Password Manager Administrators Guide

Guide de l'administrateur Citrix Password Manager
Citrix Password Manager 4.6 Citrix Presentation Server 4.5 Feature Pack 1, dition Platinum
Avis de copyright et de marque dpose L'utilisation du produit document dans ce guide est sujette votre acceptation pralable du Contrat de licence de l'utilisateur final. Une version imprimable du Contrat de licence d'utilisateur final figure sur le CD-ROM du produit. Les informations contenues dans ce document peuvent faire l'objet de modifications sans pravis. Sauf mention contraire, les socits, noms et donnes utiliss dans les exemples fournis sont fictifs. Aucune partie de ce document ne peut tre reproduite ou transmise, sous quelque forme, par quelque moyen, lectronique ou mcanique, et pour quelque motif que ce soit, sans l'autorisation expresse et crite de Citrix Systems, Inc. Citrix Password Manager remplace des cls de cryptage d'utilisateurs finaux spcifiques chaque fois que leur mthode d'authentification principale est modifie, par exemple par un changement de mot de passe de domaine ou l'mission d'une nouvelle carte puce. Il est possible de configurer Password Manager pour qu'il effectue cette opration automatiquement en utilisant le module de gestion des cls fourni en option. Password Manager peut galement tre configur pour utiliser l'API de protection des donnes de Microsoft (DPAPI). Lorsque vous utilisez le module de gestion des cls en option et/ou le DPAPI, notez que les administrateurs sont en mesure d'accder aux informations d'identification personnelles ou professionnelles d'un utilisateur stockes dans Password Manager, s'ils se connectent sous le compte de cet utilisateur final. Pour plus de scurit, les utilisateurs finaux peuvent tre invits vrifier leur identit l'aide d'informations uniques fournies au systme. Ceci offre une couche de protection supplmentaire pour les informations d'identification secondaires de l'utilisateur. Des rglementations informatiques au niveau des gouvernements rgionaux peuvent ncessiter d'avertir vos utilisateurs finaux des ventuelles implications pour la scurit et la confidentialit du dploiement de configurations de scurit du module de gestion des cls et de DPAPI. Passez en revue les rgles de votre socit et dterminez, le cas chant, le type de notification requis pour vos utilisateurs finaux. 2003-2007 Citrix Systems, Inc. Tous droits rservs. v-GO code 1998-2003 Passlogix, Inc. Tous droits rservs. Citrix, ICA (Independent Computing Architecture) et Program Neighborhood sont des marques dposes ;Citrix Presentation Server, Citrix Password Manager et SpeedScreen sont des marques dposes de Citrix Systems, Inc. aux tats-Unis et dans d'autres pays. Cryptage RSA 1996-1997 RSA Security Inc. Tous droits rservs. Ce produit inclut des composants logiciels dvelopps par The Apache Software Foundation (http://www.apache.org/). Ce produit inclut un logiciel dvelopp par Salamander Software Ltd. 2002 Salamander Software Ltd. Parties 2003 Citrix Systems, Inc. Tous droits rservs. Gestion des licences : les droits de certaines sections de la prsente documentation relatives Globetrotter, Macrovision et FLEXlm appartiennent 2003-2006 Macrovision Corporation et/ou Macrovision Europe Ltd. Tous droits rservs. Reconnaissances de marques Adobe, Acrobat et PostScript sont soit des marques, soit des marques dposes d'Adobe Systems Incorporated aux tats-Unis et/ou dans d'autres pays. Java, Sun et SunOS sont des marques ou des marques dposes de Sun Microsystems, Inc. aux tats-Unis et dans d'autres pays. Solaris est une marque dpose de Sun Microsystems, Inc. Sun Microsystems, Inc. n'a pas test ni approuv ce produit. Certaines parties de ce logiciel sont bases sur le travail du groupe Independent JPEG Group. Certaines parties de ce logiciel contiennent du code d'images appartenant Pegasus Imaging Corporation, Tampa, FL et protg par copyright. Tous droits rservs. Macromedia et Flash sont des marques ou des marques dposes de Macromedia, Inc. aux tats-Unis et/ou dans d'autres pays. Microsoft, MS-DOS, Windows, Windows Vista, Windows Media, Windows Server, Windows NT, Win32, Outlook, ActiveX, Active Directory et DirectShow sont soit des marques dposes, soit des marques de fabrique, de commerce ou de service de Microsoft Corporation aux tats-Unis et/ou dans d'autres pays. Netscape et Netscape Navigator sont des marques dposes de Netscape Communications Corp. aux tats-Unis et/ou dans d'autres pays. Novell Directory Services, NDS et NetWare sont des marques dposes de Novell, Inc. aux tats-Unis et dans d'autres pays. Novell Client est une marque de Novell, Inc. RealOne est une marque de RealNetworks, Inc. Gestion des licences : Globetrotter, Macrovision et FLEXlm sont des marques et/ou des marques dposes de Macrovision Corporation. Toutes les autres marques et marques dposes sont la proprit de leurs dtenteurs respectifs. Code de document : 6 septembre 2007 (FA)
Table des matires
Table des matires
Bienvenue . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Composants de Password Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13 Le magasin central. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14 La Console Password Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14 LAgent Password Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15 Le Service Password Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .17 Gamme de produits Password Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18 Password Manager dition Advanced . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18 Password Manager dition Enterprise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18 Comparatif entre les deux ditions de Password Manager. . . . . . . . . . . . . . . . . . . . . . . .19 Nouvelles fonctionnalits de Citrix Password Manager 4.6. . . . . . . . . . . . . . . . . . . . . . .20 Informations propos de ce document. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21 Lectorat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22 Commentaires propos de ce document. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22 Conventions typographiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22 Complment d'informations et aide . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23 Documentation produit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23 Assistance technique et services disponibles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25 Subscription Advantage. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26 Formations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26
Utilisation des stratgies de mot de passe pour appliquer les critres de mot de passe. . 27
Prsentation des stratgies de mot de passe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27 Groupes de partage de mot de passe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .28 Groupes de partage de mot de passe de domaine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29 Application des stratgies de mot de passe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29
Cration de stratgies de mot de passe : l'assistant de stratgie de mot de passe . . . . . . . . .30 Dfinition des rgles de mot de passe de base . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .31 Dfinition des rgles pour les caractres alphabtiques . . . . . . . . . . . . . . . . . . . . . . . . . .31 Dfinition des rgles pour les caractres numriques. . . . . . . . . . . . . . . . . . . . . . . . . . . .32 Dfinition des rgles pour les caractres spciaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .32 Dfinition de rgles d'exclusion (exclusion de caractres spcifiques) . . . . . . . . . . . . . .33 Dfinition de l'historique et de l'expiration du mot de passe . . . . . . . . . . . . . . . . . . . . . .34 Test de la stratgie de mot de passe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .35 Prfrences d'authentification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .36 Personnalisation de l'assistant de modification de mot de passe . . . . . . . . . . . . . . . . . . .37 Augmentation de la force des mots de passe et renforcement de la scurit dans votre environnement. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .38
Utilisation et gestion des dfinitions d'application. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

Prsentation des modles d'application . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .41 Gestion des dfinitions d'application l'aide de modles. . . . . . . . . . . . . . . . . . . . . . . . .41 Identification des applications et des vnements de gestion des informations d'identification par l'Agent Password Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .45 Identification des parties de l'interface utilisateur de l'application . . . . . . . . . . . . . . . . . .46 Prsentation de l'assistant de dfinition d'application . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .46 Identification de l'application . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .47 Gestion des formulaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .47 Nom des champs personnaliss. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .48 Dsignation de l'icne . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .48 Configuration de la dtection avance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .48 Configuration de l'expiration du mot de passe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .49 Confirmation des rglages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .50 Prsentation de l'assistant de dfinition de formulaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .50
Table des matires
Dfinitions d'applications de type Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .52 Rassemblement des informations requises pour les dfinitions d'applications Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .53 Processus de dfinition de formulaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .53 Utilisation de la correspondance avance pour identifier les formulaires Windows . . . .60 Informations de la classe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .60 Recherche de correspondance du contrle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .62 Informations de session SAP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .64 Identificateur de fentre. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .65 Extensions d'identification. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .65 Utilisation de l'diteur d'action pour dfinir la squence d'actions des formulaires. . . . .66 Processus de dfinition d'une squence d'actions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .67 Description des actions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .68 Considrations sur les dfinitions de type Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . .70 Dfinitions d'applications de type Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .71 Rassemblement des informations requises pour les dfinitions d'applications Web . . . .72 Processus de dfinition de formulaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .72 Nom du formulaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .73 Identification du formulaire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .74 Autres rglages. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .75 Confirmation des rglages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .75 Assistant de formulaire Web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .76 Redirection vers une application Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .76 Bote de dialogue Paramtres avancs pour les applications Web . . . . . . . . . . . . . . . . . . . .77 Dfinitions d'applications de type Hte/mainframe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .79 Rassemblement des informations requises pour les dfinitions d'applications hte . . . .80 Processus de dfinition de formulaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .80 Paramtres avancs pour les applications hte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .85 Considrations sur les dfinitions de type hte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .86 Prise en charge de l'mulation de terminal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .87 Dfinition de champs dans mfrmlist.ini . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .89
Cration de configurations utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91

Dfinition d'une configuration utilisateur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .92 Proprits de la configuration utilisateur par dfaut . . . . . . . . . . . . . . . . . . . . . . . . . . . . .93 Avant de commencer. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .96 Spcification des contrleurs de domaine pour les configurations utilisateur . . . . . . . . .97
Cration d'une configuration utilisateur : l'assistant de configuration utilisateur . . . . . . . . .98 Nom de la configuration utilisateur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .99 Slection de l'dition du produit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .100 Dfinition du serveur de synchronisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .100 Choix d'applications. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .100 Configuration de l'interaction de l'Agent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .102 Configuration du systme de licences. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .109 Slection des mthodes de protection des donnes. . . . . . . . . . . . . . . . . . . . . . . . . . . . .110 Slection de la protection secondaire des donnes . . . . . . . . . . . . . . . . . . . . . . . . . . . . .113 Activer les fonctions autonomes de compte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .114 Emplacement des modules du service. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .115 Fin de l'assistant de configuration utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .115 Synchronisation des informations d'identification l'aide de la fonction Association de comptes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .115 Pour synchroniser manuellement les dfinitions d'application entre les domaines. . . . . . .118 Configuration de la fonction Association de comptes dans l'Agent. . . . . . . . . . . . . . . .120 Rinitialisation et suppression des donnes utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . .121 Rinitialisation des donnes utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .121 Supprimer les informations utilisateur du magasin central. . . . . . . . . . . . . . . . . . . . . . .123 Invite des utilisateurs renregistrer leurs questions de scurit. . . . . . . . . . . . . . . . . . . . .124 Affectation d'une priorit aux configurations utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . .125 Affectation d'une configuration utilisateur diffrents utilisateurs. . . . . . . . . . . . . . . . . . .126 Mise niveau des configurations utilisateur existantes . . . . . . . . . . . . . . . . . . . . . . . . . . . .127
Authentification des utilisateurs et vrification d'identit . . . . . . . . . . . . . . . . . . . . . . . . . . . 129

Prsentation de l'authentification Password Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . .129 Confirmation de l'identit des utilisateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .130 Prsentation des mthodes de vrification d'identit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .131 Mot de passe prcdent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .132 Questions de scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .132 Contournement de la vrification d'identit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .132 Permutation entre plusieurs mthodes d'authentification principale . . . . . . . . . . . . . . . . . .133
Gestion de l'authentification avec questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135

Confirmation de l'identit d'un utilisateur l'aide de l'authentification avec questions . . .136 Notions importantes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .137 tapes de l'authentification avec questions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .138
Table des matires
Conception des questions de scurit : compromis entre maintien de la scurit et simplicit d'utilisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .139 Notions importantes lies aux questions de scurit. . . . . . . . . . . . . . . . . . . . . . . . . . . .140 Gestion de vos questions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .141 Configuration d'une langue par dfaut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .141 Cration de questions de scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .142 Ajout ou modification du texte de questions existantes (y compris les traductions) . . .143 Cration de groupes de questions de scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .145 Cration et utilisation du questionnaire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .147 Slection de questions pour la rcupration de cl . . . . . . . . . . . . . . . . . . . . . . . . . . . . .148 Activation du masquage des rponses de scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . . .149 Rtrocompatibilit avec Password Manager versions 4.0 et 4.1 . . . . . . . . . . . . . . . . . . . . .151 Activation du renregistrement des rponses aux questions de scurit . . . . . . . . . . . . . . .152
7 Autorisation des utilisateurs grer leurs informations d'identification principales avec les fonctions autonomes de compte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
Prsentation des fonctions autonomes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .154 Considrations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .154 Utilisation de la gestion automatique de cls avec les fonctions autonomes . . . . . . . . .155 Rsum des tches d'implmentation des fonctions autonomes . . . . . . . . . . . . . . . . . . . . .155 Oubli des questions de scurit par l'utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .156 Exprience pour l'utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .156
Automatisation de la saisie des informations d'identification l'aide de l'habilitation . . . 159

