URL.
Exemple 6.1. Exemple d'URL
https://mycompany.tld/wabam/myorg?domain=mydomain : L'URL fait référence à mydo-
main, domaine dans l'organisation myorg.
Il est possible de choisir un domaine par défaut pour une organisation en modifiant le champ Do-
maine par défaut de l'organisation sélectionnée sur la page « Organisations », accessible
depuis le menu « Configuration ».
6.1. Domaines locaux
Le domaine local est créé pour chaque organisation. Il est utilisé pour définir directement des uti-
lisateurs dans Access Manager. Le nom de ce domaine peut être modifié en changeant la corres-
pondance dans le champ Nom du domaine local de l'organisation sélectionnée sur la page
« Organisations », accessible depuis le menu « Configuration ».
6.2. Domaines LDAP
6.2.1. Configuration
Un domaine LDAP est un ensemble de serveurs LDAP. Des serveurs LDAP peuvent être définis
pour une organisation afin de retrouver la définition des utilisateurs depuis un annuaire externe.
Microsoft Active Directory est considéré comme un serveur LDAP. Par conséquent, il est possible
de permettre aux utilisateurs d'un domaine Windows d'accéder au service Access Manager. Dans
un domaine, chaque serveur est considéré comme étant équivalent aux autres. Ainsi, Access Ma-
nager utilise indifféremment n'importe quel serveur du domaine pour fournir des capacités de haute-
disponibilité.
Les serveurs LDAP peuvent être ajoutés sur la page « Serveurs LDAP », accessible depuis le menu
« Configuration ».
Un serveur LDAP est défini par les attributs suivants, affichés dans l'onglet Connexion :
• Nom : Le nom du serveur dans le système. Il s'agit d'une chaîne de longueur comprise entre 1
et 128 caractères.
• Hôte : Le nom d'hôte ou l'adresse IP du serveur LDAP.
• Port : Le port TCP du serveur LDAP ; 389 par défaut pour Pas de chiffrement ou StartTLS
et 636 pour SSL.
• Méthode de chiffrement : Il existe trois méthodes différentes : Pas de chiffrement,
SSL, StartTLS.
11
• Méthode d'authentification : Il existe deux méthodes différentes : Pas

d'authentification pour une connexion anonyme et Authentification simple. Pour
cette dernière méthode, deux autres attributs sont nécessaires pour définir l'identité de la
connexion : DN de connexion (chaîne de longueur 1 à 228 caractères) et Mot de passe de
connexion (chaîne de longueur 1 à 228 caractères).
• DN de Base : Utilisé pour limiter les requêtes à une sous-arborescence de l'annuaire.
• Délai d'expiration (s) : Nombre de secondes à attendre une réponse du serveur LDAP.
• Autoriser l'utilisateur LDAP à changer le mot de passe : Bouton permettant
d'indiquer à Access Manager que le changement de mot de passe est autorisé pour l'utilisateur
LDAP via l'écran de connexion lorsque le serveur LDAP l'exige (cela nécessite d'attribuer à
l'utilisateur de connexion le droit de réinitialiser les mots de passe).
Le domaine du serveur et ses attributs sont affichés dans l'onglet Domaine :
• Nom du domaine : Le domaine auquel le serveur appartient. Il s'agit d'une chaîne de longueur
comprise entre 1 et 64 caractères. Si des domaines ont déjà été créés pour l'organisation, il est
possible d'en sélectionner un en cliquant sur l'icône Crayon.
Lorsque ce mode d'authentification est utilisé dans Access Manager conjointement à

l'authentification par Domaine LDAP dans WALLIX Bastion, alors les noms de domaines définis
dans les deux produits doivent correspondre.
• Type de schéma : Le type de schéma du serveur LDAP, Active Directory, NIS ou X500. Les
attributs du schéma par défaut peuvent être remplacés en cliquant sur l'icône Crayon.
• Profil par défaut : Le profil appliqué par défaut si aucune correspondance avec un profil
Access Manager n'est trouvée dans l'annuaire. Access Manager recherche les groupes d'un
utilisateur et lui associe les profils ayant le même nom que ses groupes. Avec Active Directory,
les groupes sont recherchés de manière récursive.
• Langue par défaut : La langue par défaut à utiliser si aucune n'est trouvée dans l'annuaire.
• Autoriser auth. par cert. X509 : Bouton permettant d'indiquer à ${product.name.short}

que l'authentification X509 est autorisée pour l'utilisateur LDAP sur l'écran de connexion lorsqu'il
se connecte via le domaine LDAP. Ce bouton est uniquement disponible lorsque Active Di-
rectory est sélectionné comme Type de schéma. Voir Section 6.2.3, « Authentification X509 »
pour plus d'informations.
A partir de la liste affichée sur la page « Serveurs LDAP », il est possible de :
• dupliquer un serveur LDAP existant en cliquant sur l'icône Dupliquer au début de la ligne
concernée, ou encore en effectuant un clic-droit sur la ligne afin d'afficher un menu contextuel
avec l'option Dupliquer. La fenêtre de création du serveur LDAP s'affiche et le formulaire est
pré-rempli avec les paramètres du serveur choisi : les champs Nom et Nom du domaine doivent
être renseignés pour ce nouveau serveur LDAP.
• supprimer un serveur LDAP existant en effectuant un clic-droit sur la ligne concernée : un menu
6.2.2. Personnalisation de requête
Deux requêtes LDAP sont utilisées pour extraire la définition de l'utilisateur. Ces requêtes sont
exécutées chaque fois qu'un utilisateur se connecte. La première requête est utilisée pour obtenir
les attributs de l'utilisateur et la seconde est utilisée pour obtenir les groupes de l'utilisateur. La
12
classe d'objet utilisée pour récupérer l'utilisateur dans le répertoire est fournie par le champ Classe
d'objet.
Active Directory NIS X500

user posixAccount inetOrgPerson
Tableau 6.1. Valeurs par défaut de l'attribut Object-Class
Les attributs Utilisateur qui peuvent être récupérés dans l'annuaire sont répertoriés dans le Ta-
bleau 6.2, « Attributs utilisateur par défaut par type de schéma ».
Attribut Active Directory NIS X500

Identifiant sAMAccountName uid uid
Nom d'affichage displayName cn cn
E-mail mail mail mail
Langue preferredLanguage preferredLanguage preferredLanguage
Tableau 6.2. Attributs utilisateur par défaut par type de schéma
La deuxième requête récupère les groupes d'utilisateurs. La partie personnalisée décrit comment
vérifier l'appartenance de l'utilisateur à un groupe. Une syntaxe spécifique est disponible pour définir
par quel attribut l'utilisateur est identifié comme appartenant à un groupe. Le nom d'attribut doit être
entre ${ et }. Le tableau indique la valeur du Filtre de groupes par type de schéma.
Type de Schéma Filtre de groupes

Active Directory &(objectClass=group)(member:1.2.840.113556.1.4.1941:=${dn})
NIS &(objectClass=posixGroup)(memberUid=${uid})
X500 &(objectClass=groupOfNames)(member=${dn})
Tableau 6.3. Filtres de groupes
6.2.3. Authentification X509
L'authentification X509 peut être proposée à l'utilisateur du domaine LDAP sur l'écran de connexion
de Access Manager, au même titre que l'authentification par identifiant et mot de passe, lorsque la
configuration suivante est mise en place :
• dans un premier temps, il est nécessaire d'effectuer les paramétrages suivants au sein du fichier
wabam.properties, disponible dans le répertoire de configuration par défaut : /etc/opt/
wallix/wabam sous Linux et C:\ProgramData\Wallix\wabam\conf sous Windows.
– positionner le paramètre web.check.client.certificate à « true » puis,
– renseigner le paramètre web.client.certificate.subhostname avec la valeur corres-
pondant au deuxième élément d'un nom complètement qualifié - fully qualified name (FQDN)
- de l'hôte.
Dans cet exemple : hello.X509.nono.net, « X509 » correspond à ce deuxième élément

et doit donc être renseigné en valeur pour ce paramètre.
• si nécessaire, renseigner également les paramètres suivants au sein de ce même fichier :
– web.cert.crl : indiquer le chemin d’accès au fichier contenant la liste de révocation de
certificats (CRL) et,
– web.cert.ocsp.responder.url : indiquer l'URL d'accès au répondeur OCSP.
13
• ensuite, redémarrer le service Access Manager ;

• au niveau de chaque organisation, coller le certificat au format PEM en déployant le champ
Certificat racine.
Lors de la connexion de l'utilisateur à l'organisation, le navigateur Web affiche une fenêtre de
choix du certificat client approprié, dans le cas où plusieurs certificats clients sont définis.
• enfin, autoriser l'authentification X509 pour les utilisateurs du domaine LDAP via le bouton Au-
toriser auth. par cert. X509 sur l'onglet Domaine du serveur LDAP configuré, sur la
page « Serveurs LDAP ».
Lors de l'authentification, les données du certificat client sont alors confrontées à celles de l'Active
Directory pour récupérer les caractéristiques de l'utilisateur (langue, profils, etc.)
6.3. Domaines SAML
Security Assertion Markup Language (SAML) est un format de données basé sur le langage XML
définissant un protocole d'échange d'informations liées à l'authentification et l'autorisation entre
deux entités, principalement, un fournisseur d'identité et un fournisseur de service. Access Manager
prend en charge SAML 2.0 en mode d'authentification standard et non le mode SAML basé sur des
artefacts. Access Manager exécute les liaisons d'authentification via la redirection du navigateur et
les échanges basés sur la méthode POST.
Access Manager agit comme un fournisseur de service (SP). Un domaine SAML est un ensemble
de fournisseurs d'identité (IdP) SAML. Dans un domaine, chaque serveur est considéré comme
étant équivalent aux autres. Ainsi, Access Manager utilise indifféremment n'importe quel serveur
du domaine pour fournir des capacités de haute-disponibilité.
Access Manager prend en charge les modes de connexion initiée par le fournisseur d'identité (Idp)
et par le fournisseur de service (SP).
Les fournisseurs d'identité (IdP) SAML peuvent être ajoutés sur la page « Fournisseurs d'identité
SAML », accessible depuis le menu « Configuration ».
Le fournisseur d'identité de Access Manager est identifié par l’attribut suivant :
• Nom: Nom du fournisseur d'identité dans le système. Il s'agit d'une chaîne de longueur comprise
entre 1 et 128 caractères.
Le Fournisseur de service (c'est-à-dire Access Manager) est défini par les attributs suivants
dans l'onglet dédié :
• Identifiant de l'entité Access Manager : Identifiant utilisé pour se référer à Access

Manager dans les échanges avec le fournisseur d'identité. Il correspond au champ entityId
dans le fichier de métadonnées du fournisseur de service (sp-metadata.xml).
• Signer les messages : Bouton permettant d'indiquer à Access Manager de signer les re-
quêtes envoyées au fournisseur d'identité.
• Clé & Certificat de signature : Statut de la configuration du couple de clé-certificat de
signature et bouton de génération.
L'icône Crayon ouvre un panneau permettant de modifier les attributs suivants :
– Clé de signature : Clé privée utilisée pour signer la demande d'authentification envoyée
au fournisseur d'identité. Elle peut être définie soit en utilisant le champ dédié de l'interface
utilisateur, soit en cliquant sur le bouton Générer situé sur la droite. La clé privée générée ne
peut pas être affichée par l'interface utilisateur. Si une clé privée spécifique doit être utilisée
14
plutôt qu'une clé générée, il est alors possible de la coller ici. Elle doit être au format PEM,
libellée sans les en-têtes ni les pieds de page.
– Certificat de signature : Certificat utilisé pour valider la signature des données en-
voyées au fournisseur d'identité. Il peut être défini soit en utilisant le champ dédié de l'interface
utilisateur, soit en cliquant sur le bouton Générer situé sur la droite. Il correspond au certi-
ficat de la section <KeyDescriptor> comportant l'attribut use="signing" dans le fichier
de métadonnées du fournisseur de service (sp-metadata.xml). Il doit être au format PEM,
libellé sans les en-têtes ni les pieds de page.
• Chiffrer les messages : Bouton permettant d'indiquer à Access Manager de vérifier
l'existence de données chiffrées. Si le fournisseur d'identité n'a pas utilisé de chiffrement, le pro-
cessus d'authentification échoue.
• Clé & Certificat de chiffrement : Statut de la configuration du couple de clé-certificat
de chiffrement et bouton de génération.
L'icône Crayon ouvre un panneau permettant de modifier les attributs suivants :

– Clé de déchiffrement : Clé privée utilisée pour déchiffrer les données envoyées dans
la réponse du fournisseur d'identité. Elle peut être définie soit en utilisant le champ dédié de
l'interface utilisateur, soit en cliquant sur le bouton Générer situé sur la droite. La clé privée
générée ne peut pas être affichée par l'interface utilisateur. Elle doit être au format PEM, libellée
sans les en-têtes ni les pieds de page.
– Certificat de chiffrement : Certificat fourni au fournisseur d'identité pour chiffrer la
réponse. Il peut être défini soit en utilisant le champ dédié de l'interface utilisateur, soit en cli-
quant sur le bouton Générer situé sur la droite. Il correspond au certificat de la section <Key-
Descriptor> comportant l'attribut use="encryption" dans le fichier de métadonnées du
fournisseur de service (sp-metadata.xml). Il doit être au format PEM, libellé sans les en-
têtes ni les pieds de page.
• Response signée : Bouton permettant d'indiquer à Access Manager d'exiger la signature des
réponses (« Responses ») en provenance du fournisseur d'identité.
• Assertion signée : Bouton permettant d'indiquer à Access Manager d'exiger la signature des
assertions en provenance du fournisseur d'identité.
Lorsque le fournisseur d'identité SAML a été sauvegardé, le fichier de métadonnées de service

peut être téléchargé en cliquant sur le bouton Télécharger situé sous le champ Fichier de
Métadonnées. Microsoft ADFS et Shibboleth prennent directement en charge ce type de fichier
pour définir Access Manager comme tiers de confiance. Ce bouton est uniquement affiché lors de
l'édition d'un fournisseur d'identité SAML.
Le Fournisseur d'identité est défini par les attributs suivants dans l'onglet dédié :
Un fichier de métadonnées du fournisseur d'identité peut être importé pour remplir le formulaire en
cliquant sur l'icône « Import » dans la partie supérieure droite de l'onglet.
• Identifiant du fournisseur d'identité : Identifiant du fournisseur d'identité dans le

processus de communication SAML. Il correspond à l'attribut entityId de l'élément Entity-
Descriptor dans le fichier de métadonnées du fournisseur d'identité (idp-metadata.xml).
• Type de redirection SSO : Liste permettant de sélectionner la méthode d'authentification.
• Adresse de redirection SSO : URI vers laquelle Access Manager redirige l'utilisateur pour
l'authentification. Elle correspond à l'attribut Location de l'élément SingleSignOnService
de la liaison urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect. Ce champ est
affiché lorsque Redirection a été sélectionné depuis la liste dans Type de redirection
SSO.
15
• Adresse de redirection SLO : URI vers laquelle Access Manager envoie les demandes
de déconnexion au fournisseur d'identité. Ce champ est affiché lorsque Redirection a été
sélectionné depuis la liste dans Type de redirection SSO.
• Adresse de POST SSO : URI vers laquelle Access Manager redirige l'utilisateur lors de
l'utilisation de la méthode POST. Ce champ est affiché lorsque POST a été sélectionné depuis
la liste dans Type de redirection SSO.
• Adresse de POST SLO : URI vers laquelle Access Manager envoie les demandes de décon-
nexion au fournisseur d'identité lors de l'utilisation de la méthode POST. Ce champ est affiché
lorsque POST a été sélectionné depuis la liste dans Type de redirection SSO.
• Certificat de signature de l'IdP : Certificat utilisé pour valider la provenance des don-
nées signées reçues du fournisseur d'identité. Il correspond au certificat de la section KeyDes-
criptorcomportant l'attribut use="signing" dans l'élément IDPSSODescriptor dans le fi-
chier de métadonnées du fournisseur d'identité (idp-metadata.xml). L'icône Crayon ouvre
un panneau permettant de coller le certificat. Il doit être au format PEM, libellé sans les en-têtes
ni les pieds de page.
Le domaine associé et ses attributs sont définis ainsi dans l'onglet Domaine :
• Nom de domaine : Le domaine auquel le fournisseur de service appartient. Il s'agit d'une