Rcapitulatif des tches d'habilitation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .160 Gnration d'un modle d'habilitation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .161 Modification du modle d'habilitation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .162 La balise <cpm-provision> . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .163 Exemple de fichier gnr . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .163 La balise <user>. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .164 La commande <add> . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .165 La commande <modify> . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .166 La commande <delete> . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .167 La commande <remove>. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .168 La commande <reset> . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .168 La commande <list-credentials> . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .169 Informations d'identification de l'habilitation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .170 Rglage manuel du traitement de l'habilitation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .171 Kit de dveloppement logiciel (SDK) de l'habilitation . . . . . . . . . . . . . . . . . . . . . . . . . . . .171
Le Bureau dynamique : un environnement de bureau partag destin aux utilisateurs. . 173

Rcapitulatif des tches du Bureau dynamique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .174 Processus de dmarrage et de fermeture du Bureau dynamique . . . . . . . . . . . . . . . . . . . . .175 vnements de dmarrage et de fermeture du Bureau dynamique . . . . . . . . . . . . . . . .176 Rsolution des problmes de dmarrage utilisateur du Bureau dynamique. . . . . . . . . .177 Cration d'un compte Bureau dynamique partag . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .178 Instructions sur la cration du compte partag de Bureau dynamique. . . . . . . . . . . . . .178 Organisation des utilisateurs du Bureau dynamique. . . . . . . . . . . . . . . . . . . . . . . . . . . .179 Restrictions des droits des utilisateurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .179 Bureau dynamique, cartes puce et rcupration de cl . . . . . . . . . . . . . . . . . . . . . . . .180 Conditions requises pour les applications utilises dans le Bureau dynamique . . . . . . . . .180 Dfinition du comportement des applications pour les utilisateurs du Bureau dynamique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .181 Avant de commencer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .182 Fichier Session.xml . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .184 Lancement d'applications l'aide de Session.xml . . . . . . . . . . . . . . . . . . . . . . . . . . . . .184 Balises du fichier Session.xml. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .185 Paramtres de configuration utilisateur du Bureau dynamique . . . . . . . . . . . . . . . . . . . . . .190 Localisation des paramtres du Bureau dynamique dans une configuration utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .191 Spcification des options de dlai d'expiration de session du Bureau dynamique. . . . .191 Activation de l'indicateur de session Bureau dynamique . . . . . . . . . . . . . . . . . . . . . . . .192 Utilisation d'un graphique bitmap personnalis comme indicateur de session . . . . . . .192 Utilisation de lconomiseur d'cran du Bureau dynamique . . . . . . . . . . . . . . . . . . . . .193 Installation du Bureau dynamique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .193 Dsactivation des services Terminal Server pour une installation administrative ou non assiste du Bureau dynamique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .194 Dsinstallation du Bureau dynamique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .195 Restauration des services Terminal Server aprs la dsinstallation du Bureau dynamique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .196 Activation des sessions multiples aprs dsinstallation du Bureau dynamique. . . . . . .197 Interaction avec les clients Citrix Presentation Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . .197 Agent Program Neighborhood . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .198 Interface Web de Citrix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .198 Affichage des profils utilisateur du Bureau dynamique. . . . . . . . . . . . . . . . . . . . . . . . . . . .198 Fermeture d'une station de travail du Bureau dynamique . . . . . . . . . . . . . . . . . . . . . . . . . .199 Absence de prise en charge de la fonction AutoAdminLogon . . . . . . . . . . . . . . . . . . . . . .199 Modification du mot de passe du compte partag de Bureau dynamique . . . . . . . . . . . . . .200 Informations du Bureau dynamique sur le Web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .201
Table des matires
10 Oprations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
Journalisation des vnements de Password Manager. . . . . . . . . . . . . . . . . . . . . . . . . . . . .203 Fichier Mfrmlist.ini . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .206 L'Agent Password Manager ne soumet pas les informations d'identification . . . . . . . . . . .206 Applications Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .207 Applications d'mulation de terminal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .207 Prise en charge des mulateurs de terminal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .208 Configuration de la prise en charge HLLAPI pour les mulateurs tests . . . . . . . . . . .209 L'Agent Password Manager ne dmarre pas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .210 Mises jour logicielles et chane GINA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .210 Cration d'un certificat de signature . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .211 Signature, retrait de signature, renouvellement de signature et vrification des donnes. .212 Signature des donnes (-s). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .213 Renouvellement de la signature de donnes (-r). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .214 Retrait de la signature des donnes (-u) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .215 Vrification des donnes (-v) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .216 Affichage de l'aide (-h) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .217 Activation et dsactivation du service d'intgrit des donnes dans l'Agent Password Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .217 limination d'objets supprims dans le magasin central . . . . . . . . . . . . . . . . . . . . . . . . . . .217 Dplacement des donnes vers un autre magasin central . . . . . . . . . . . . . . . . . . . . . . . . . .218 Migration de donnes vers un nouveau magasin central . . . . . . . . . . . . . . . . . . . . . . . .219 Sauvegarde des fichiers importants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .221 Sauvegarde des fichiers du service Password Manager . . . . . . . . . . . . . . . . . . . . . . . . .221
11 Liste des paramtres de Password Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225
10
12 Liste de rfrence des paramtres de Password Manager 4.6 . . . . . . . . . . . . . . . . . . . . . . . 229

Configurations utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .229 Serveur de synchronisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .229 Interaction de base de l'agent. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .230 Interface utilisateur de l'Agent. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .231 Interaction ct client. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .233 Synchronisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .234 Association de comptes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .235 Prise en charge d'application . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .237 Bureau dynamique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .238 Systme de licences . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .239 Mthodes de protection des donnes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .241 Protection secondaire des donnes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .243 Fonctions autonomes de compte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .245 Module de gestion des cls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .245 Module d'habilitation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .246 Dfinitions d'application . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .246 Modification du formulaire d'application . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .246 Icne d'application . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .247 Dtection avance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .247 Expiration du mot de passe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .248 Stratgies de mot de passe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .248 Rgles de mot de passe de base. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .249 Rgles des caractres alphabtiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .249 Rgles de caractre numrique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .250 Rgles des caractres spciaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .251 Rgles d'exclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .252 Historique et expiration des mots de passe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .254 Test de la stratgie de mot de passe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .255 Prfrences d'authentification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .256 Assistant de modification de mot de passe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .257
13 Extensions de dfinitions d'applications. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .259

Oprations de l'Agent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .259 Extensions d'identification. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .260 Dfinition des extensions d'identification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .261 Extensions d'actions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .263 Exigences de l'implmenteur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .267 Activation de la journalisation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .267
Table des matires
11
14 Codes clavier virtuel pour les applications d'hte et les applications Windows . . . . . . . . 269
Codes pour VTabKeyN (Windows) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .269 Codes pour VirtualKeyCode (Windows) et VKEY (Windows) . . . . . . . . . . . . . . . . . . . . .270 Codes clavier virtuel pour les mulateurs de terminal HLLAPI . . . . . . . . . . . . . . . . . . . . .271
12
Bienvenue
A l'aide de l'authentification unique, Citrix Password Manager offre un accs sr et protg par mot de passe aux applications d'hte, Windows et Web excutes dans un environnement Citrix ou localement. Les utilisateurs s'authentifient une fois, puis Password Manager ouvre automatiquement des sessions dans les systmes protgs par mot de passe, applique les stratgies de mot de passe, surveille tous les vnements associs aux mots de passe et peut mme automatiser certaines tches de l'utilisateur, telles que la modification des mots de passe. Ce chapitre dcrit les points suivants : Composants de Password Manager , page 13 Gamme de produits Password Manager , page 18 Informations propos de ce document , page 21 Complment d'informations et aide , page 23
Composants de Password Manager

Les sections suivantes dcrivent brivement les composants de Password Manager installer pour commencer utiliser ce programme. Veuillez consulter la section Planification de votre environnement Password Manager du Guide d'installation Citrix Password Manager pour obtenir des informations dtailles. Les principaux composants de Password Manager sont : Le magasin central La Console Password Manager LAgent Password Manager Le Service Password Manager (facultatif)
14
Le magasin central
Le magasin central est un stockage centralis permettant Password Manager de stocker et de grer les donnes utilisateur et d'administration. Les donnes utilisateur comprennent notamment les informations d'identification, les rponses aux questions de scurit et d'autres donnes relatives l'utilisateur. Les donnes d'administration incluent les stratgies de mot de passe, les dfinitions d'application, les questions de scurit et d'autres donnes de porte plus large. Lorsqu'un utilisateur ouvre une session, Password Manager compare ses informations d'identification celles stockes dans le magasin central. Lorsque l'utilisateur ouvre des applications ou des pages Web protges par mot de passe, les informations d'identification adquates sont extraites du magasin central.
La Console Password Manager

La Console Password Manager est le centre de commande de Password Manager. Elle vous permet de grer l'exprience Password Manager des utilisateurs. Vous pouvez y configurer la faon dont fonctionne Password Manager, les fonctions dployer, les mesures de scurit qui seront utilises et d'autres paramtres importants lis aux mots de passe. La Console contient quatre lments principaux, ou nuds, dans le panneau de gauche. Lorsque vous slectionnez un nud, ses tches spcifiques apparaissent. Ces nuds sont les suivants. Configurations utilisateur Ces configurations permettent d'ajuster certaines paramtres aux utilisateurs en fonction de leur emplacement gographique ou de leur rle dans l'entreprise. Les paramtres des trois autres nuds vous permettent de crer des configurations utilisateur. Dfinitions d'application Ces dfinitions offrent les informations ncessaires l'Agent pour l'authentification auprs des applications et pour la dtection des erreurs. Vous pouvez utiliser les modles de dfinition d'application fournis avec Password Manager pour acclrer le processus ou crer vos dfinitions personnalises pour les applications qui ne peuvent pas utiliser ces modles. Les modles supplmentaires se trouvent l'emplacement suivant : http://www.citrix.com/passwordmanager/gettingstarted Stratgies de mot de passe Les stratgies de mot de passe contrlent la longueur des mots de passe, le type et la varit des caractres des mots de passe dfinis par l'utilisateur et gnrs automatiquement. Elles vous permettent aussi de spcifier les
Bienvenue
15
caractres exclure dans les mots de passe et la rutilisation des mots de passe prcdents. La cration de stratgies de mot de passe cohrentes avec les stratgies de scurit de votre entreprise garantit une bonne gestion de la scurit des mots de passe par Password Manager. Vrification d'identit Les questions de scurit cres offre une couche de scurit supplmentaire l'Agent en protgeant contre l'usurpation d'identit, les modifications de mot de passe et les dverrouillages de compte non autoriss. Les utilisateurs qui s'inscrivent et qui rpondent vos questions de scurit peuvent ensuite vrifier leur identit en fournissant les mmes rponses aux questions. Une fois la vrification effectue, les utilisateurs peuvent accomplir les tches des fonctions autonomes sur leur compte, comme la rinitialisation de leur mot de passe principal ou le dverrouillage de leur compte utilisateur. Les questions de scurit peuvent galement servir la rcupration de cls.
LAgent Password Manager

L'Agent Password Manager est le logiciel permettant aux machines clientes d'agir en tant qu'intermdiaire entre les utilisateurs et leurs applications. Lorsqu'un utilisateur tente d'accder une application requrant l'authentification, l'Agent intercepte la demande d'authentification de l'application, recherche les informations d'identification correspondantes et les soumet l'application. En outre, l'Agent Password Manager offre aux utilisateurs une grande varit de fonctions. Les fonctions dont disposent les utilisateurs dpendent des paramtres d'administration dfinis dans les configurations utilisateur. Reportez-vous la section Liste des paramtres de Password Manager , page 225, pour connatre les paramtres spcifiques dont vous bnficiez. Les fonctions de l'Agent Password Manager sont notamment : Icne dans la barre d'tat systme de Windows L'icne de l'Agent Password Manager situe dans la barre d'tat systme de Windows permet d'accder au Gestionnaire d'informations d'identification et d'autres fonctionnalits de Password Manager, notamment l'enregistrement des questions de scurit, la mise en pause et l'aide en ligne. Gestionnaire d'informations didentification. Le Gestionnaire d'informations d'identification offre une interface utilisateur permettant de crer, afficher, modifier et supprimer les
16
informations d'identification. Les utilisateurs peuvent galement y enregistrer leurs questions de scurit et accder l'aide en ligne. Le menu Fichier permet d'accder de nombreuses fonctionnalits : La commande Nouvelles informations d'identification permet d'ajouter de nouvelles informations d'identification pour les applications Windows, Web ou hte dans Password Manager. La commande Proprits permet d'accder aux proprits associes aux informations d'identification de l'application spcifie. L'utilisateur peut alors modifier son mot de passe, son ID utilisateur et d'autres informations d'identification. La commande Supprimer efface les informations d'identification de l'utilisateur pour l'application slectionne partir du Gestionnaire d'informations d'identification. La commande Copier fournit une copie des informations d'identification slectionnes, que l'utilisateur peut modifier pour crer diffrents ensembles d'informations d'identification pour diffrentes applications.
Les autres commandes accessibles par les utilisateurs sont notamment : La commande Rvler les mots de passe, disponible depuis le menu Affichage, permet l'utilisateur d'afficher les mots de passe des applications figurant dans le Gestionnaire d'informations d'identification. Remarque : les paramtres de stratgie de mot de passe relatifs l'affichage des mots de passe ont priorit sur cette commande. Si vous ne souhaitez pas que les utilisateurs rvlent le mot de passe d'une application, dfinissez une stratgie cette fin. La commande Enregistrement des questions de scurit, disponible dans le menu Outils, permet l'utilisateur de redmarrer l'assistant d'enregistrement des questions de scurit et de fournir de nouvelles rponses aux questions de scurit. La commande Association de comptes, dans le menu Outils, permet l'utilisateur de crer une association entre des comptes dans diffrents domaines. Cette fonctionnalit permet de synchroniser les informations d'identification. Les modifications de mot de passe sont rpercutes sur les diffrents domaines.
Bienvenue
17
Configuration de nouvelle ouverture de session automatise Les utilisateurs peuvent configurer rapidement de nouvelles informations d'identification l'aide de cet assistant. L'Agent Password Manager dtecte la demande d'informations d'identification par une application ou un site Web. Si les informations d'identification de l'utilisateur ne sont pas dj stockes dans Password Manager, l'assistant Nouvelles informations d'identification s'affiche automatiquement et propose leur enregistrement.
Mobilit de l'utilisateur L'Agent Password Manager prend en charge les utilisateurs distants et itinrants. En se procurant une licence avant de se dconnecter, les utilisateurs distants peuvent accder leurs informations d'identification, qu'ils soient ou non dconnects du rseau de l'entreprise. Les utilisateurs itinrants peuvent se dplacer d'un ordinateur un autre et plusieurs utilisateurs peuvent partager une mme station de travail en toute scurit.
Le Service Password Manager