chaîne de longueur comprise entre 1 et 64 caractères. Si des domaines ont déjà été créés pour
l'organisation, il est possible d'en sélectionner un en cliquant sur l'icône Crayon.
• Attributs : Les attributs de correspondance de la réponse SAML envoyée par le fournisseur
d'identité peuvent être modifiés en cliquant sur l'icône Crayon. Une correspondance peut être
définie pour les attributs utilisateur suivants :
– Login
– Attribut de nom d'affichage
– Attribut d'e-mail
– Attribut de langue : Code du nom de pays sur 2 lettres (par exemple : « en », « fr »)
– Attribut de profil
• Profil par défaut : Le profil appliqué par défaut si aucune correspondance avec un profil
Access Manager n'est trouvée dans la réponse SAML envoyée par le fournisseur d'identité. Ac-
cess Manager établit une correspondance entre les profils en effectuant une recherche dans les
profils de l'organisation. Access Manager associe un profil à l'utilisateur lorsque le nom du profil
Access Manager correspond à la valeur contenue dans le champ Attribut de profil.
• Langue par défaut : La langue par défaut à utiliser, si aucune langue n'est trouvée dans la
réponse SAML envoyée par le fournisseur d'identité.
A partir de la liste affichée sur la page « Fournisseurs d'identité SAML », il est possible de :
• dupliquer un fournisseur d'identité SAML existant en cliquant sur l'icône Dupliquer au début
de la ligne concernée, ou encore en effectuant un clic-droit sur la ligne afin d'afficher un me-
nu contextuel avec l'option Dupliquer. La fenêtre de création du fournisseur d'identité SAML
s'affiche et le formulaire est pré-rempli avec les paramètres du fournisseur d'identité choisi : les
champs Nom, Nom de domaine et Attributs doivent être renseignés pour ce nouveau four-
nisseur d'identité SAML.
• supprimer un fournisseur d'identité SAML existant en effectuant un clic-droit sur la ligne concer-
née : un menu contextuel s'affiche et l'option Supprimer doit être sélectionnée. Access Manager
affiche une fenêtre demandant une confirmation avant la suppression définitive de la ligne.
16
Chapitre 7. Utilisateurs
Les utilisateurs peuvent être définis localement dans Access Manager ou dans un annuaire externe.
Les utilisateurs doivent également être connus par le même identifiant dans les bastions en charge
de leurs autorisations.
7.1. Profils
Un utilisateur peut avoir un ou plusieurs profils. Un profil est un ensemble de droits. Les droits
confèrent à l'utilisateur la possibilité d'effectuer des actions comme la création d'un utilisateur par
exemple, avec le droit Créer utilisateur. Pour pouvoir ouvrir une session sur une cible, un
utilisateur doit hériter du droit Accès cible à partir d'un de ses profils.
Les profils peuvent être ajoutés sur la page « Profils », accessible depuis le menu « Configuration ».
Un profil est défini par les attributs suivants :
• Nom : Nom du profil.

• Permissions : Liste permettant de sélectionner le(s) droit(s) du profil.
Par défaut, le profil Global Administrator est associé à l'organisation globale. Ce profil confère
tous les droits.
Par défaut, les profils Administrator, Auditor et User sont associés à l'organisation locale
(comme par exemple, l'organisation default). Ces profils confèrent des droits spécifiques.
A partir de la liste affichée sur la page « Profils », il est possible de :
• dupliquer un profil existant en cliquant sur l'icône Dupliquer au début de la ligne concernée,
Dupliquer. La fenêtre de création du profil s'affiche et le formulaire est pré-rempli avec les
paramètres du profil choisi : le champ doit être renseigné pour ce nouveau profil.
• supprimer un profil existant en effectuant un clic-droit sur la ligne concernée : un menu contex-
7.2. Utilisateurs locaux
Un utilisateur local est un utilisateur défini directement dans Access Manager.
Les utilisateurs locaux peuvent être ajoutés sur la page « Utilisateurs », accessible depuis le menu
« Configuration ».
L'identité de l'utilisateur est définie dans l'onglet Identité par les attributs suivants :
• Organisation : L'organisation à laquelle appartient l'utilisateur. Seuls les utilisateurs dans

l'organisation globale peuvent créer des utilisateurs en dehors de leurs propres organisations.
• Identifiant : La valeur que l'utilisateur fournit pour s'identifier. Il s'agit d'une chaîne de lon-
gueur comprise entre 1 et 128 caractères. Il ne doit pas contenir les caractères @ ou \, qui sont
réservés comme séparateurs de domaine. Cet identifiant doit correspondre à l'identifiant WALLIX
Bastion de l'utilisateur afin de retrouver les autorisations qui lui sont attribuées.
• Nom : La valeur affichée à l'écran. Il s'agit d'une chaîne de longueur comprise entre 1 et 128
caractères.
17
• E-mail : L'adresse e-mail de l'utilisateur. Cette adresse doit respecter le format

monnom@mondomaine.ltd.
• Langue : La langue dans laquelle l'interface et les messages sont affichés à l'utilisateur.
• Modifier le mot de passe : Le bouton permet de changer le mot de passe utilisé pour
authentifier l'utilisateur. Saisir et confirmer le nouveau mot de passe dans les champs dédiés. Il
doit se conformer à la politique de mot de passe pour l'organisation. Voir Section 5.3, « Politiques
de mot de passe » pour plus d'informations.
• Forcer le changement de MDP : Le bouton permet de forcer la changement du mot de
passe. A la prochaine connexion de l'utilisateur, un message d'avertissement sera affiché et il/
elle aura l'obligation de changer son mot de passe.
• Déverrouiller l'utilisateur : Le bouton permet de débloquer le compte de l'utilisateur
ayant été verrouillé suite au dépassement du nombre d'échecs d'authentification autorisés. Ce
nombre est défini dans la politique de mot de passe de l'organisation. Voir Section 5.3, « Poli-
tiques de mot de passe » pour plus d'informations.
• Description : Chaîne de caractères facultative (jusqu'à 1024 caractères) permettant de fournir
une description de l'utilisateur.
Les droits de l'utilisateur sont définis dans l'onglet Droits par les attributs suivants :
• Profils : Une liste de profils définissant les droits de l'utilisateur. Voir Section 7.1, « Profils »
pour plus d'informations.
• IPs sources autorisées : Une liste de noms ou d'adresses IP à partir desquels l'utilisateur
est autorisé à se connecter. Une liste vide signifie que l'utilisateur ou l'administrateur de
l'organisation globale peut se connecter depuis n'importe quel hôte.
A partir de la liste affichée sur la page « Utilisateurs », il est possible de :
• dupliquer un utilisateur existant en cliquant sur l'icône Dupliquer au début de la ligne concer-
née, ou encore en effectuant un clic-droit sur la ligne afin d'afficher un menu contextuel avec
l'option Dupliquer. La fenêtre de création de l'utilisateur s'affiche et le formulaire est pré-rem-
pli avec les paramètres de l'utilisateur choisi : les champs Identifiant, Nouveau mot de
passe et Confirmation du MDP doivent être renseignés pour ce nouvel utilisateur.
• supprimer un utilisateur existant en effectuant un clic-droit sur la ligne concernée : un menu
7.3. Utilisateurs externes
Un utilisateur externe est défini dans Access Manager à partir d'un fournisseur d'identité SAML
(IdP) ou d'un serveur LDAP ou Active Directory.
A partir de la liste affichée sur la page « Utilisateurs », accessible depuis le menu « Configuration »,
il est possible :
• d'identifier les utilisateurs externes : une icône dédiée est affichée dans le champ Identifiant
pour les utilisateurs définis à partir d'un fournisseur d'identité SAML (IdP) ou d'un serveur LDAP
ou Active Directory.
• de supprimer un utilisateur externe existant en effectuant un clic-droit sur la ligne concernée : un
menu contextuel s'affiche et l'option Supprimer doit être sélectionnée. Access Manager affiche
une fenêtre demandant une confirmation avant la suppression définitive de la ligne.
18
Chapitre 8. Bastions
Les bastions représentent les appliances WALLIX Bastion déployées par l'organisation.
Les bastions peuvent être ajoutés sur la page « Bastions », accessible depuis le menu « Configu-
ration ».
Un bastion est défini par les attributs suivants :
• Nom : Nom du bastion dans Access Manager. Il s'agit d'une chaîne de longueur comprise entre
1 et 128 caractères.
• Hôte : Nom d'hôte ou adresse IP du bastion. Il doit être l'adresse IP utilisée pour le service utili-
sateurs de WALLIX Bastion. Dans le cas d'un déploiement avec de multiples interfaces, WALLIX
Bastion peut avoir des interfaces et des IP adresses différentes pour les services utilisateurs et
d'administration. Il s'agit d'une chaîne de longueur 1 à 228 caractères.
• Clé d'API : Une clé API REST WALLIX Bastion générée sur l'interface Web de WALLIX Bastion
6.x (depuis le menu « Configuration »). Ce champ est uniquement affiché lors de la création d'un
bastion.
• Changer la clé d'API : Bouton permettant de renseigner une nouvelle clé d'API. Saisir les
données dans le champ Clé d'API apparaissant en-dessous.
• Réinitialiser le certificat bastion : Bouton permettant de réinitialiser le certificat
du bastion. Il sera définie lors de la prochaine connexion au bastion.
• Réinitialiser l'empreinte SSH : Bouton permettant de réinitialiser l'empreinte SSH du
bastion. Elle sera définie lors de la prochaine session SSH.
• Réinitialiser le certificat RDP : Bouton permettant de réinitialiser le certificat RDP
du bastion. Il sera défini lors de la prochaine session RDP.
• Cluster : Associe le bastion à un cluster. Les clusters sont utilisés pour équilibrer la charge
des sessions sur plusieurs bastions utilisant la même configuration. Il incombe à l'administrateur
de s'assurer de la correspondance des autorisations portant le même nom dans les bastions du
cluster. L'équilibrage de charge est effectué en sélectionnant le bastion hébergeant le nombre
le moins important de sessions ouvertes dans la ferme de Access Manager. Voir Chapitre 15,
Montée en charge et Haute-disponibilité pour plus d'informations. Lorsqu'un bastion est intégré à
un cluster, ses autorisations ne sont plus répertoriées sous son propre nom mais sous le nom du
cluster. Les clusters ne sont pas compatibles avec la fonctionnalité de visualisation des mots de
passe des cibles. Cette fonctionnalité sera disponible dans une prochaine version. Cependant,
elle peut être utilisée avec un coffre-fort externe.
Le bouton + permet d'ajouter un nouveau cluster et l'icône Crayon permet de renommer un
cluster existant.
• Supprimer le domaine: Bouton permettant de supprimer la nomenclature du domaine (c'est-
à-dire @domain) de l'identifiant de l'utilisateur afin de permettre l'authentification des utilisateurs
externes Access Manager sur WALLIX Bastion. Ainsi une correspondance peut être établie entre
les utilisateurs locaux WALLIX Bastion déclarés en mode d'authentification externe et les utilisa-
teurs externes Access Manager afin de retrouver leurs autorisations.
• Autoriser la recherche de sessions : Bouton permettant d'autoriser la récupération
des données d'audit des sessions sur la page « Audit de sessions », accessible depuis le menu
« Audit ». Voir Chapitre 14, Audit de sessions pour plus d'informations.
• Date de début de la recherche : Ce champ est affiché lorsque la récupération des
données d'audit des sessions est autorisée au niveau du champ Autoriser la recherche de
sessions. La date de début pour la recherche des sessions doit être renseignée. Un calendrier
est disponible en cliquant à l'intérieur du cadre.
19
• Identifiant : Ce champ est affiché lorsque la récupération des données d'audit des sessions
est autorisée au niveau du champ Autoriser la recherche de sessions. L'identifiant de
l'utilisateur du bastion autorisé à récupérer les données d'audit des sessions doit être renseigné.
Cet utilisateur est rattaché au profil Auditor.
Le bouton Tester la connexion permet de tester la connexion au bastion pour l'utilisateur

actuel ou un autre utilisateur.
A partir de la liste affichée sur la page « Bastions », il est possible de :
• dupliquer un bastion existant en cliquant sur l'icône Dupliquer au début de la ligne concernée,
Dupliquer. La fenêtre de création du bastion s'affiche et le formulaire est pré-rempli avec les
paramètres du bastion choisi : les champs Nom et Clé d'API doivent être renseignés pour ce
nouveau bastion.
• supprimer un bastion existant en effectuant un clic-droit sur la ligne concernée : un menu contex-
20
Chapitre 9. Autorisations de l'utilisateur
Les autorisations disponibles sont affichées à partir du menu « Autorisations ». Ce sont celles
définies pour l'utilisateur WALLIX Bastion utilisant un identifiant identique à celui de l'utilisateur
Access Manager connecté.
Les autorisations de l'utilisateur sont extraites des bastions de l'organisation à chaque ouverture
de session.
Les autorisations relatives aux sessions sont accessibles depuis la page « Sessions » et sont
uniquement disponibles pour les utilisateurs possédant le droit Accès cible au niveau de leurs
profils.
Les autorisations relatives aux mots de passe sont accessibles depuis la page « Mots de passe »
et sont uniquement disponibles pour les utilisateurs possédant le droit Accès mot de passe
cible au niveau de leurs profils.
9.1. Autorisations et dossiers
Sur les pages « Sessions » et « Mots de passe », les autorisations sont placées par défaut dans
des dossiers correspondant aux noms de leurs groupes de cibles.
Sur l'onglet Explorateur :
• Lorsqu'un dossier est sélectionné dans l'arborescence, l'utilisateur peut filtrer les autorisations
correspondantes affichées dans le tableau en renseignant des données dans la zone supérieure
pour restreindre l'affichage aux lignes souhaitées.
• L'utilisateur peut gérer le classement de ses autorisations en utilisant les icônes dédiées afin
de créer, modifier ou supprimer les dossiers dans lesquels les autorisations peuvent être pla-
cées/déplacées. Les dossiers affichés dans l'arborescence sont propres à chaque utilisateur. Un
dossier vide est représenté par une icône représentant un dossier transparent. Veuillez noter
qu'un même dossier concernant un groupe de cibles donné peut contenir des autorisations sur
des sessions mais peut ne contenir aucune autorisation sur les mots de passe et vice versa.
• L'utilisateur peut déplacer les autorisations depuis le tableau dans n'importe quel dossier de
l'arborescence en effectuant un glisser-déplacer avec le curseur de la souris placé au début de
la ligne concernée. Pour restaurer les autorisations à leur emplacement initial, l'utilisateur peut
cliquer sur l'icône Trier les autorisations.
• L'icône Synchroniser permet de mettre à jour et rapatrier les dernières autorisations sans
modifier l'agencement personnalisé des dossiers de l'utilisateur.
Sur l'onglet Recherche :
• L'utilisateur peut rechercher des autorisations concernant des sessions ou des mots de passe en
renseignant des données dans la zone dédiée. Un simple clic sur le bouton Rechercher sans
renseigner la zone de recherche renvoie toutes les autorisations existantes.
• L'utilisateur peut gérer le classement des autorisations affichées. Pour cela, il/elle doit sélection-
ner les lignes souhaitées et cliquer sur Déplacer dans un dossier. Sur la fenêtre affichée,
l'utilisateur peut alors sélectionner dans l'arborescence le dossier dans lequel les autorisations
peuvent être placées. Les icônes sur cette fenêtre peuvent être utilisées pour créer, modifier ou
supprimer des dossiers. Les dossiers affichés dans l'arborescence sont propres à chaque utilisa-
teur. Un dossier vide est représenté par une icône représentant un dossier transparent. Veuillez
noter qu'un même dossier concernant un groupe de cibles donné peut contenir des autorisations
sur des sessions mais peut ne contenir aucune autorisation sur les mots de passe et vice versa.
21
9.2. Autorisations des utilisateurs sur les ses-