Il est excut sur un serveur Web qui constitue la base de fonctionnalits optionnelles disponibles dans cette version. Installez le service Password Manager si vous envisagez de mettre en place au moins un des modules suivants : Fonctions autonomes de compte, qui permet la rinitialisation des mots de passe Windows et le dverrouillage des comptes Windows. Intgrit des donnes, qui protge les donnes lors de leur transfert du magasin central vers l'Agent. Gestion des cls, qui permet aux utilisateurs de rcuprer leurs informations d'identification secondaires lorsque leur mot de passe principal change, soit par rcupration de cl automatique, soit aprs rponse aux questions de scurit avec authentification avec questions. Habilitation, qui vous permet d'utiliser la console pour ajouter, supprimer ou mettre jour les donnes utilisateur et les informations d'identification Password Manager. Synchronisation des informations d'identification, qui synchronise les informations d'identification sur les diffrents domaines utilisant un service Web.
Si vous ne mettez pas en place ces modules, n'installez pas le service Password Manager. Veuillez consulter la section Installation et configuration du service Password Manager du Guide d'installation Citrix Password Manager pour plus d'informations sur le Service Password Manager.
18
Gamme de produits Password Manager

Password Manager est maintenant propos en deux ditions : Password Manager dition Advanced Password Manager dition Enterprise
En outre, Citrix Presentation Server 4.5 Feature Pack 1, dition Platinum, compte une fonctionnalit comparable Password Manager, dition Enterprise nomme Single Sign-on Powered by Password Manager .
Password Manager dition Advanced

L'dition Advanced de Password Manager permet d'augmenter la scurit de votre entreprise par les moyens suivants : options de stratgie de mots de passe renforce ; cration automatique de mots de passe ; option d'assistant de modification de mot de passe dmarrage automatique ; cryptage des mots de passe pendant qu'ils sont en mmoire, stocks et en cours de transmission ; options d'expiration de mot de passe pour les applications ne disposant pas de cette fonctionnalit.
L'dition Advanced interagit galement de manire efficace avec d'autres programmes, ce qui simplifie le stockage des informations d'identification ainsi que vos oprations de maintenance pour ce processus et ces informations.
Password Manager dition Enterprise

L'dition Enterprise de Password Manager est destine aux environnements d'entreprise les plus exigeants et les plus complexes. L'dition Enterprise : offre une scurit amliore, des fonctions autonomes et de mobilit pour les utilisateurs ainsi que des performances leves ; rduit le nombre d'appels l'assistance technique grce des fonctions autonomes permettant aux utilisateurs de modifier leur mot de passe Windows et de dverrouiller leur compte ; permet aux utilisateurs itinrants d'accder rapidement leurs informations avec le Bureau dynamique, ce qui simplifie la rotation d'utilisateurs sur les postes de travail partags ;
Bienvenue
19
fournit des fonctions de scurit d'entreprise, telles que l'intgration avec des cartes puce et la prise en charge de Kerberos et du Support denvironnement fdr (ADFS et SAML).
Comparatif entre les deux ditions de Password Manager

Fonctions utilisateur Authentification unique auprs des applications Windows Authentification unique auprs des applications Web Authentification unique auprs des applications hte via les mulateurs de terminal Client Citrix Access Interface utilisateur localise Prise en charge de SAPGUI, Internet Explorer 7 (32 bits, 64 bits) Rinitialisation du mot de passe Dverrouillage autonome du compte Intgration des fonctions autonomes l'interface Web Bureau dynamique, rotation rapide des utilisateurs Intgration Bureau dynamique/SmoothRoaming Association de comptes dition Advanced X X X X X X dition Enterprise X X X X X X X X X X X X
Fonctions de scurit Modification automatique des mots de passe Modification transparente des mots de passe Mots de passe crypts en mmoire, stocks et en cours de transmission Application de la stratgie de mot de passe - modification automatique des mots de passe Application de la stratgie de mot de passe - modification manuelle des mots de passe Expiration du mot de passe Prise en charge biomtrique et jetons de mots de passe
dition Advanced X X X X X X X
dition Enterprise X X X X X X X
20
Fonctions de scurit Prise en charge des cartes puce Assurance d'intgrit des donnes cryptographiques Prise en charge de Kerberos et des environnements fdrs (ADFS, SAML)
dition Advanced
dition Enterprise X
X X
Fonctions d'administration Habilitation par lots Intgration aux produits d'habilitation des utilisateurs Prise en charge des partages de fichiers Windows NT Prise en charge de Microsoft Active Directory Prise en charge des partages rseau Novell NetWare Prise en charge des rpertoires LDAP Administration via les groupes Active Directory Prise en charge de Citrix Streaming Server Console Citrix Access Management Console Systme de licences intgr la version Platinum Compatibilit Windows Server 2003 64 bits Licences d'utilisateur dsign Licences Utilisateurs simultans (Citrix Password Manager pour Presentation Server uniquement)
dition dition Advanced Enterprise X X X X X X X X X X X X X X X X X X X X X X X X X
Nouvelles fonctionnalits de Citrix Password Manager 4.6

Citrix Password Manager 4.6 comprend les fonctionnalits suivantes :
Prise en charge de Windows Vista pour l'Agent Password Manager

L'Agent Password Manager propose dsormais la gamme complte de ses fonctionnalits dans l'environnement Windows Vista. Pour une liste complte des environnements pris en charge par Password Manager, veuillez consulter les sections Configurations requises pour la Console et l'Agent Password Manager et Configuration requise pour le service Password Manager du Guide d'installation Citrix Password Manager.
Bienvenue
21
Amlioration de l'habilitation des informations d'identification

L'habilitation des informations d'identification d'une application aux utilisateurs est dsormais possible chaque fois que l'Agent Password Manager est excut. Auparavant, l'habilitation ne pouvait avoir lieu que pendant le processus de dmarrage de l'Agent.
Prise en charge du service de domaines multiples

Password Manager vous permet maintenant de partager le service Password Manager parmi les utilisateurs de domaines diffrents. Vous pouvez installer la Console Password Manager sur des ordinateurs de domaines diffrents et crer ensuite une ou plusieurs configurations dans chacun des domaines.
Rponses masques aux questions de scurit pour authentification avec questions

Password Manager vous donne maintenant l'option de masquer les rponses de l'utilisateur aux questions de scurit de l'authentification avec questions. Si elles sont actives, les rponses des utilisateurs sont protges pendant l'enregistrement des rponses et lorsqu'elles sont fournies pour la vrification d'identit.
Disponibilit des fonctions autonomes pendant le verrouillage de l'ordinateur

Le bouton Fonctions autonomes de compte, dj disponible sur la bote de dialogue d'ouverture de session Windows, est maintenant galement disponible sur la bote de dialogue Dverrouillage de l'ordinateur. Cette fonctionnalit permet aux utilisateurs de rinitialiser leur mot de passe rseau ou de dverrouilleur leur compte de domaine Windows. Remarque : la fonctionnalit Fonctions autonomes de compte est uniquement disponible sur l'dition Enterprise.
Informations propos de ce document

Les objectifs globaux de ce guide sont de vous donner : une connaissance des fonctionnalits et composants de Password Manager ; instructions et des conseils pour vous aider crer et maintenir l'environnement de gestion des mots de passe adquat pour vos utilisateurs.
22
Lectorat
Ce document est destin aux administrateurs du systme et de la scurit qui effectuent la mise en place de Password Manager. Le lecteur doit possder une connaissance de base de l'administration Windows Server. Une exprience de Novell NetWare est galement ncessaire s'il s'agit de la plate-forme utilise pour installer ou grer Password Manager.
Commentaires propos de ce document

Pour envoyer vos commentaires propos de la documentation, ouvrez la page http://www.citrix.com et cliquez sur Support > Knowledge Center > Product Documentation. Le formulaire prvu cet effet s'ouvre lorsque vous cliquez sur le lien Submit Documentation Feedback.
Conventions typographiques
La documentation des produits Citrix utilise les conventions typographiques suivantes pour dsigner les menus, les commandes, les touches de clavier et les lments de l'interface.
Convention Gras Signification Indique une commande, le nom d'un lment de l'interface tel qu'une zone de texte ou un bouton, ou des donnes entres par l'utilisateur. Signale un emplacement rserv des informations ou des paramtres que vous devez fournir. Par exemple, si une procdure vous demande d'entrer un nom de fichier vous devez entrer le nom d'un fichier. L'italique peut galement indiquer un terme nouveau ou le titre d'un document. Fait rfrence au rpertoire systme Windows. Il peut s'agir de WTSRV, WINNT, WINDOWS ou d'un autre nom dfini lors de l'installation de Windows. Correspond du texte figurant dans un fichier texte. Renferment une srie d'lments dont l'un est ncessaire l'instruction. Par exemple, { yes | no } indique que vous devez spcifier yes ou no. N'entrez pas les accolades. Renferment les lments facultatifs des instructions. Par exemple, [/ping] indique que vous pouvez entrer /ping avec la commande. N'entrez pas les crochets. Spare les lments entre crochets ou accolades dans les instructions. Par exemple, { /hold | /release | /delete } indique que vous devez taper /hold, /release ou /delete.
Italique
%SystemRoot%
Police espacement fixe
{accolades}
[crochets]
| (barre verticale)
Bienvenue
23
Convention (points de suspension)
Signification Indique que vous pouvez rpter le ou les lments prcdents dans les instructions. Par exemple, / route:NomPriphrique[,] indique que vous pouvez taper plusieurs noms de priphrique en les sparant par des virgules.
Complment d'informations et aide

Cette section dcrit la documentation de cette dition. Elle vous indique comment obtenir des informations supplmentaires sur Password Manager. Les sujets suivants sont traits : Documentation produit Assistance technique et services disponibles Subscription Advantage Formations
Documentation produit
Password Manager contient une vaste bibliothque de documentations. La plupart des publications de cette documentation sont disponibles sur le site Web de Citrix (http://www.Citrix.com). Le fichier Read_Me_First.html, situ dans le dossier Documentation du CD-ROM du produit, contient des liens directs vers la documentation.
Bulletin des mises jour prliminaires

Le Bulletin des mises jour prliminaires fournit des informations relatives l'installation rdiges aprs la publication du fichier LisezMoi. Ce bulletin est disponible l'adresse suivante: http://support.citrix.com/article/CTX111285.
Password_Manager_Read_Me_First
Ce document, dont l'autre titre est Bienvenue dans Citrix Password Manager, se trouve dans le dossier Documentation du CD-ROM du produit. Le document contient des liens directs vers la bibliothque de documentation Password Manager sur le site Web de Citrix.
24
Fichier LisezMoi
Le fichier LisezMoi fournit des informations sur les fonctionnalits de Password Manager, les problmes connus, les modifications et d'autres informations importantes dveloppes aprs la publication du Guide de l'administrateur de Citrix Password. Lisez-le attentivement avant d'installer Password Manager. Il se trouve sur le site Web de Citrix et est accessible directement depuis le fichier Password_Manager_Read_Me_First.html.
Guide de dmarrage du systme de licences Citrix

Le systme des licences Password Manager a chang depuis la publication de Password Manager 4.1. Veuillez consulter le Guide de dmarrage du systme de licences Citrix, disponible sur le site Web de Citrix et accessible depuis le fichier Password_Manager_Read_Me_First.html, pour obtenir des instructions pour grer la licence Password Manager. Remarque : les guides sont disponibles au format Adobe PDF (Portable Document Format). Pour afficher, effectuer une recherche ou une impression dans un document PDF, vous devez disposer d'Acrobat Reader 5.0.5 avec la fonction Rechercher dans plusieurs documents ou d'Adobe Reader (version 6.0 ou ultrieure). Vous pouvez tlcharger ces produits gratuitement depuis le site Web dAdobe Systems ladresse suivante : http://www.adobe.com/.
Guide d'installation Citrix Password Manager

Le Guide d'installation Citrix Password Manager prsente les procdures ncessaires l'installation et la mise niveau de Password Manager. Il se trouve sur le site Web de Citrix et est accessible directement depuis le fichier Password_Manager_Read_Me_First.html.