sions
Les autorisations relatives aux sessions sont accessibles depuis la page « Sessions » et sont
uniquement disponibles pour les utilisateurs possédant le droit Accès cible au niveau de leurs
profils.
Depuis la page « Sessions », l'utilisateur peut se connecter à la cible en utilisant un client
SSH ou RDP livré dans l'application. Pour cela, il/elle doit sélectionner le dossier souhaité dans
l'arborescence sur l'onglet Explorateur puis, cliquer sur l'icône située au début de la ligne
d'autorisation.
Note :
L'utilisateur peut ouvrir une application ou une session RDP en tant qu'administrateur
si le paramètre rdp.option.admin.enabled a été activé dans la section déployable
RDP sur la page « Réglages ». Dans ce cas, il/elle doit cliquer sur la petite icône orange
affichée au début de la ligne d'autorisation.
L'utilisateur peut partager le presse-papier entre plusieurs sessions RDP si le paramètre
rdp.shared.clipboard a été activé dans la section déployable RDP sur la page « Ré-
glages ».
Si une procédure d'approbation a été définie dans l'application WALLIX Bastion afin d'autoriser
l'accès à la cible, l'utilisateur doit formuler une demande d'approbation et notifier les approbateurs
pour pouvoir se connecter à la cible.
Lors de la connexion à une cible RDP ou SSH, Access Manager affiche la fenêtre Demande
d'approbation afin d'envoyer une demande. Cette demande d'approbation est définie par les
attributs suivants :
• Date de début : Date et heure de début à partir desquelles l'accès est demandé. Par défaut,
il s'agit de la date du jour et de l'heure actuelle. Un calendrier est disponible pour modifier les
données en cliquant à l'intérieur du cadre.
• Heures | Minutes : Durée pendant laquelle l'accès est demandé. Par défaut, cette durée est
fixée à 1 heure.
• Ticket de référence : Ticket de référence à renseigner pour la demande d'approbation.
Ce champ est affiché/masqué et, si affiché, obligatoire/facultatif en fonction de la définition de
l'autorisation dans l’application WALLIX Bastion.
• Commentaire : Commentaire à renseigner pour le motif de la demande d'approbation. Ce champ
est affiché/masqué et, si affiché, obligatoire/facultatif en fonction de la définition de l'autorisation
dans l’application WALLIX Bastion.
Une fois la demande approuvée, il est alors possible d'accéder à la cible tant que la période définie
dans la demande est en cours de validité.
9.3. Autorisations des utilisateurs sur les mots

de passe
Les autorisations relatives aux mots de passe sont accessibles depuis la page « Mots de passe »
et sont uniquement disponibles pour les utilisateurs possédant le droit Accès mot de passe
cible au niveau de leurs profils.
22
Depuis la page « Mots de passe », l'utilisateur peut visualiser les identifiants du compte (identifiant,
mot de passe et clé SSH) dans une fenêtre dédiée. Pour cela, il/elle doit sélectionner le dossier
souhaité dans l'arborescence sur l'onglet Explorateur puis, cliquer sur l'icône cadenas située au
début de la ligne d'autorisation.
Sur la fenêtre Mot de passe :
• L'utilisateur peut cliquer sur l'icône en forme d'œil sur fond rouge, sur la droite du champ Mot de
passe (si affiché) et choisir une durée d'affichage du mot de passe. Le mot de passe devient
illisible lorsque la durée est écoulée.
• L'utilisateur peut copier les identifiants du compte dans le presse-papier en cliquant sur l'icône
Copier en face de chaque champ.
• Si le verrouillage du compte a été activé lors de la définition de la politique d'emprunt associée
avec ce compte-cible dans l'application WALLIX Bastion (à partir de la version 5.0), l'utilisateur
doit cliquer sur le bouton restituer sur cette fenêtre pour restituer le compte avant la fin de
la durée d'emprunt. Néanmoins, le compte sera automatiquement restitué à la fin de la durée
d'emprunt. La durée d'emprunt a été définie au niveau de la politique d'emprunt dans l'application
WALLIX Bastion (à partir de la version 5.0).
• L'utilisateur peut télécharger le fichier contenant la clé privée (si définie) pour une connexion
SSH. Un bouton permet la sélection du format OpenSSH ou Putty avant de cliquer sur l'icône
Télécharger sur la droite du champ Clé privée SSH.
Si une procédure d'approbation a été définie dans l'application WALLIX Bastion afin d'autoriser
l'accès au mot de passe de la cible, l'utilisateur doit formuler une demande d'approbation et notifier
les approbateurs pour visualiser le mot de passe de la cible.
Cette demande d'approbation est définie par les attributs suivants :
• Date de début : Date et heure de début à partir desquelles l'accès est demandé. Par défaut,
il s'agit de la date du jour et de l'heure actuelle. Un calendrier est disponible pour modifier les
données en cliquant à l'intérieur du cadre.
• Heures | Minutes : Durée pendant laquelle l'accès est demandé. Par défaut, cette durée est
fixée à 1 heure.
• Ticket de référence : Ticket de référence à renseigner pour la demande d'approbation.
Ce champ est affiché/masqué et, si affiché, obligatoire/facultatif en fonction de la définition de
l'autorisation dans l’application WALLIX Bastion.
• Commentaire : Commentaire à renseigner pour le motif de la demande d'approbation. Ce champ
est affiché/masqué et, si affiché, obligatoire/facultatif en fonction de la définition de l'autorisation
dans l’application WALLIX Bastion.
Une fois la demande approuvée, il est alors possible d'accéder à la cible tant que la période définie
dans la demande est en cours de validité.
23
Chapitre 10. Réglages de l'application
Les réglages de l'application peuvent être gérés depuis le menu « Réglages » et sont uniquement
disponibles pour les utilisateurs possédant le droit Modifier réglages au niveau de leurs profils.
10.1. Paramètres de l'application
Depuis l'onglet « Application » sur la page « Réglages », il est possible de visualiser et modifier les
paramètres de l'application. Ces paramètres peuvent avoir une valeur différente en fonction des
organisations.
L'affichage d'un paramètre dépend du type de l'organisation : par exemple, la section déployable
Bastion n'est pas affichée sur l'organisation globale.
La « Plate-forme » contient tous les paramètres de l'application et sert de valeur de référence.
Un administrateur de l’organisation globale peut modifier les paramètres d'une autre organisation
et également ceux de la plate-forme. Une liste de valeurs est disponible dans le haut de la page
pour sélectionner l'organisation souhaitée. L'utilisateur peut appliquer un filtre sur les paramètres
d'une organisation donnée en saisissant des données dans la zone au-dessus du tableau afin de
restreindre l'affichage aux lignes souhaitées.
Un utilisateur de l'organisation globale peut visualiser et modifier les paramètres de n’importe quelle
organisation ainsi que ceux de la plate-forme. Une liste de valeurs est disponible dans le haut de
la page pour sélectionner l'organisation souhaitée. L'utilisateur peut appliquer un filtre sur les para-
mètres d'une organisation donnée en saisissant des données dans la zone au-dessus du tableau
afin de restreindre l'affichage aux lignes souhaitées.
Un utilisateur d'une organisation locale (comme par exemple, l'organisation default) a unique-
ment accès aux paramètres de son organisation. L'utilisateur peut appliquer un filtre sur les para-
mètres de l'organisation en saisissant des données dans la zone au-dessus du tableau afin de
restreindre l'affichage aux lignes souhaitées.
Un bouton situé au niveau de chacun des paramètres dans la section déployable permet à
l'utilisateur de modifier la valeur correspondante.
Note :
Les paramètres dans la zone déployable Langue ne sont pas accessibles afin de ne pas
perturber le bon fonctionnement de Access Manager.
Par ailleurs, une modification du paramètre session.maxInactiveInterval, dans

la zone déployable Session, nécessite une déconnexion de la session afin de prendre
en compte la nouvelle valeur.
Toutes les valeurs des paramètres d'une organisation donnée peuvent être réinitialisées aux va-
leurs de la plate-forme en cliquant sur le bouton Réinitialiser aux valeurs de la plate-
forme dans le bas de la page.
Tous les paramètres de la plate-forme peuvent être restaurés à leurs valeurs initiales en cliquant
sur le bouton Restaurer les valeurs initiales dans le bas de la page.
Chaque modification d'un paramètre depuis les réglages de l'application peut être visualisée dans
le journal d'audit.
24
10.2. Certificats du serveur Web