Le Guide de l'administrateur (ce document) contient des informations conceptuelles et des instructions destines aux administrateurs systme chargs de la maintenance, de la configuration et des essais des composants de Password Manager. Il se trouve sur le site Web de Citrix et est accessible directement depuis le fichier Password_Manager_Read_Me_First.html.
Check-list d'installation
Ce document fournit des instructions brves et concises pour les administrateurs connaissant dj les procdures d'installation de Password Manager. Il offre une approche large du processus et n'est pas destin remplacer ce Guide d'installation. Il se trouve sur le site Web de Citrix et est accessible directement depuis le fichier Read_Me_First.html.
Bienvenue
25
Aide en ligne pour les administrateurs et les utilisateurs

Les administrateurs bnficient aujourd'hui d'un ensemble complet de rubriques d'aide bases sur le Guide de l'installation et du Guide de l'administrateur. Les administrateurs peuvent maintenant consulter des donnes relatives aux tches courantes, au workflow et aux paramtres. Les utilisateurs peuvent obtenir des informations propos de tches courantes dont l'ajout d'informations d'identification pour les applications l'aide du Gestionnaire d'informations d'identification et l'ajustement des fonctions automatiques de Password Manager. Les utilisateurs peuvent accder l'aide par le biais des menus ou des boutons Aide.
Citrix Password Manager Evaluators Guide

Ce guide offre une prsentation pratique des fonctions de Password Manager en fournissant les notions ncessaires la configuration et l'excution d'un dploiement petite chelle du produit.
Assistance technique et services disponibles

L'assistance technique Citrix est assure principalement via le rseau Citrix Solutions Advisors Program. Veuillez contacter votre fournisseur pour obtenir une assistance directe ou obtenez les coordonnes du partenaire Solutions Advisors le plus proche partir de l'adresse http://www.citrix.com. Outre le rseau Citrix Solutions Advisors Program, Citrix dispose de divers outils d'assistance technique en ligne dans son Centre de connaissances (Knowledge Center), l'adresse http://support.citrix.com/. Le Centre de connaissances met votre disposition : une base de connaissances contenant des milliers de solutions techniques pour la maintenance de votre environnement Citrix ; une bibliothque de documentations produit sur le Web ; des forums d'assistance interactifs pour chaque produit Citrix ; les dernires corrections chaud et les derniers service packs ; des bulletins de scurit ; un systme Web permettant de signaler et d'effectuer le suivi des problmes (pour les utilisateurs disposant de contrats d'assistance) ; l'assistance Citrix distance en temps rel (Citrix Live Remote Assistance). Un produit d'assistance distance Citrix, GoToAssist, permet un membre de notre quipe d'afficher votre bureau et de partager le contrle de votre souris et de votre clavier pour parvenir une solution.
26
Une autre source d'assistance, les services Citrix Preferred Support Services, vous propose une gamme d'options permettant de personnaliser le niveau et le type d'assistance pour les produits Citrix utiliss dans votre entreprise.
Subscription Advantage
Subscription Advantage vous permet de disposer facilement des dernires fonctionnalits et des dernires informations relatives aux solutions serveur centralises. Tout au long de votre abonnement, vous bnficiez automatiquement : de feature releases ; de mises niveau logicielles ; d'amliorations de fonctionnalits ; d'informations relatives la maintenance ; d'un accs prioritaire d'importantes informations sur les technologies Citrix.
Vous trouverez plus d'informations concernant les offres d'abonnement sur le site Web de Citrix l'adresse http://www.citrix.com/services/ (cliquez sur Subscription Advantage). Vous pouvez galement contacter votre reprsentant commercial Citrix ou un membre du rseau Citrix Solutions Advisors Program.
Formations
Citrix propose de nombreuses formations avec instructeur ou via le Web. Les formations avec instructeur sont proposes dans des centres de formation agrs (CALC : Citrix Authorized Learning Center). Les centres CALC offrent des formations de qualit et utilisent des manuels conus par Citrix. Ces formations dbouchent souvent sur une certification. Les formations par le Web sont disponibles auprs des centres CALC, des revendeurs et sur le site Web de Citrix. Des informations sur les programmes et les cours des formations et certifications Citrix sont disponibles ladresse : http://www.citrix.com/edu/.
Utilisation des stratgies de mot de passe pour appliquer les critres de mot de passe
Citrix Password Manager vous permet de dfinir des rgles afin de contrler les caractristiques des mots de passe stocks par vos utilisateurs et qui sont requis par les applications d'authentification unique. Ces rgles incluent des stratgies de mot de passe, applicables tous les utilisateurs ou des groupes spcifiques d'applications, selon les besoins de votre organisation. Cette section vous indique comment crer des stratgies de mot de passe dans votre environnement Password Manager. Veuillez galement consulter la section Stratgies de mot de passe et accs aux applications dans le Guide d'installation Citrix Password Manager. Prsentation des stratgies de mot de passe , page 27 Cration de stratgies de mot de passe : l'assistant de stratgie de mot de passe , page 30 Augmentation de la force des mots de passe et renforcement de la scurit dans votre environnement , page 38
Remarque : Citrix Presentation Server fournit des rgles de stratgie permettant de configurer et de contrler quels utilisateurs ont accs Password Manager lorsqu'ils se connectent aux serveurs et aux applications publies de la batterie. Pour plus d'informations, veuillez consulter le Guide de l'administrateur Presentation Server.
Prsentation des stratgies de mot de passe

Password Manager comporte deux stratgies de mot de passe standard intitules Default et Domain. Vous ne pouvez pas les supprimer, seulement les utiliser telles quelles, les copier ou les adapter aux stratgies et aux normes de votre entreprise.
28
Lorsqu'un utilisateur ajoute ses informations dans le Gestionnaire d'informations d'identification pour une application qui n'a pas t dfinie par l'administrateur, Citrix Password Manager applique la stratgie Default cette application. Si vous souhaitez tendre le groupe de partage de mot de passe un domaine, vous devez lui appliquer la stratgie Domain. Remarque : dans la mesure o le service Password Manager applique la stratgie de mot de passe Default aux applications ajoutes par les utilisateurs, assurez-vous de configurer cette stratgie de faon tre la plus large possible, afin d'accepter les mots de passe de toutes les applications pour lesquelles vous autorisez les utilisateurs stocker des mots de passe. Vous avez la possibilit de crer autant de mots de passe que ncessaire pour votre entreprise. Par exemple, vous pouvez appliquer une stratgie pour votre groupe de partage de domaine et crer des stratgies spcifiques appliquer des groupes individuels d'applications pour mieux cibler vos besoins. Une stratgie de mot de passe vous permet de : automatiser les modifications de mot de passe pour les applications ; mettre en place des plans de scurit comprenant des mots de passe complexes et des mots de passe spcifiques aux applications invisibles pour les utilisateurs ; dfinir une date d'expiration des mots de passe d'application, mme si l'application ne dispose pas d'une telle fonctionnalit.
Remarque : lorsque les utilisateurs modifient leurs mots de passe, Password Manager peut comparer leur ancien mot de passe avec le nouveau. Cette fonctionnalit empche l'utilisation rpte d'un mme mot de passe pour une application. Veuillez consulter la section Dfinition de l'historique et de l'expiration du mot de passe , page 34. Veuillez galement consulter la section Application des stratgies de mot de passe , page 29.
Groupes de partage de mot de passe

Dans certains cas, les utilisateurs disposent d'un seul mot de passe pour plusieurs applications (dans une suite logicielle, par exemple). Cette situation est appele partage de mot de passe : les applications utilisent la mme autorit d'authentification.
29
Mme si les informations d'identification (nom d'utilisateur et champs personnaliss) sont diffrentes pour ces applications, le mot de passe reste identique. Dans ce cas, crez un groupe d'applications qui est galement un groupe de partage de mot de passe pour garantir que l'Agent gre le mot de passe pour toutes les applications du groupe comme s'il s'agissait d'une seule. Lors d'une modification du mot de passe pour l'une d'entre elles, l'Agent s'assure que cette modification est rpercute pour toutes les applications du groupe.
Groupes de partage de mot de passe de domaine

Les groupes de partage de mot de passe de domaine ont la particularit d'utiliser le mot de passe de domaine de l'utilisateur en tant que mot de passe principal pour le groupe d'applications. Lors d'une modification du mot de passe de domaine, l'Agent s'assure que cette modification est rpercute pour toutes les applications du groupe. Cependant, seul le mot de passe de domaine peut tre modifi. Les utilisateurs ne peuvent pas modifier le mot de passe pour les autres applications du groupe, moins que l'administrateur ne retire l'application du groupe de partage de mot de passe de domaine.
Application des stratgies de mot de passe

Password Manager applique les stratgies de mot de passe l'occasion de la modification de ces derniers, qu'ils soient dfinis par l'utilisateur ou gnrs automatiquement par Password Manager. Une stratgie de mot de passe n'est pas applique dans les conditions suivantes : Un utilisateur s'enregistre auprs de Password Manager (lors de la premire utilisation). Un utilisateur modifie un formulaire de mot de passe depuis l'Agent du Gestionnaire d'informations d'identification. Un administrateur cre une dfinition d'application.
De mme, Password Manager n'applique pas de stratgie de mot de passe sur les mots de passe existants (c'est--dire ceux crs avant la mise en oeuvre de Password Manager dans l'entreprise) car les utilisateurs pourraient se voir refuser l'accs des applications ou des ressources qu'ils utilisent dj.
30
Cration de stratgies de mot de passe : l'assistant de stratgie de mot de passe

Important : lorsque vous crez une stratgie de mot de passe personnalise ou que vous modifiez des stratgies existantes, assurez-vous que les exigences de votre entreprise ne divergent pas de celles de l'application. Par exemple, si vous crez une stratgie qui ne correspond pas au moins aux besoins d'une application, vos utilisateurs ne pourront pas s'authentifier auprs d'elle. La section Rglages par dfaut des stratgies de mot de passe par dfaut et de domaine (Default/Domain) du dcrit les paramtres par dfaut pour ces stratgies. Lorsque vous crez une nouvelle stratgie de mot de passe dans l'assistant dcrit ici, le service Password Manager utilise les paramtres par dfaut de la stratgie Default. Vous pouvez alors modifier vos paramtres selon vos besoins et appliquer la nouvelle stratgie au groupe d'applications souhait. L'assistant se compose des pages suivantes : Dfinition des rgles de mot de passe de base , page 31 Dfinition des rgles pour les caractres alphabtiques , page 31 Dfinition des rgles pour les caractres numriques , page 32 Dfinition des rgles pour les caractres spciaux , page 32 Dfinition de rgles d'exclusion (exclusion de caractres spcifiques) , page 33 Dfinition de l'historique et de l'expiration du mot de passe , page 34 Test de la stratgie de mot de passe , page 35 Prfrences d'authentification , page 36 Personnalisation de l'assistant de modification de mot de passe , page 37
Pour dmarrer l'Assistant de stratgie de mot de passe
1. 2. 3.
Cliquez sur Dmarrer > Programmes > Citrix > Consoles de gestion > Access Management Console. Dveloppez le nud Password Manager et slectionnez Stratgies de mot de passe. Dans la zone Tches courantes, cliquez sur Crer une nouvelle stratgie de mot de passe.
31
L'assistant de stratgie de mot de passe s'affiche. 4. Tapez un nom et une description pour la stratgie de mot de passe, puis cliquez sur Suivant.
Dfinition des rgles de mot de passe de base

Cette page vous permet de dfinir les rgles de base afin de configurer les longueurs minimale et maximale des mots de passe et l'autorisation de la rptition de caractres.
Longueur de mot de passe

Spcifiez le nombre minimal de caractres requis dans un mot de passe. La valeur minimale autorise est 0, la valeur maximale 128. Vrifiez que ces valeurs correspondent aux exigences de l'application d'authentification unique pour ce qui est de la longueur des mots de passe.
Rptition de caractre dans les mots de passe

Nombre de rptitions possibles d'un caractre Ce paramtre peut tre une valeur comprise entre 1 et 128, la valeur par dfaut tant 6. Nombre de rptitions successives possibles d'un caractre Ce paramtre peut tre une valeur comprise entre 1 et 128, la valeur par dfaut tant 4. Par exemple, avec la valeur par dfaut 4, aBc1XXXXbb est un mot de passe correct, car XXXX apparat quatre fois de suite.
Dfinition des rgles pour les caractres alphabtiques

Cette page vous permet de configurer l'utilisation de caractres alphabtiques minuscules et majuscules pour les mots de passe de l'utilisateur. Vous pouvez dfinir les paramtres suivants : Autoriser les minuscules Le mot de passe peut dbuter avec une minuscule. Le mot de passe peut se terminer avec une minuscule. Nombre minimum de minuscules requis (la valeur par dfaut est 0, la valeur maximale 128).
Autoriser les majuscules Le mot de passe peut dbuter avec une majuscule.
32
Le mot de passe peut se terminer avec une majuscule. Nombre minimum de majuscules requis (la valeur par dfaut est 0, la valeur maximale 128).
Dfinition des rgles pour les caractres numriques

Cette page vous permet de configurer l'utilisation de caractres numriques pour les mots de passe de l'utilisateur. Vous pouvez dfinir les paramtres suivants : Autoriser les caractres numriques Le mot de passe peut dbuter avec un caractre numrique. Le mot de passe peut se terminer par un caractre numrique. Nombre minimum de caractres numriques requis (la valeur par dfaut est 0, la valeur maximale 128). Nombre maximum de caractres numriques permis (la valeur par dfaut est 20, la valeur maximale 128).
Dfinition des rgles pour les caractres spciaux