Seul un administrateur de l'organisation globale peut accéder à l'onglet « Certificat du serveur »
sur la page « Réglages », et en modifier le contenu.
Depuis cet onglet, il est possible de mettre à jour le certificat SSL du serveur Web en fournissant
un fichier PKCS #12. Si nécessaire, un mot de passe peut être renseigné pour le certificat. Les
certificats chaînés sont également pris en charge.
Par défaut, un certificat auto-signé est généré lors de l'installation.
Note :
Si un nouveau certificat est défini, le serveur Web redémarrera automatiquement.
10.3. Logs
Seul un administrateur de l'organisation globale peut accéder à l'onglet « Logs » sur la page « Ré-
glages », et en modifier le contenu.
Depuis cet onglet, il est possible de personnaliser les différents niveaux de journaux (ou « logs »)
pour des événements particuliers déclenchés en rapport avec l'application, la configuration, l'accès
aux cibles ou les composants externes. Cet onglet doit être utilisé sous l'assistance de l’Équipe
Support, en vue de la résolution de problèmes.
L'utilisateur peut appliquer un filtre sur les niveaux de logs en saisissant des données dans la zone
au-dessus du tableau afin de restreindre l'affichage aux lignes souhaitées.
Les niveaux de logs peuvent être définis :
• individuellement pour chacun des modules : un bouton permet d'activer la configuration à la fin
de chaque ligne.
Lors de la configuration individuelle des niveaux de logs, une icône d'avertissement orange (« Mo-
dule verbose ») est affichée sur les lignes pour lesquelles un volume conséquent de données
est généré.
• globalement : le cadre Défaut dans le haut de la page permet de sélectionner un niveau de
log qui sera appliqué à tous les modules de la page. Dans ce sas, il est possible de permuter le
bouton sur une ligne donnée afin de sélectionner une autre valeur de niveau de log. Cependant,
le bouton ne doit pas être de nouveau permuté avant la sauvegarde de la sélection car la valeur
par défaut serait automatiquement redéfinie.
Les logs techniques (error.log et tech.log) peuvent être téléchargés sous forme d'archive en cliquant
sur le bouton Télécharger l'archive des logs dans le bas de la page.
Le journal des accès (access.log) recensant les connexions depuis des clients externes vers le
serveur Access Manager est disponible dans le répertoire : /var/log/wallix/wabam sous Li-
nux et C:\ProgramData\Wallix\wabam\log sous Windows. Ce journal est équivalent à celui
du serveur Apache. Pour plus d'informations, veuillez consulter https://httpd.apache.org/
docs/2.4/logs.html#accesslog.
La génération du journal d'accès peut être configurée au niveau de la section Access log confi-
guration au sein du fichier wabam.properties. Ce fichier est accessible depuis le répertoire
de configuration. Le répertoire de configuration par défaut est /etc/opt/wallix/wabam sous
Linux et C:\ProgramData\Wallix\wabam\conf sous Windows.
25
10.4. Sauvegarde et restauration de base de

données
Depuis l'onglet « Base de données » sur la page « Réglages », il est possible de sauvegarder ou
restaurer la base de données. Cet onglet est uniquement disponible pour les utilisateurs possédant
le droit Restaurer organisation au niveau de leurs profils.
Seul un administrateur de l'organisation globale peut choisir de sauvegarder ou restaurer toute la

base de données car il peut visualiser et gérer toutes les organisations.
Un utilisateur d'une organisation locale (comme par exemple, l'organisation default) peut unique-
ment sauvegarder ou restaurer la base de données pour son organisation.
10.4.1. Sauvegarde de la base de données

Afin de sauvegarder la base de données, un mot de passe ou une clé doit être renseigné dans
la zone Clé de chiffrement dans le haut de la page afin de crypter les données sensibles
(comme, par exemple, les clés d'API des bastions). Depuis cette zone, il est possible de :
• cliquer sur l'icône en forme d'œil sur fond rouge sur la droite pour afficher les données saisies,
• cliquer sur l'icône Copier sur la gauche pour copier le mot de passe ou la clé dans le presse-
papier.
Sur la section Sauvegarder la base :
• l'administrateur de l'organisation globale peut sélectionner l'organisation souhaitée dans la liste

de valeurs. L'administrateur peut alors choisir de sauvegarder la totalité de la base de données
en sélectionnant Toutes organisations, ou une seule base de données en sélectionnant
l'organisation souhaitée dans cette liste.
Cette liste n'est pas disponible pour l'utilisateur d'une organisation locale (comme par exemple,
l'organisation default) : seul le nom de son organisation est affiché.
• une fois la sélection effectuée dans la liste, il est alors possible de cliquer sur le bouton Exporter
sur la droite pour télécharger le fichier de sauvegarde de la base de données sous la forme d'une
archive ZIP.
10.4.2. Restauration de la base de données

Note :
Il est uniquement possible de restaurer une base de données sur une instance Access
Manager avec une version identique du schéma de la base de données.
Afin de restaurer la base de données, le mot de passe ou la clé renseigné dans la zone Clé de
chiffrement lors de la sauvegarde de la base doit être de nouveau renseigné. Il est possible de
cliquer sur l'icône en forme d'œil sur fond rouge sur la droite pour afficher les données saisies.
Sur la section Restaurer la base :
• les paramètres de la base de données doivent être transférés par glisser-déposer ou chargés
dans la zone dédiée sous la forme d'une archive ZIP.
26
Attention :
Access Manager effectue un contrôle d'intégrité sur les fichiers lors de la restauration
de la base de données. Par conséquent, l'opération de restauration échoue si l'un des
fichiers a subi une modification.
• lorsque l'archive ZIP a été chargée, l'administrateur de l'organisation globale peut alors choisir
de restaurer une nouvelle base de données comprenant de nouvelles organisations en cliquant
sur le bouton Créer, ou encore de restaurer une base de données existante en cliquant sur le
bouton Réinitialiser.
Attention :
Seul un administrateur de l'organisation globale peut visualiser le bouton Créer.
Lorsque l'administrateur restaure une base de données avec de nouvelles organisa-
tions, toutes les données existantes sont écrasées.
27
Chapitre 11. Réglages de l'audit de
sessions
Access Manager embarque un dépôt d'audit des sessions. Les données d'audit des sessions
peuvent être affichées sur la page « Audit de sessions », accessible depuis le menu « Audit ». Voir
Chapitre 14, Audit de sessions pour plus d'informations.
Les paramètres permettant de récupérer les données d'audit des sessions peuvent être gérés de-
puis le menu « Réglages ». Seul un administrateur de l'organisation globale peut accéder au sous-
menu « Réglages de l'audit de sessions ».
Les données sur cette page sont affichées en lecture seule pour l'administrateur global mais de-
viennent accessibles en cliquant sur le bouton « Modifier ».
Ces paramètres sont définis par les attributs suivants :
• Mode d'accès au dépôt des sessions : Le mode de connexion utilisé pour accéder au
dépôt d'audit des sessions.
– Localhost uniquement : Lorsque ce mode est sélectionné, le dépôt d'audit des sessions
est accessible en local sur l'instance Access Manager courante. Dans ce cas, le navigateur
Web et l'instance Access Manager doivent tous deux être lancés sur le même poste de travail.
– IP et localhost : Lorsque ce mode est sélectionné, le dépôt d'audit des sessions est
accessible et peut recevoir des requêtes en provenance d'un navigateur Web externe (notam-
ment dans le cadre d'opérations d'assistance de l’Équipe Support).
– Groupé : Lorsque ce mode est sélectionné, plusieurs instances Access Manager peuvent
communiquer entre elles et partager l'accès à leur propre dépôt d'audit des sessions. Dans ce
contexte, il existe alors une instance maîtresse et des instances esclaves.
• Identifiant HTTPS, Mot de passe HTTPS : L'identifiant et le mot de passe à fournir pour
interroger le dépôt d'audit des sessions. Ces champs doivent être renseignés pour sécuriser
l'accès au dépôt. Pour le mode Groupé, les valeurs renseignées ou modifiées sur une instance
Access Manager s'appliqueront à tous les autres membres du cluster.
• Nom d'hôte du dépôt : L'adresse IP ou le nom DNS de l'instance locale Access Manager à
définir pour le mode de connexion IP et localhost ou Groupé.
• IPs des autres membres du groupe : La ou les adresses IP des autres instances Access
Manager lorsque le mode de connexion Groupé est sélectionné. Pour ajouter un nœud, saisir
d'abord l'adresse IP dans ce champ puis, cliquer sur l'icône +.
Note :
La récupération des informations est plus fiable entre trois instances Access Manager
au minimum.
• Port du dépôt : Le port d'accès configuré pour l'instance locale Access Manager ;
• Nom du groupe : Le nom de l'instance locale Access Manager. Lorsque le mode Groupé est
sélectionné comme mode de connexion, le nom renseigné dans ce champ doit être identique
pour toutes les instances Access Manager configurées.
• Maître du groupe : Bouton permettant de préciser si l'instance est le nœud maître ou le nœud
esclave lorsque le mode Groupé est sélectionné comme mode de connexion.
• Gestion des certificats SSL : Cette zone peut être déployée et permet de définir des
certificats afin de sécuriser les accès aux dépôts d'audit des sessions.
28
Sur la partie gauche, il est possible de déposer ou charger le certificat SSL du serveur Web en
fournissant un fichier PKCS #12. Si nécessaire, un mot de passe peut également être renseigné
pour le certificat dans le champ Mot de passe du certificat. Par défaut, un certificat
auto-signé est généré lors de l'installation.
Sur la partie droite, il est possible d'ajouter les certificats des autres membres du cluster (c'est-
à-dire des instances Access Manager), lorsque le mode Groupé est sélectionné comme mode
de connexion. Pour cela, il est nécessaire de cliquer sur le bouton Ajouter afin d'afficher la
fenêtre Nouveau certificat de confiance et saisir les données appropriées. Le certificat
s'affichera alors sous l'encart Certificats de confiance.
Avertissement :
Chaque instance Access Manager doit ajouter le certificat de confiance des autres
instances pour permettre la communication entre tous les dépôts d'audit des sessions.
A ce stade, le nœud maître et les nœuds esclaves doivent être identifiés via l'utilisation
du bouton Maître du groupe.
Le bouton Afficher le certificat du dépôt permet d'afficher le certificat de l'instance

Access Manager courante.
Le bouton Tester la configuration permet de tester la connexion de la configuration de
l'instance courante.
Important :
Les paramètres suivants sont disponibles pour la configuration dans la section déployable
Audit de sessions depuis l'onglet « Application » sur la page « Réglages » (acces-
sible depuis le menu « Réglages » > « Réglages de l'application ») :
• sa.session.reader.groupsize : permet de renseigner le nombre de sessions

lues à chaque interrogation de l'API REST ;
• sa.session.retention.days : permet de renseigner le nombre de jours pendant
lequel les données sont conservées. Ce paramètre est positionné à 30 jours par défaut.
• sa.update.frequency : permet de renseigner la fréquence de mise à jour des don-
nées. Cette valeur est exprimée en secondes.
29
Chapitre 12. Paramètres de la base de
données
Pendant l'installation initiale, Access Manager va créer une nouvelle base de données (c'est-à-dire
un schéma) et un utilisateur pour s'y connecter. Cette base de données est créée dans une instance
de serveur de base de données qui doit être fournie par l'administrateur Access Manager.
Les paramètres de la base de données peuvent être affichés sur la page « Configuration de la base
de données », accessible depuis le menu « Réglages ».
Les données composant ces paramètres sont affichées en lecture seule pour l'administrateur global
et sont définies par les attributs suivants :
• Type de la base, Serveur, Port : Ces champs définissent l'instance du serveur. Pour une
base de données Oracle , le champ SID est également mentionné.
• Nom de la base : Le nom de la base, sauf pour une base de données Oracle. Pour cette
dernière, la base de données est créée implicitement avec l'utilisateur et possède le même nom.
• Utilisateur, Mot de passe de l'utilisateur : L'utilisateur de base de données est créé
avec des droits minimaux. Cet utilisateur sera utilisé par Access Manager pour les opérations
normales. Le nom et le mot de passe de cet utilisateur sont spécifiés dans ces champs.
• Administrateur, Mot de passe de l'administrateur : Afin de créer la base de don-
nées, un utilisateur privilégié de la base doit être fourni. Ces champs définissent cet utilisateur.
Pour une base de données Oracle, ce compte doit pouvoir se connecter en sysdba. Lors de
l'installation de nouvelles versions du logiciel, l'administrateur Access Manager devra fournir à
nouveau l'utilisateur privilégié de base de données si le schéma de la base doit être modifié du-
rant la mise à jour.
• Taille du pool : Les valeurs minimales et maximales de la taille du pool de connexion à
la base de données.
30
Chapitre 13. Journal d'audit
Access Manager enregistre toutes les actions de l'utilisateur.
Seuls les utilisateurs possédant le droit Voir audit au niveau de leurs profils peuvent parcourir
les actions liées à leur organisation sur la page « Journal », accessible depuis le menu « Audit ».
Un enregistrement contient l'action (par exemple : « Connexion »), l'organisation concernée, le

type de l'objet affecté par l'opération, le nom de l'objet, le nom de l'utilisateur qui exécute l'action,
l'horodatage et le résultat de l'action. En cliquant sur l'icône au début de la ligne, des détails sup-
plémentaires liés à l'action sont affichés.
31
Chapitre 14. Audit de sessions
Les données d'audit des sessions peuvent être affichées sur la page « Audit de sessions », acces-
sible depuis le menu « Audit ». Cette page est uniquement disponible pour les utilisateurs rattachés
au profil Auditor (c'est-à-dire « Auditeur »).
Sur la zone de recherche située dans la partie supérieure de la page, l'utilisateur peut saisir des
mots clés afin de récupérer les sessions correspondantes. Le symbole « * » peut être utilisé dans
cette zone pour affiner la recherche : il suffit de cliquer sur l'icône d'informations pour afficher les
syntaxes possibles. Les données sont affichées dans la partie inférieure de la page en appuyant
sur la touche Entrée ou en cliquant sur l'icône loupe sur la droite de la zone.
Sur le formulaire de recherche avancée, l'utilisateur peut renseigner des critères spécifiques puis,
cliquer sur le bouton Rechercher les sessions afin d'afficher les données dans la partie
inférieure de la page.
Les sessions correspondant à la recherche sont listées par ordre chronologique dans la partie
inférieure de la page. Pour chaque ligne, les informations suivantes sont affichées :
• l'heure de début/de fin et la durée de la session,

• le nom du bastion,
• le nom de l'utilisateur,
• le protocole de la cible,
• le nom de l'équipement cible,
• le nom de la cible,
• le statut de la session.
Pour chaque session, il est possible de :
• cliquer sur un attribut de ces éléments pour restreindre la recherche l'affichage au critère concer-
né,
• afficher les informations détaillées en cliquant sur Voir détail de la session. Ces infor-
mations sont alors visualisables sur la fenêtre Détail de la session.
• visualiser l'enregistrement de la session dans une fenêtre pop-up ou dans un onglet dédié du
navigateur en cliquant sur Rejouer la session : un visualiseur permet alors de parcourir la
vidéo de la session. Cette dernière est téléchargeable en cliquant sur Télécharger la vidéo
sous le visualiseur.
Note :
L'option Rejouer la session est uniquement disponible pour les sessions enre-
gistrées.
• visualiser l'enregistrement de la session sur une action donnée à un instant « t » en cliquant sur
les entrées chronologiques de la session. Ces entrées sont affichées lorsque la redirection des
log de sessions est activée pour les sessions du bastion dans WALLIX Bastion. Un visualiseur
permet alors de parcourir la vidéo de la séquence sélectionnée depuis l'onglet du navigateur
intitulé Audit de sessions.
32
Chapitre 15. Montée en charge et Haute-

disponibilité
Les sections suivantes résument la mise en place de l'équilibrage de la charge avec notamment
le déploiement de plusieurs instances Access Manager ou encore d'un cluster de Bastions au sein
d'une instance Access Manager.
15.1. Déploiement de plusieurs instances Ac-

cess Manager
Afin de mettre en œuvre de l'équilibrage de charge, il est possible de déployer plusieurs instances
Access Manager. Un tel déploiement permet d'obtenir également une haute disponibilité en empê-
chant Access Manager d'être un point de défaillance unique. L'équilibrage de la charge elle-même
doit être appliqué en avant des instances.
La première instance doit être installée normalement. Cependant, les suivantes nécessitent d'éditer
manuellement leur fichier wabam.properties. Ce fichier est accessible depuis le répertoire de
configuration. Le répertoire de configuration par défaut est /etc/opt/wallix/wabam sous Linux
et C:\ProgramData\Wallix\wabam\conf sous Windows. La clé de chiffrement de l'installation
(crypto.install.key), les paramètres de base de données (toutes les propriétés avec un nom
commençant par db.connections) et les informations d'identification de l'administrateur (valeurs
commençant par user.admin) doivent être copiées à partir de la première installation.
Si les informations d'identification de l'administrateur doivent être changées ultérieurement, elles

doivent être changées sur la première instance puis copiées sur les autres.
15.2. Déploiement d'un cluster de Bastions dans

une instance Access Manager
L'équilibrage de charge peut être mis en place en déployant un cluster de Bastions au sein d'une
même instance Access Manager.
Le paramètre bastion.cluster.identical.mode doit être activé dans la section déployable