Cette page vous permet de configurer l'utilisation de caractres spciaux (ni alphabtiques, ni numriques) pour les mots de passe de l'utilisateur. Vous pouvez dfinir les paramtres suivants : Autoriser les caractres spciaux Le mot de passe peut dbuter avec un caractre spcial. Le mot de passe peut se terminer par un caractre spcial. Nombre minimum de caractres spciaux requis (la valeur par dfaut est 0, la valeur maximale 128). Nombre maximum de caractres spciaux permis (la valeur par dfaut est 20, la valeur maximale 128). La liste des caractres spciaux autoriss inclut notamment : ! @ # $ ^&*()_-+=[]\|?,
33
Dfinition de rgles d'exclusion (exclusion de caractres spcifiques)

Cette page vous permet d'interdire l'utilisation de caractres ou de groupes de caractres spcifiques dans les mots de passe, par exemple des mots courants ou des groupes squentiels de caractres qui se devinent facilement, tels que abc123 ou asdfjkl. Vous pouvez galement empcher l'utilisation de mots de passe incluant tout ou partie de noms d'utilisateur Windows et d'applications individuelles. Vous pouvez spcifier jusqu' 256 groupes de caractres diffrents exclure. Chaque groupe de caractres peut comporter de un 32 caractres. Les caractres l'intrieur des groupes ne sont pas sensibles la casse : une liste d'exclusion interdisant abcdefg empche galement l'utilisation de la squence AbCDefG dans un mot de passe. En outre, une liste d'exclusion comprenant un groupe de caractres tel que defg exclut galement le groupe de caractres abcdefg.
Pour crer une liste d'exclusion
1. 2.
Cliquez sur Modifier la liste. La fentre Modification de la liste d'exclusion apparat. Tapez les caractres ou groupes de caractres exclure des mots de passe. Vous pouvez copier et coller du texte partir d'un diteur de texte vers la zone de texte de la fentre. Vous pouvez taper un caractre ou un groupe de caractres par ligne (appuyez sur Entre la fin de chaque ligne pour sparer les entres). Chaque groupe peut contenir jusqu' 32 caractres. Les caractres ne respectent pas la casse.
3.
Cliquez sur OK pour enregistrer vos modifications et refermer la fentre.
Pour restreindre encore le mot de passe, slectionnez l'une des options suivantes, ou les deux :
34
Ne pas autoriser le nom d'utilisateur de l'application dans le mot de passe Slectionnez cette option pour interdire l'utilisation de l'ensemble du nom d'utilisateur de l'application dans le mot de passe. Slectionnez Ne pas autoriser certaines parties du nom d'utilisateur de l'application dans le mot de passe pour interdire l'utilisation de parties du nom d'utilisateur de l'application dans le mot de passe. L'option Nombre de caractres des portions vous permet de spcifier le nombre de caractres du nom d'utilisateur qui exclut toute utilisation du mot de passe. Par exemple, si cette valeur est dfinie sur 4, un mot de passe d'utilisateur comprenant les caractres citr, trix ou itri ne pourrait pas tre utilis si le nom d'utilisateur est citrix.4.
Ne pas autoriser le nom d'utilisateur Windows dans le mot de passe Slectionnez cette option pour interdire l'utilisation de l'ensemble du nom d'utilisateur Windows dans le mot de passe. Slectionnez Ne pas autoriser certaines parties du nom d'utilisateur Windows dans le mot de passe pour interdire l'utilisation de parties du nom d'utilisateur Windows dans le mot de passe. L'option Nombre de caractres des portions vous permet de spcifier le nombre de caractres du nom d'utilisateur qui exclut toute utilisation du mot de passe. Par exemple, si cette valeur est dfinie sur 4, un mot de passe d'utilisateur comprenant les caractres citr, trix ou itri ne pourrait pas tre utilis si le nom d'utilisateur est citrix.4.
Dfinition de l'historique et de l'expiration du mot de passe

Cette page vous permet de mettre en uvre l'utilisation de nouveaux mots de passe lors de l'expiration des anciens. L'historique du mot de passe est conserv pour chaque application gre par le service Password Manager. Aprs la configuration de cette option pour une application ou un groupe d'applications, toute modification de mot de passe postrieure l'activation de la stratgie est enregistre dans l'historique du mot de passe de l'utilisateur. Les modifications de mot de passe antrieures l'activation de cette stratgie ne sont ni conserves, ni utilises pour interdire la rutilisation de mots de passe.
35
Important : l'historique du mot de passe est enregistr utilisateur par utilisateur. Si vous rinitialisez les donnes d'un utilisateur, son historique de mot de passe est supprim et l'historique ne peut pas tre appliqu pour les mots de passe supprims.
Historique des mots de passe

Le nouveau mot de passe doit tre diffrent du prcdent Slectionnez cette option pour exiger un nouveau mot de passe en cas d'expiration du mot de passe de l'utilisateur. Si vous le souhaitez, vous pouvez empcher les utilisateurs de rutiliser jusqu' 24 mots de passe dj utiliss dans votre environnement Password Manager.
Expiration du mot de passe

Remarque : l'option d'expiration de mot de passe envoie une notification aux utilisateurs indiquant uniquement qu'un mot de passe est parvenu ou va parvenir expiration. Vos utilisateurs peuvent se servir d'informations expires, mais voient s'afficher des rappels ou des demandes de modification de mot de passe jusqu'au changement effectif dans le Gestionnaire d'informations d'identification. Les dfinitions d'application vous permettent galement d'excuter un script lorsque des mots de passe expirent. Vous pouvez galement utiliser la fonction d'avertissement d'expiration de mot de passe intgre Password Manager. Les paramtres d'expiration de mot de passe de Password Manager ne dpendent d'aucuns paramtres d'expiration de mot de passe intgrs aux applications logicielles. Utiliser les paramtres d'expiration de mot de passe associs aux dfinitions d'application Slectionnez cette option pour spcifier les paramtres d'expiration de mot de passe. Ils sont associs la dfinition d'application laquelle s'applique la stratgie de mot de passe. Vous pouvez choisir le dlai (en jours) d'expiration du mot de passe actuel et le nombre de jours pendant lesquels l'utilisateur est averti de l'imminence de l'expiration de son mot de passe.
Test de la stratgie de mot de passe

Cette page vous permet de tester vos stratgies avant de les mettre en uvre dans votre environnement. Elle permet de garantir qu'elles fonctionneront comme prvu et que vos utilisateurs disposeront d'un choix raisonnable de mots de passe.
36
Dans la page Test de la stratgie de mot de passe, vous pouvez : cliquer sur Test pour tester manuellement un mot de passe ; cliquer sur Gnrer pour que Password Manager cre un mot de passe compatible avec la stratgie de mot de passe ; cliquer sur Gnrer plusieurs mots de passe pour que Password Manager cre une liste de mots de passe conformes aux paramtres dfinis pour cette stratgie de mots de passe.
Prfrences d'authentification
Cette page vous permet de dterminer les paramtres de l'agent relatifs la soumission des informations d'identification et aux erreurs d'ouverture de session. Autoriser l'utilisateur rvler le mot de passe pour les applications Slectionnez cette option pour autoriser les utilisateurs voir dans la configuration de l'utilisateur le mot de passe associ aux applications. Cette option dtermine si le bouton Rvler apparat dans le Gestionnaire d'informations d'identification. Remarque : pour autoriser les utilisateurs voir leurs mots de passe d'application, vous devez galement activer l'option Autoriser les utilisateurs rvler tous les mots de passe dans le Gestionnaire d'informations d'identification dans la configuration de l'utilisateur associe cette stratgie de mot de passe. Veuillez consulter la section Configuration de l'interaction de l'Agent , page 102. Obliger l'utilisateur s'authentifier nouveau avant de soumettre les informations d'identification pour une application Slectionnez cette option pour demander aux utilisateurs de saisir leurs informations d'identification principales avant soumission par l'agent Password Manager de celles destines l'application. Ce paramtre est utile pour les applications accdant des informations confidentielles ou sensibles car il oblige les utilisateurs confirmer leurs informations d'identification. Nombre de nouvelles tentatives d'ouverture de session Ce rglage vous permet de limiter le nombre de fois que l'Agent peut soumettre les informations d'identification une application ou une ressource. Si vous rglez la valeur 0, un message d'erreur s'affiche ds la seconde tentative de soumission des informations d'identification.
37
Dlai limite pour les nouvelles tentatives Prcisez la dure (en secondes) pendant laquelle l'Agent est autoris continuer de soumettre les informations d'identification aprs la soumission initiale de l'application ou la ressource. Le rglage Nombre de nouvelles tentatives d'ouverture de session dtermine le nombre maximal de tentatives d'ouvertures de session pendant cette priode.
Personnalisation de l'assistant de modification de mot de passe

Cette page vous permet de personnaliser le comportement de l'assistant de modification de mot de passe, qui dmarre lorsque les utilisateurs doivent changer de mot de passe. Cet assistant rpond des formulaires de modification des mots de passe et peut guider les utilisateurs dans le processus de modification de mot de passe. Vous pouvez choisir parmi les options suivantes : Permettre aux utilisateurs de choisir un mot de passe gnr par le systme ou de crer leur propre mot de passe Autoriser les utilisateurs crer leur propre mot de passe seulement Lorsque vous slectionnez cette option, l'assistant de modification de mot de passe demande aux utilisateurs de taper un nouveau mot de passe. Autoriser les utilisateurs choisir un mot de passe gnr par le systme seulement Lorsque vous slectionnez cette option, l'assistant de modification de mot de passe n'autorise pas les utilisateurs taper un nouveau mot de passe, il utilise automatiquement un mot de passe gnr par le systme. Gnrer un mot de passe et le soumettre l'application sans afficher l'assistant de modification de mot de passe Lorsque vous slectionnez cette option, l'assistant soumet automatiquement un mot de passe gnr par le systme. Les utilisateurs peuvent voir les champs du formulaire de modification de mot de passe renseigns automatiquement et les rponses de l'application, indiquant si le mot de passe a pu tre modifi ou non.
38
Augmentation de la force des mots de passe et renforcement de la scurit dans votre environnement
En tant qu'administrateur Password Manager, vous pouvez contribuer augmenter la force des mots de passe des utilisateurs en les contrlant par le biais de stratgies de mot de passe rationnelles. Comme toujours, vous tes le seul pouvoir tablir un quilibre entre des mots de passe puissants et la convivialit pour tous les utilisateurs de votre entreprise. Tenez compte des lments suivants. Utilisez le module d'habilitation pour prdfinir les mots de passe des utilisateurs. Dans ce cas, les utilisateurs n'ont pas besoin de connatre les mots de passe, ce qui vite qu'ils les rvlent par inadvertance. Cette technique ncessite une grande coordination entre la configuration de l'utilisateur et la stratgie de mot de passe qui y est associe. Demandez aux utilisateurs de modifier leurs mots de passe intervalles rguliers. N'autorisez pas les mots de passe vides. N'autorisez pas les utilisateurs rvler leurs mots de passe. Assurez-vous que les mots de passe ne sont pas rutiliss ou rpts. N'autorisez pas l'utilisation de noms d'utilisateur ou d'application dans le mot de passe. Obligez les utilisateurs ayant accs des informations confidentielles ou sensibles utiliser des mots de passe plus forts ou plus complexes. Regroupez ces utilisateurs dans des configurations d'utilisateurs contenant ces applications.
Utilisation et gestion des dfinitions d'application
L'Agent Citrix Password Manager reconnat et rpond aux applications selon des paramtres dfinis dans les dfinitions d'application. Les dfinitions d'application contiennent des formulaires qui permettent l'Agent d'analyser chaque application au moment de son lancement, de reconnatre certaines des caractristiques qui l'identifient et de dterminer si elle requiert que l'Agent effectue des actions spcifiques, par exemple : soumettre des informations d'identification de l'utilisateur dans une invite d'authentification ; traiter une interface d'informations d'identification changeante ; traiter l'interface de confirmation des informations d'identification.
Les dfinitions d'application consistent en des ensembles de caractristiques d'actions et de reconnaissance de formulaire d'informations d'identification appels dfinitions de formulaires. Elles comprennent galement un groupe d'options de configuration qui s'applique tous les formulaires d'une mme configuration. Les paramtres de la dfinition de formulaire sont configurs pour reconnatre quel moment une application requiert des informations d'identification et dfinissent les actions qui doivent tre effectues pour traiter ces informations d'identification. Une dfinition d'application est l'ensemble de tous les formulaires de gestion des informations d'identification associs une mme application. Bien que la plupart des applications et leurs dfinitions utilisent seulement deux formulaires pour grer les informations d'identification des utilisateurs, une dfinition d'application peut contenir autant de formulaires qu'une application le requiert pour grer les informations d'identification.
40
Password Manager prend en charge un grand nombre d'applications, y compris des applications de type Windows, Web et hte. Il fonctionne avec des applications Java, des solutions SAP ainsi que des applications hberges sur un ordinateur central (mainframe), un systme AS/400 ou un serveur UNIX. Pour permettre de simplifier le processus de dfinition d'application, le site Web de Citrix (http://www.citrix.com/passwordmanager/gettingstarted) vous permet d'importer un grand nombre de modles de dfinitions d'application prdfinis dans Password Manager. Ce site sert d'change interactif permettant aux consultants Citrix, ingnieurs des ventes, intgrateurs de systmes et administrateurs de Password Manager de partager des dfinitions d'application. Le partage des dfinitions d'application facilite la mise en uvre des dfinitions d'application autorisant l'authentification unique. Il est recommand aux administrateurs de toujours utiliser si possible les modles de dfinitions d'application prdfinis pour la cration de dfinitions d'application appropries pour leur environnement. Pour la cration de dfinitions d'application qui n'ont pas de modles prdfinis, l'interface de cration de dfinitions d'application comprend un assistant de dfinition d'application qui vous permet de configurer les caractristiques de tous les formulaires inclus dans une dfinition. Elle comprend galement un assistant de dfinition de formulaire contenant des procdures dtailles pour permettre aux administrateurs de dfinir la prise en charge des applications de type Windows, Web et hte. Password Manager permet galement la prise en charge de la dcouverte d'applications externes et du traitement d'actions correspondantes. Cette fonction permet aux implmenteurs tiers d'tendre les tches de dtection d'applications et de soumission des informations d'identification d'un formulaire en permettant d'accder des processus externes durant les phases de dtection d'applications et de traitement des actions par l'Agent Password Manager. La combinaison de toutes ces fonctions constitue pour les administrateurs Password Manager un environnement de cration de dfinitions d'application flexible et adaptable qui leur permet d'offrir leur communaut d'utilisateurs un accs scuris et flexible aux applications critiques par authentification unique. Ce chapitre comprend les sections suivantes : Prsentation des modles d'application , page 41 Identification des applications et des vnements de gestion des informations d'identification par l'Agent Password Manager , page 45 Dfinitions d'applications de type Windows , page 52 Dfinitions d'applications de type Web , page 71 Dfinitions d'applications de type Hte/mainframe , page 79
41
Prsentation des modles d'application