Bastion depuis l'onglet « Application » sur la page « Réglages » (accessible depuis le menu
« Réglages » > « Réglages de l'application »).
L'utilisation du mode géré par ce paramètre suppose que le contenu de tous les Bastions sur un
même cluster soit identique : il incombe à l'administrateur de s'assurer de la correspondance des au-
torisations portant le même nom dans tous les bastions du cluster. Ce déploiement permet d'obtenir
un gain de performance important car seules les informations d'un cluster donné sont stockées.
33
Chapitre 16. Sauvegardes
Il est recommandé de sauvegarder la base de données et le fichier wabam.properties réguliè-
rement. Il existe plusieurs solutions pour mener à bien cette tâche. Le chapitre décrit une seule
d'entre elles. Vérifiez auprès de votre administrateur de base de données quelle est la meilleure
solution pour votre propre déploiement. Le fichier wabam.properties est disponible dans le ré-
pertoire de configuration par défaut : /etc/opt/wallix/wabam sous Linux et C:\ProgramDa-
ta\Wallix\wabam\conf sous Windows.
16.1. Oracle Database Server

Avec Oracle Database Server, il est possible d'utiliser l'utilitaire Data Pump pour exporter la base
de données. Un exemple de ligne de commande est affiché ci-dessous.
> expdp system/<system password> DUMPFILE=wabam.dmp SCHEMAS=<Access Manager

Schema>
system est un compte d'administrateur de base de données générique par défaut pour les bases de
données Oracle. Son mot de passe est créé à l'installation ou au moment de la création de base de
données. < Access Manager Schéma > doit être remplacé par le nom de l'utilisateur fourni au mo-
ment de l'installation de Access Manager. L'exportation sera effectuée dans le fichier wabam.dmp
situé dans le répertoire <répertoire Oracle APP > / <utilisateur Oracle /admin/ <SID> / dpump.
Pour l'opération d'importation, un exemple de ligne de commande est affiché ci-dessous. Les infor-
mations d'importation sont disponibles dans logfile.log.
> impdb system/<system password> DUMPFILE=wabam.dmp SCHEMAS=<Access Manager

Schema>
16.2. MySQL Community Server ou MariaDB

Server
Avec MySQL Community Server ou MariaDB Server, il est possible d'utiliser la commande mys-
qldump pour exporter une base de données. Un exemple de ligne de commande est affiché ci-
dessous.
> mysqldump -u root -p<root password> <Access Manager Schema> > wabamp.dmp
Pour l'opération d'importation, un exemple de ligne de commande est affiché ci-dessous.
> mysql -u root -p<root password> <Access Manager Schema> < wabamp.dmp
La commande mysqldump ne prend pas en compte l'utilisateur ; celui-ci doit être recréé manuel-
lement si nécessaire.
34
Chapitre 17. Résolution de problèmes
Réinitialisation du mot de passe de l'administrateur global de la plate-forme
Une commande spécifique permet la réinitialisation des paramètres liés à l'authentification et aux
droits de l'administrateur global de la plate-forme. Ces paramètres sont :
• le mot de passe,
• le profil et,
• les restrictions des adresses IP sources.
Le profil d'administration par défaut (détenant tous les droits et ne pouvant être ni modifié ni sup-
primé) est alors attribué à l'administrateur global.
Cette commande peut être lancée en suivant la chemin d'accès par défaut suivant :
/opt/wallix/wabam/bin/wabam-restore-admin sous Linux et,
C:\Program Files\Wallix\wabam\bin\wabam-restore-admin.exe sous Windows.

L'administrateur doit alors renseigner le nouveau mot de passe et le confirmer dans la fenêtre de
commande. Sous Windows, il est nécessaire d'appuyer de nouveau sur la touche Entrée pour
sortir de la fenêtre.
35
Chapitre 18. Contacter le Support
WALLIX Access Manager
Le support technique de WALLIX Access Manager est joignable pour vous apporter son assistance
du lundi au vendredi (sauf jours fériés) de 08:00 à 19:00 CET, par les moyens suivants:
Internet à: https://support.wallix.com
Téléphone: 01 70 36 37 50 (depuis la France) / +33 1 70 36 37 50 (depuis l'étranger)
36

Langue

Am Admin Guide - FR

Transféré par

Informations du document

Titre original

Copyright

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Am Admin Guide - FR

Transféré par

Droits d'auteur :

GUIDE D'ADMINISTRATION

WALLIX Access Manager 2.0.19.3

Table des matières

WALLIX Access Manager est soumis au contrat de licence logicielle Wallix.

1.4. A propos de ce document

Chapitre 2. Compatibilité & limites

Access Manager prend en charge une configuration « multi-tenante » au moyen de conteneurs

Les préférences de l'utilisateur sont définies par les attributs suivants :

• Identifiant : La valeur que l'utilisateur fournit pour s'identifier.

La page « Organisations », accessible depuis le menu « Configuration », permet d'ajouter des

Une organisation est définie par les attributs suivants :

Cette vérification a lieu lorsque la configuration suivante est mise en place :

– dans un premier temps, positionner le paramètre web.check.client.certificate du fi-

Lors de la connexion de l'utilisateur à l'organisation, le navigateur Web affiche une fenêtre de

A partir de la liste affichée sur la page « Organisations », il est possible de :

5.3. Politiques de mot de passe

• Nom : Le nom de la politique de mot de passe.

• Nom : Le nom du thème.

• Logo de page de connexion : L'image affichée dans l'en-tête de la page de connexion.

A partir de la liste affichée sur la page « Thèmes », il est possible de :

• local : Les utilisateurs sont définis dans Access Manager.

• Méthode d'authentification : Il existe deux méthodes différentes : Pas

Le domaine du serveur et ses attributs sont affichés dans l'onglet Domaine :

Lorsque ce mode d'authentification est utilisé dans Access Manager conjointement à

• Autoriser auth. par cert. X509 : Bouton permettant d'indiquer à ${product.name.short}

A partir de la liste affichée sur la page « Serveurs LDAP », il est possible de :

Active Directory NIS X500

Attribut Active Directory NIS X500

Type de Schéma Filtre de groupes

Dans cet exemple : hello.X509.nono.net, « X509 » correspond à ce deuxième élément

• ensuite, redémarrer le service Access Manager ;

• Identifiant de l'entité Access Manager : Identifiant utilisé pour se référer à Access

L'icône Crayon ouvre un panneau permettant de modifier les attributs suivants :

Lorsque le fournisseur d'identité SAML a été sauvegardé, le fichier de métadonnées de service

• Identifiant du fournisseur d'identité : Identifiant du fournisseur d'identité dans le

• Nom de domaine : Le domaine auquel le fournisseur de service appartient. Il s'agit d'une

• Nom : Nom du profil.

• Organisation : L'organisation à laquelle appartient l'utilisateur. Seuls les utilisateurs dans

• E-mail : L'adresse e-mail de l'utilisateur. Cette adresse doit respecter le format

A partir de la liste affichée sur la page « Utilisateurs », il est possible de :

Le bouton Tester la connexion permet de tester la connexion au bastion pour l'utilisateur

A partir de la liste affichée sur la page « Bastions », il est possible de :

Sur l'onglet Recherche :

9.2. Autorisations des utilisateurs sur les ses-

9.3. Autorisations des utilisateurs sur les mots

Sur la fenêtre Mot de passe :

Cette demande d'approbation est définie par les attributs suivants :

La « Plate-forme » contient tous les paramètres de l'application et sert de valeur de référence.

Par ailleurs, une modification du paramètre session.maxInactiveInterval, dans

10.2. Certificats du serveur Web

10.4. Sauvegarde et restauration de base de

Seul un administrateur de l'organisation globale peut choisir de sauvegarder ou restaurer toute la

10.4.1. Sauvegarde de la base de données

Sur la section Sauvegarder la base :

• l'administrateur de l'organisation globale peut sélectionner l'organisation souhaitée dans la liste

10.4.2. Restauration de la base de données

Sur la section Restaurer la base :

Le bouton Afficher le certificat du dépôt permet d'afficher le certificat de l'instance

• sa.session.reader.groupsize : permet de renseigner le nombre de sessions

Un enregistrement contient l'action (par exemple : « Connexion »), l'organisation concernée, le

• l'heure de début/de fin et la durée de la session,

Pour chaque session, il est possible de :

Chapitre 15. Montée en charge et Haute-

15.1. Déploiement de plusieurs instances Ac-

Si les informations d'identification de l'administrateur doivent être changées ultérieurement, elles