Les modles d'application sont des fichiers XML qui permettent de partager les dfinitions d'application entre plusieurs environnements Citrix Password Manager. Les modles d'application reprsentent un gain de temps car ils sont convertis en dfinitions d'application moyennant une intervention ou une configuration rduite de l'administrateur. Les modles requirent que l'administrateur fournisse certaines informations pour complter la dfinition d'application ; cependant, celles-ci se limitent gnralement une URL ou un nom de fichier excutable, une date d'expiration du mot de passe et des paramtres de dtection avancs. Les modles d'applications sont installs l'aide de la console Password Manager ou de l'outil de dfinition d'applications. Ces deux outils incluent des modles pour les applications Windows et Web les plus courantes. D'autres modles se trouvent sur le site Web de Citrix : http://www.citrix.com/passwordmanager/gettingstarted. Vous pouvez galement crer des modles d'applications et les charger sur le site Web afin de les partager avec d'autres administrateurs Citrix. Lorsque aucun modle n'est associ une application spcifique, vous pouvez crer une dfinition d'application l'aide de la console Password Manager ou de l'outil de dfinition d'application (pour plus d'informations, veuillez consulter la section Identification des applications et des vnements de gestion des informations d'identification par l'Agent Password Manager , page 45).
Gestion des dfinitions d'application l'aide de modles

Pour ajouter une dfinition d'application partir d'un modle, assurez-vous d'abord que ce modle est disponible dans votre environnement Password Manager. Comme mentionn prcdemment, vous pouvez tlcharger les modles d'applications partir du site Web ou, si vous avez cr et enregistr vos propres modles d'applications sur un point de partage rseau, vous pouvez les importer partir de cet emplacement. Une fois que vous avez import un modle d'application dans votre environnement, vous pouvez l'utiliser pour crer une dfinition d'application. Les modles peuvent galement tre eux-mmes crs partir de dfinitions d'application. Vous pouvez les utiliser pour archiver des dfinitions d'applications ou partager des dfinitions avec d'autres administrateurs Password Manager. Utilisez les procdures suivantes pour crer des dfinitions d'application partir de modles : Tlchargement de modles d'applications partir du site Web , page 42
42
Importation de modles d'applications partir d'un point de partage rseau , page 42 Ajout d'une dfinition d'application partir d'un modle , page 43 Cration de modles d'application , page 44 Exportation de modles d'application , page 44
Tlchargement de modles d'applications partir du site Web

Utilisez la procdure suivante pour tlcharger des modles d'applications partir du site Web Citrix (http://www.citrix.com/passwordmanager/gettingstarted) : 1. Lorsque le nud Dfinitions d'application est mis en surbrillance dans le volet gauche de l'outil de dfinition d'application ou de la console Password Manager, slectionnez Grer les modles dans la zone Tches courantes pour ouvrir la bote de dialogue Gestion des modles. Slectionnez le lien hypertexte Modles d'application sur le Web pour ouvrir la page Web de dfinitions d'application Password Manager. Slectionnez le modle d'application importer. Enregistrez le fichier modle XML dans un emplacement accessible partir de votre console Password Manager. Cliquez sur Fermer lorsque le tlchargement est termin. Suivez les tapes dcrites dans Importation de modles d'applications partir d'un point de partage rseau , page 42.
2. 3. 4. 5. 6.
Importation de modles d'applications partir d'un point de partage rseau

Utilisez cette procdure pour importer un modle d'application partir d'un point de partage rseau : 1. Lorsque le nud Dfinitions d'application est mis en surbrillance dans le volet gauche de l'outil de dfinition d'application ou de la console Password Manager, slectionnez Grer les modles dans la zone Tches courantes pour ouvrir la bote de dialogue Gestion des modles. Cliquez sur Importer le modle. Localisez le fichier modle XML, puis cliquez sur Ouvrir. Le modle import s'affiche prsent dans la liste de la bote de dialogue Gestion des modles. Suivez les tapes dcrites dans Ajout d'une dfinition d'application partir d'un modle , page 43.
2. 3.
4.
43
Ajout d'une dfinition d'application partir d'un modle

Utilisez cette procdure pour ajouter une dfinition d'application l'aide d'un modle : 1. 2. 3. 4. 5. 6. 7. 8. Lancez l'application que vous voulez dfinir. Ouvrez la console ou l'outil de dfinition d'application sur la machine sur laquelle l'application est excute. Dans le menu Action de la Console ou Fichier de l'Outil de dfinition d'application, slectionnez l'option Crer une dfinition d'application. Slectionnez le type d'application pour la dfinition que vous voulez crer (Windows, Web ou Hte/Mainframe). Indiquez le format de dpart en slectionnant Crer partir d'un modle d'application. Choisissez un modle dans la liste droulante. Celle-ci affiche les modles correspondant au type d'application slectionn. Cliquez sur Dmarrer l'assistant. Entrez les informations requises pour crer la dfinition d'application (pour plus d'informations, veuillez consulter la section Prsentation de l'assistant de dfinition d'application , page 46). Vrifiez que la nouvelle dfinition d'application apparat dans le nud Dfinitions d'application de la console.
9.
Vous pouvez galement lancer une dfinition d'application partir de la bote de dialogue Gestion des modles en suivant la procdure suivante.
Cration d'une dfinition d'application partir d'un modle import

1. Lorsque le nud Dfinitions d'application est mis en surbrillance dans le volet gauche de l'outil de dfinition d'application ou de la console Password Manager, slectionnez Grer les modles dans la zone Tches courantes pour ouvrir la bote de dialogue Gestion des modles. Mettez le nom d'un modle d'application en surbrillance, puis cliquez sur Crer une dfinition d'application. Cette action lance l'assistant de dfinition d'application pour le type d'application associ au modle. Entrez les informations requises pour crer la dfinition d'application (pour plus d'informations, veuillez consulter la section Prsentation de l'assistant de dfinition d'application , page 46). Vrifiez que la nouvelle dfinition d'application apparat dans le nud Dfinitions d'application de la console.
2.
3.
4.
44
Si vous excutez une application qui n'est pas associe un modle, utilisez la console Password Manager ou l'outil de dfinition d'application pour crer des dfinitions appropries pour cette application spcifique (pour plus d'informations, veuillez consulter la section Identification des applications et des vnements de gestion des informations d'identification par l'Agent Password Manager , page 45). Une fois que vous avez cr une dfinition d'application, vous pouvez crer un modle que vous pouvez exporter soit pour des besoins d'archivage, soit l'usage d'autres administrateurs Password Manager en le chargeant sur le site Web Citrix (http://www.citrix.com/passwordmanager/gettingstarted).
Cration de modles d'application

Utilisez la procdure suivante pour crer un modle partir d'une dfinition d'application existante : 1. Lorsque le nud Dfinitions d'application est dvelopp dans le volet gauche de l'outil de dfinition d'application ou de la console Password Manager, slectionnez la dfinition d'application que vous voulez utiliser pour la cration du modle. Slectionnez l'option Enregistrer en tant que modle pour ouvrir la bote de dialogue Enregistrer en tant que modle. Si vous souhaitez archiver le modle ou le partager avec d'autres administrateurs Password Manager, vous pouvez l'exporter au format XML. Suivez les tapes dcrites dans la section Exportation de modles d'application , page 44.
2. 3.
Exportation de modles d'application

Utilisez cette procdure pour exporter un modle partir d'une dfinition d'application existante : 1. Lorsque le nud Dfinitions d'application est mis en surbrillance dans le volet gauche de l'outil de dfinition d'application ou de la console Password Manager, slectionnez Grer les modles dans la zone Tches courantes pour ouvrir la bote de dialogue Gestion des modles. Mettez le modle en surbrillance dans la liste des modles disponibles, puis cliquez sur Exporter. Dfinissez le nom et l'emplacement de stockage du modle export, puis cliquez sur OK. Le modle export est enregistr dans l'emplacement spcifi. Vous pouvez archiver ce modle afin de conserver ses donnes et/ ou le mettre disposition des autres administrateurs Password Manager (http://www.citrix.com/passwordmanager/gettingstarted).
2. 3.
45
Identification des applications et des vnements de gestion des informations d'identification par l'Agent Password Manager
Les dfinitions d'applications sont cres l'aide de la console Password Manager ou de l'outil de dfinition d'application. Une dfinition d'application prend en charge tous les vnements de gestion des informations d'identification associs une application spcifique, dont notamment : l'authentification de l'utilisateur ; la modification des informations d'identification de l'utilisateur ; la confirmation des modifications des informations d'identification.
Lorsque vous crez une dfinition d'application, le type d'application est identifi au moment o l'assistant de dfinition d'application est lanc. Le type d'application slectionn dtermine les informations qui doivent tre rassembles. Les dfinitions d'applications se divisent en trois catgories principales : applications Windows (y compris les applications Java et SAP LogonPad) ; applications Web (y compris les applets Java) ; applications htes (accessibles au moyen d'un mulateur de terminal conforme la norme HLLAPI).
Une dfinition d'application se compose des lments suivants. Caractristiques de l'application qui s'appliquent tous les formulaires inclus dans la dfinition. Celles-ci sont dfinies l'aide de l'assistant de dfinition d'application. Donnes spcifiques au formulaire permettant de reconnatre chaque vnement de gestion des informations d'identification associ l'application. Celles-ci sont dfinies l'aide de l'assistant de dfinition de formulaire lanc partir de l'assistant de dfinition d'application.
Les caractristiques de l'application contiennent des informations de configuration similaires pour tous les types d'applications. Cependant, les donnes spcifiques au formulaire d'une dfinition d'application varient largement selon le type d'application dfinie.
46
Pour pouvoir crer une dfinition d'application, l'administrateur doit avoir accs l'application sur l'ordinateur sur lequel la dfinition d'application est cre. tant donn que certaines signatures d'applications varient considrablement selon le systme d'exploitation sous-jacent, il est recommand que les administrateurs testent les dfinitions d'application dans tous les environnements de systme d'exploitation prsents dans leur entreprise. Toutes les modifications ou mises niveau apportes une application aprs qu'une dfinition d'application a t cre et dploye doivent tre testes pour vrifier qu'il n'existe aucun changement de signature qui require de modifier la dfinition de l'application.
Identification des parties de l'interface utilisateur de l'application

L'interface utilisateur d'une application inclut diffrents formulaires qui permettent de grer les vnements de gestion des informations d'identification associs l'application. Par exemple, un formulaire peut tre utilis pour entrer les informations d'identification d'ouverture de session, un autre pour modifier le mot de passe de l'application et un autre pour confirmer une modification apporte aux informations d'identification de l'utilisateur. Selon le type d'application dfinie (Windows, Web ou Hte), Password Manager utilise un nombre vari d'identificateurs pour identifier et rpondre aux formulaires. Ceux-ci incluent mais ne sont pas limits au type d'application, titre de fentre et au nom du fichier excutable. Une fois l'application et le formulaire identifis, l'Agent invite l'utilisateur fournir ou enregistrer ses informations d'identification, soumet les informations d'identification enregistres ou invite l'utilisateur mettre jour ses informations d'identification, selon les paramtres dfinis.
Prsentation de l'assistant de dfinition d'application

Toutes les dfinitions d'application sont initialement cres l'aide de l'assistant de dfinition d'application et de l'assistant de dfinition de formulaire intgr. Pour lancer l'assistant de dfinition d'application, slectionnez le nud Dfinitions d'application dans la console Citrix Access Management Console et slectionnez la tche Crer une dfinition d'application dans la zone Tches courantes. Les informations suivantes sont collectes pour chaque type d'application (Windows, Web et Hte) l'aide de l'assistant de dfinition d'application.
47
Donnes collectes Identification de l'application Gestion des formulaires Nom des champs personnaliss Dsignation de l'icne Configuration de la dtection avance Configuration de l'expiration du mot de passe Confirmation des rglages
Windows X X X X X X X
Web X X X
Hte X X X
X X X
X X X
Identification de l'application
Cette page permet de dfinir le nom de la dfinition d'application et d'entrer sa description. Vous pouvez donner un nom quelconque l'application. Notez que : ce nom peut permettre de distinguer entre plusieurs versions multiples de la mme application ; ce nom est celui rechercher dans le magasin central ; les utilisateurs de l'Agent verront ce nom et cette description s'afficher dans le Gestionnaire d'informations d'identification.
Gestion des formulaires

La plupart des applications ont des formulaires distincts pour l'authentification et la modification du mot de passe. Certaines applications ont galement des formulaires spars pour la notification de la russite ou de l'chec de la modification du mot de passe. Cette page permet d'ajouter un formulaire la dfinition d'une application. Pour ajouter un nouveau formulaire, slectionnez l'option Ajouter un formulaire Cette action lance l'assistant de dfinition de formulaire qui permet de collecter les donnes de formulaire. L'assistant de dfinition de formulaire est lanc pour chaque formulaire ajout la dfinition d'application. Veuillez consulter Prsentation de l'assistant de dfinition de formulaire , page 50, pour obtenir des informations complmentaires.
48
Une fois un formulaire dfini, utilisez la fentre Proprits pour fournir un rsum des proprits associes au formulaire slectionn dans le volet Formulaires d'application dfinis. Ces proprits sont galement indiques dans la page Confirmation des rglages de l'assistant de dfinition de formulaire.
Nom des champs personnaliss

Password Manager inclut des champs de nom d'utilisateur et de mot de passe correspondant aux informations standard requises pour tous les formulaires d'authentification. Certaines applications requirent des informations supplmentaires telles que le nom de la base de donnes, du domaine ou du systme pour authentifier un utilisateur. Vous pouvez ajouter jusqu' deux champs personnaliss un formulaire lors de sa cration l'aide de la page de l'assistant de dfinition de formulaire (pour plus d'informations, veuillez consulter la section Processus de dfinition de formulaire , page 53). Si un ou deux champs personnaliss sont dfinis au moment o le formulaire est cr, cette page permet de dfinir le contenu des champs lorsque le formulaire s'affiche pour les utilisateurs. Pour crer une touche d'accs rapide dans le nom de champ personnalis, placez une esperluette (&) immdiatement avant la lettre utiliser comme touche d'accs rapide. Si aucune touche d'accs rapide n'est dfinie, l'Agent associe dynamiquement une valeur numrique comme touche d'accs rapide la commande. Celle-ci apparat sous la forme (1) ou (2) sur le bouton, selon le nombre de champs personnaliss qui ont t dfinis. N'oubliez pas de tester le formulaire final pour vous assurer que le nom dfini ne dpasse pas le nombre de caractres autoris pour le champ personnalis.
Dsignation de l'icne
Par dfaut, Password Manager utilise une icne diffrente pour chaque type d'application dans le Gestionnaire d'informations d'identification. Cependant, pour les applications Windows, vous pouvez dfinir une icne personnalise pour aider vos utilisateurs identifier des applications spcifiques au sein du Gestionnaire d'informations d'identification. Notez que lorsque vous utilisez une icne personnalise pour identifier une application Windows spcifique, le chemin d'accs du fichier de l'icne doit tre accessible tous les utilisateurs.
Configuration de la dtection avance

Les cases cocher de configuration de la dtection avance permettent de limiter les boucles de soumission des informations d'identification et les boucles de changement de ces informations.
49
Boucles de soumission des informations d'identification

Dans ce scnario, lorsque les utilisateurs se dconnectent d'une application et sont renvoys l'cran d'ouverture de session, l'Agent peut les inviter choisir de se connecter de nouveau ou d'ignorer le formulaire d'authentification. Cochez la case Ne traiter que la premire ouverture de session pour cette application pour ne pas soumettre automatiquement les informations d'identification dans les formulaires d'authentification suivants. Lorsqu'une application prdfinie est lance pour la premire fois et que cette option est slectionne, l'Agent soumet les informations d'identification dans la premire instance du formulaire d'authentification sans qu'aucune autre action de l'utilisateur ne soit requise. Lorsque l'utilisateur se dconnecte et retourne l'cran d'ouverture de session, une fentre dynamique s'affiche et reste visible pendant environ 10 secondes. L'utilisateur dispose alors des trois options suivantes. Fermer la fentre : aucune information d'identification n'est soumise. Ignorer la fentre : aucune information d'identification n'est soumise. Cliquer sur le lien : les informations d'identification sont soumises.
La fermeture de l'application met fin la session et Password Manager soumet les informations d'identification lors de l'ouverture suivante de l'application.
Boucle de changement des informations d'identification

Dans ce scnario, lorsque vous cochez la case Ne traiter que la premire modification de mot de passe pour cette application et que les utilisateurs tentent de modifier leur mot de passe plusieurs fois lorsqu'ils tentent d'accder une application donne, ils sont invits vrifier les modifications de mot de passe suivantes.
Configuration de l'expiration du mot de passe

Les paramtres et fonctions d'expiration du mot de passe incluent des options qui permettent d'effectuer les tches suivantes : identifier ventuellement un script excuter lorsque le mot de passe expire ; utiliser ventuellement la notification d'expiration de Citrix Password Manager.
Pour excuter un script lorsque la stratgie de mot de passe associe la dfinition d'application expire, activez l'option d'excution du script et identifiez le script cr par l'utilisateur excuter. Le chemin d'accs au script doit tre accessible tous les utilisateurs.
50
Le script cr par l'utilisateur peut demander aux utilisateurs de modifier rgulirement leur mot de passe pour toutes les applications ou seulement certaines d'entre elles, modifier automatiquement une partie ou l'ensemble de leurs applications ou utiliser une combinaison de ces processus pour l'adapter votre politique de scurit. En gnral, le script appelle une application associe en utilisant une interface de ligne de commande l'aide d'un paramtre de modification du mot de passe ou similaire. Vous pouvez galement activer la notification d'expiration de Citrix Password Manager. Lorsque vous activez cette option, une notification d'expiration du mot de passe Citrix Password Manager s'affiche lorsque la stratgie de mot de passe associe l'application indique que le mot de passe a expir. Cette action affiche un message rcurrent indiquant que la priode associe a expir sans obliger l'utilisateur changer son mot de passe.
Confirmation des rglages

La page Confirmation des rglages vous permet de revoir les paramtres que vous avez dfinis pour une dfinition d'application afin d'identifier et de corriger d'ventuelles erreurs avant d'enregistrer la configuration.
Prsentation de l'assistant de dfinition de formulaire

L'assistant de dfinition de formulaire permet de dfinir les caractristiques associes chaque formulaire de gestion des informations d'identification pouvant tre inclus dans une dfinition d'application. L'assistant de dfinition de formulaire est initialement utilis pour crer un formulaire dans le cadre de la cration d'une dfinition d'une application l'aide de l'assistant de dfinition d'application ou pour modifier ou ajouter un formulaire une dfinition existante. L'assistant de dfinition de formulaire permet de dfinir plusieurs types de formulaires de gestion des informations d'identification standard. Formulaire d'authentification Il permet de dfinir l'interface d'authentification d'une application et de grer les actions de soumission d'informations d'identification requises pour accder l'application associe. Formulaire de modification de mot de passe Il permet de dfinir l'interface de modification du mot de passe d'une application et de grer les actions de soumission d'informations
51
d'identification requises pour changer le mot de passe utilisateur permettant d'accder l'application. Formulaire de modification de mot de passe russie Il permet de dfinir l'interface de modification du mot de passe d'une application et de grer les actions de soumission d'informations d'identification requises pour confirmer la russite du changement du mot de passe utilisateur permettant d'accder l'application. Formulaire d'chec de modification de mot de passe Il permet de dfinir l'interface indiquant l'chec du changement du mot de passe et de dfinir les actions effectuer dans ces cas. Les versions 4.0 et 4.1 de l'Agent Password Manager ne prennent pas en charge les formulaires d'chec ou de russite de modification des informations d'identification et ne rpondent pas aux dfinitions d'application contenant ces formulaires. Les donnes collectes pour chaque formulaire remplissent deux fonctions : reconnatre quel moment un formulaire spcifique une application est lanc ; effectuer les actions de traitement des informations d'identification associes au formulaire.
Toutes les dfinitions de formulaire sont initialement cres l'aide de l'assistant de dfinition de formulaire; celui-ci est lanc lors du processus de dfinition d'une dfinition d'application l'aide de l'assistant de dfinition d'application. Veuillez consulter Prsentation de l'assistant de dfinition d'application , page 46, pour obtenir des informations complmentaires. Pour lancer l'assistant de dfinition de formulaire, slectionnez l'option Ajouter un formulaire de la page Gestion de l'application de l'assistant de dfinition d'application. Le tableau suivant indique les informations de formulaire qui sont requises pour chaque type d'application (Windows, Web et Hte) lors de l'utilisation de l'assistant de dfinition de formulaire.
Donnes collectes Nom du formulaire Identification du formulaire Dfinition des actions de formulaire Dfinition des rgles de dtection de champ Windows X X X X Web X X Hte X X
52
Donnes collectes Autres rglages Confirmation des rglages
Windows X X
Web X X
Hte X X
Chaque type d'application implique un processus diffrent pour identifier les formulaires requrant une action. Les sections ci-dessous dcrivent les informations requises pour crer des formulaires pour chaque type d'application : Dfinitions d'applications de type Windows , page 52 Dfinitions d'applications de type Web , page 71 Dfinitions d'applications de type Hte/mainframe , page 79
Dfinitions d'applications de type Windows

Les dfinitions d'applications de type Windows sont utilises pour identifier les applications Windows et Java ainsi que les applications qui sont lances partir de SAP Logon Pad. En gnral, toute application lance l'aide d'un fichier excutable (exe) est considre comme une application Windows dans le cadre des dfinitions d'application. Les dfinitions d'applications Windows sont cres, en partie, en identifiant les diffrents lments de l'application mesure qu'elle est excute. Lors de la cration de dfinitions d'applications Windows dans Password Manager, les informations sur les formulaires de l'application et les champs utiliss pour collecter les informations d'identification sont fournies l'aide de l'assistant de dfinition de formulaire. L'assistant de dfinition de formulaire est lanc lorsque : l'assistant de dfinition d'application est utilis pour crer une nouvelle dfinition d'application ; un formulaire d'une dfinition d'application existante est modifi ; un formulaire est ajout une dfinition d'application existante.
Le type d'application dfinie est identifi au moment de la cration d'une nouvelle dfinition d'application. Pour plus d'informations, veuillez consulter les sections Prsentation de l'assistant de dfinition d'application , page 46 et Prsentation de l'assistant de dfinition de formulaire , page 50.
53
Rassemblement des informations requises pour les dfinitions d'applications Windows

En gnral, la meilleure faon (et la plus simple) de rassembler des informations requises pour les dfinitions d'applications Windows consiste lancer l'application et naviguer vers le formulaire ayant lanc l'vnement de gestion des informations d'identification (authentification, modification de mot de passe, modification de mot de passe russie ou chec de la modification de mot de passe) lors de l'excution de l'assistant de dfinition de formulaire partir de la console ou de l'outil de dfinition d'application. L'assistant affiche des instructions l'cran pour permettre de localiser et d'identifier les parties applicables de l'application.
Processus de dfinition de formulaire

Pour les applications Windows, le processus de dfinition de formulaire consiste rassembler des informations d'identification spcifiques au formulaire et des informations d'actions l'aide des pages suivantes de l'assistant de dfinition de formulaire: Nom du formulaire Identification du formulaire Dfinition des actions de formulaire Autres rglages Confirmation des rglages
Lorsque vous avez effectu les actions requises dans une page spcifique, cliquez sur Suivant pour passer l'tape suivante de l'assistant. Un bouton Prcdent est gnralement disponible sur chaque page pour revenir aux options configurs prcdemment. Toutefois, pour modifier certaines options que vous avez configures prcdemment, il peut tre ncessaire de modifier d'autres paramtres.
Nom du formulaire
Lorsque vous crez des dfinitions pour des applications de type Windows, la page Nom du formulaire de l'assistant de dfinition de formulaire vous permet d'attribuer un nom dfini par l'utilisateur au formulaire cr et de dfinir le type de formulaire cr. Notez que le nom attribu au formulaire s'affiche dans la page Gestion des formulaires de l'assistant de dfinition d'application. Choisissez un nom appropri pour le type de formulaire dfini.
54
L'assistant de dfinition de formulaire permet de dfinir plusieurs types de formulaires de gestion des informations d'identification standard. Formulaire d'authentification Il permet de dfinir l'interface d'authentification d'une application et de grer les actions de soumission d'informations d'identification requises pour accder l'application associe. Formulaire de modification de mot de passe Il permet de dfinir l'interface de modification du mot de passe d'une application et de grer les actions de soumission d'informations d'identification requises pour changer le mot de passe utilisateur permettant d'accder l'application. Formulaire de modification de mot de passe russie Il permet de dfinir l'interface de modification du mot de passe d'une application et de grer les actions de soumission d'informations d'identification requises pour confirmer la russite du changement du mot de passe utilisateur permettant d'accder l'application. Formulaire d'chec de modification de mot de passe Il permet de dfinir l'interface indiquant l'chec du changement du mot de passe et de dfinir les actions effectuer dans ces cas. Les versions 4.0 et 4.1 de l'Agent Password Manager ne prennent pas en charge les formulaires d'chec ou de russite de modification des informations d'identification et ne rpondent pas aux dfinitions d'application contenant ces formulaires.
Identification du formulaire
Lorsque vous crez des dfinitions pour des applications de type Windows, la page Identification du formulaire vous permet de fournir des informations requises pour que l'Agent Password Manager puisse reconnatre sans quivoque le formulaire dfini. Ces informations d'identification incluent le titre de la fentre et le nom du fichier excutable. Lorsque l'Agent dtecte le nom du fichier excutable, il surveille l'application pour rechercher les titres de fentres dfinis. Lorsqu'il dtecte un titre de fentre, l'Agent effectue les actions dfinies pour le formulaire. Pour simplifier le processus de dfinition, assurez-vous que l'application Windows concerne a t lance et que le formulaire correspondant aux actions d'identification effectuer est affich (par exemple, le formulaire d'authentification ou le formulaire de modification de mot de passe).
55
Cliquez sur Slectionner pour identifier le programme ouvert sur votre ordinateur. Cette action ouvre la bote de dialogue Slection d'une fentre de programme qui vous permet de dfinir le titre Windows et le nom du fichier excutable du formulaire. La bote de dialogue Slection d'une fentre de programme contient une zone intitule Fentre de programmes ainsi que trois options. La zone Fentres de programmes affiche les informations suivantes pour chaque programme dfini : le titre de fentre ; le nom du fichier excutable ; la classe de fentre.
La zone Fentres de programmes vous permet de localiser et de slectionner le formulaire d'application dfini parmi toutes les applications en cours d'excution sur votre ordinateur. Pour vous aider identifier l'application correcte, celle-ci est indique l'cran par une bordure visible lorsqu'elle est slectionne. Deux options vous permettent d'tendre le nombre de choix disponibles. Si l'excutable recherch est ouvert sur votre systme mais n'est pas encore affich, cochez l'une ou les deux cases pour afficher d'autres choix : Afficher les fentres de programmes masques Afficher les fentres enfants
Utilisez la troisime option (Inclure le nom complet du chemin d'accs excutable dans l'identification (chemin d'accs scuris)) pour dfinir les informations de chemin explicites requises lorsque vous utilisez des chemins d'accs scuriss. Une fois que vous avez slectionn l'application cible, la page Identification de formulaire affiche les informations correspondantes aux options slectionnes. Les identificateurs de formulaire sont les suivants. Titres de fentre pour ce formulaire Ils contiennent les titres de fentres associs au formulaire. Noms et chemins d'accs des fichiers excutables Ils affichent le nom du fichier excutable et toute information facultative requise pour utiliser des chemins d'accs scuriss.
56
Titres de fentre pour ce formulaire Le titre de fentre peut tre modifi pour permettre le traitement des donnes de titres de fentre dynamiques telles qu'une date ou un identificateur de session. Pour permettre la prise en charge des donnes dynamiques, vous pouvez utiliser des caractres gnriques la place des donnes dynamiques qui s'affichent dans le titre d'une fentre, comme suit :
Caractre Description gnrique ? * n'utiliser que pour un seul caractre dynamique/changeant dans un titre de fentre Windows. Utilisez cette valeur pour reprsenter un ou plusieurs caractres de donnes dynamiques dans un titre. Cette valeur est recommande pour les titres vides. Utilisez NULL dans ces situations. Utilisez cette valeur pour les titres Windows vides. Le mot NULL doit tre en majuscules.
NULL
Noms et chemins d'accs des fichiers excutables La zone Noms et chemins d'accs des fichiers excutables affiche le nom du fichier excutable dfini et toutes les informations de chemin scuris. Les chemins scuriss limitent la reconnaissance de l'application aux instances de programmes lancs partir des chemins d'accs spcifis. Si un ou plusieurs chemins scuriss sont dfinis, l'Agent soumet les informations d'identification uniquement lorsque le programme identifi est excut partir du chemin d'accs dfini et que tous les autres identificateurs du formulaire sont prsents. Si aucune information de chemin n'est dfinie, Non fourni(e)(s) s'affiche et l'Agent transmet les informations d'identification tous les programmes correspondant aux autres identificateurs du formulaire. Utilisez des points-virgules pour sparer les chemins d'accs multiples. Des chemins d'accs absolus ou des variables d'environnement peuvent tre utiliss pour dfinir le chemin d'accs. Remarque : les dfinitions d'applications qui incluent des informations de chemin scuris peuvent tre utilises pour crer un modle de dfinition d'application. Cependant, le chemin d'accs n'est pas inclus dans le modle.
57
Correspondance avance Bien que la plupart des formulaires Windows puissent tre identifis l'aide des fonctions de la page Identification de formulaire, certains types de formulaires requirent des options de correspondance plus avances accessibles dans la bote de dialogue Correspondance avance. Cliquez sur Correspondance avance pour accder la bote de dialogue du mme nom. Pour plus d'informations sur cette bote de dialogue, veuillez consulter la section Utilisation de la correspondance avance pour identifier les formulaires Windows , page 60.
Dfinition des actions du formulaire

La page Dfinition des actions du formulaire vous permet de dfinir les actions qui doivent tre effectues par l'Agent pour soumettre les informations d'identification correspondantes pour le formulaire dfini. Le haut de la page affiche les informations d'identification associes au formulaire :
Formulaire Formulaire d'authentification de modification de mot de passe Nom d'utilisateur/ X ID Mot de passe Ancien mot de passe Nouveau mot de passe Confirmer le mot de passe Champ personnalis 1 Champ personnalis 2 OK X X X X X X X X X X X X X X X Formulaire de modification de mot de passe russie X X Formulaire d'chec de modification de mot de passe X X
La partie infrieure de la page indique la squence d'actions dfinie. Cette page a pour fonction de dfinir les actions que l'Agent doit effectuer pour soumettre les informations d'identification requises au formulaire identifi. Pour la plupart des applications Windows, le processus suivant est le seul requis :
58
1.
Slectionnez le lien hypertexte Dfinir/Modifier associ aux informations d'identification d'un utilisateur spcifique. Cette action ouvre la bote de dialogue Configuration du texte de contrle qui permet d'identifier le contrle qui doit recevoir les informations d'identification slectionnes. Si le formulaire est dj ouvert, cette bote de dialogue affiche tous les types de contrle possibles pour les informations d'identification slectionnes ou pour l'option de soumission.
Informations d'identification Nom d'utilisateur/ID Mot de passe Ancien mot de passe Nouveau mot de passe Confirmer le mot de passe Champ personnalis 1 Champ personnalis 2 OK Type de contrle Modifier, Liste, Liste droulante, Non dfini Modifier, Liste, Liste droulante, Non dfini Modifier, Liste, Liste droulante, Non dfini Modifier, Liste, Liste droulante, Non dfini Modifier, Liste, Liste droulante, Non dfini Modifier, Liste, Liste droulante, Non dfini Modifier, Liste, Liste droulante, Non dfini Bouton. Non dfini
Si le formulaire d'informations d'identification de l'application n'est pas ouvert, lancez l'application et affichez le formulaire appropri. Slectionnez l'option Slectionnez un programme excut sur votre ordinateur dans cette bote de dialogue pour slectionner le programme. Une fois que vous avez slectionn le formulaire de l'application, cette bote de dialogue affiche les types de contrle appropris pour les informations d'identification slectionnes. 2. Slectionnez le type de contrle qui doit recevoir les informations d'identification. mesure que vous slectionnez diffrentes options, le type de contrle correspondant est mis en surbrillance dans l'application pour permettre de mieux voir la faon dont les informations d'identification slectionnes et le bouton de soumission seront affiches.
59
3.
Rptez cette procdure pour toutes les informations d'identification requises pour le formulaire ainsi que pour le bouton utilis pour soumettre le formulaire. Certains formulaires requirent des domaines ou d'autres informations d'identification configures par l'utilisateur, qui doivent tre correctement soumises pour que le formulaire puisse tre trait. Pour rpondre ces exigences, deux champs personnalisables sont disponibles. Utilisez ces champs pour dfinir des informations d'identification spciales. Les noms associs ces champs sont dfinis dans la page Nom des champs personnaliss de l'assistant de dfinition d'application (pour plus d'informations, veuillez consulter la section Prsentation de l'assistant de dfinition d'application , page 46) une fois le formulaire dfini. Remarque : toutes les informations d'identification identifies au haut de la page Dfinition des actions du formulaire ne doivent pas obligatoirement tre configures.
Pour la plupart des applications Windows, une fois que vous avez dfini les champs du formulaire qui doivent recevoir les informations d'identification slectionnes et le bouton permettant de soumettre le formulaire, le processus de dfinition des actions de formulaire est termin et vous pouvez passer la page suivante de l'assistant. Cependant, certains formulaires requirent des informations, tapes, cls spciales et autres actions supplmentaires pour complter le processus de configuration des informations d'identification. Pour ce type de formulaire, cliquez sur diteur d'action pour ouvrir la bote de dialogue diteur d'action (pour plus d'informations sur la dfinition d'actions de formulaire l'aide de l'diteur d'actions, veuillez consulter la section Utilisation de l'diteur d'action pour dfinir la squence d'actions des formulaires , page 66).
Autres rglages
Pour les dfinitions Windows, cette page est utilise pour spcifier si le bouton de soumission est automatiquement activ par l'Agent ou si l'utilisateur doit slectionner le bouton manuellement. Cochez la case L'Agent soumet ce formulaire automatiquement pour soumettre le formulaire automatiquement, sans intervention de l'utilisateur.
60

La page Confirmation des rglages est la dernire page de l'assistant de dfinition de formulaire. Elle permet de revoir les options et paramtres de configuration du formulaire. L'administrateur a ainsi la possibilit de modifier la configuration avant de mettre fin au formulaire et de revenir l'assistant de dfinition d'application pour dfinir d'autres formulaires ou de continuer modifier une dfinition d'application.
Utilisation de la correspondance avance pour identifier les formulaires Windows

Pour la plupart des applications Windows, la correspondance d'identification de formulaire pour les vnements de gestion des informations d'identification peut tre spcifie dans la page Identification du formulaire de l'assistant de dfinition de formulaire (pour plus d'informations, veuillez consulter la section Processus de dfinition de formulaire , page 72). Cependant, certains formulaires de traitement des informations d'identification sont plus difficiles identifier qu'une simple combinaison du nom de fichier excutable et du titre des fentres associes. Pour ces types de formulaires, les administrateurs peuvent cliquer sur l'option Correspondance avance de la page Identification du formulaire de l'assistant de dfinition de formulaire pour ouvrir la bote de dialogue correspondante. La bote de dialogue Correspondance avance prend en charge les fonctions d'identification Windows suivantes: informations de la classe ; recherche de correspondance du contrle ; informations de session SAP ; identificateur de fentre ; extensions d'identification.
Informations de la classe
Ce paramtre permet de dfinir les identificateurs de classe de fentres ignorer ou l'identificateur de classe devant provoquer une raction lorsque plusieurs fentres correspondent au titre spcifi et au fichier excutable associ. N'utilisez pas ce type de correspondance pour les applications .NET ou les applications qui utilisent la classe de fentres 32770 (classe par dfaut).
61
Ce paramtre est utile lorsque la classe de la fentre est dynamique. Dans ce cas, utilisez des caractres gnriques pour remplacer un identificateur de classe de fentre dynamique.
Caractre Description gnrique ? * utiliser uniquement pour un seul caractre dynamique/changeant. Utilisez cette valeur pour reprsenter un ou plusieurs caractres de donnes d'identificateur dynamiques. Cette valeur n'est pas recommande pour les identificateurs de classe de fentre vides. Utilisez NULL dans ces situations. Utilisez cette valeur pour les identificateurs de classe de fentre vides. Le mot NULL doit tre en majuscules.
NULL
Ce contrle est galement utile pour identifier une classe de fentre parmi plusieurs classes de fentres possibles. Les conditions suivantes s'appliquent. Le titre de fentre spcifi et le fichier excutable associ sont inclus dans les rsultats de correspondance multiples. Cette condition se produit gnralement lorsque le titre de fentre contient des donnes dynamiques et que des caractres gnriques sont spcifis. Le formulaire cible doit tre associ un identificateur de classe de fentre unique et toutes les autres correspondances doivent utiliser des identificateurs de classe de fentre diffrents.
Lors de la dfinition de formulaires d'vnements de traitement des informations d'identification rpondant ces conditions, ce paramtre permet d'identifier les identificateurs de classe de fentre ignorer et l'identificateur autoriser. Pour les dfinitions d'applications rpondant ces conditions, dfinissez une application Windows jusqu' ce que vous atteigniez la page Identification du formulaire de l'assistant de dfinition de formulaire (pour plus d'informations, veuillez consulter la section Processus de dfinition de formulaire , page 72). Cliquez sur Correspondance avance, puis slectionnez l'option Information de la classe. Procdez comme suit : 1. Cliquez sur Slectionner pour choisir l'application cible parmi les applications actuellement ouvertes sur votre ordinateur. Remarque : pour tendre les choix, cochez la case Afficher les fentres de programmes masques et/ou la case Afficher les fentres enfants. Si la case Inclure le nom complet du chemin d'accs excutable dans l'identification (chemin d'accs scuris) est coche, le chemin d'accs est ignor.
62
2. 3.
Lorsque vous avez choisi une application cible, cliquez sur OK pour revenir la bote de dialogue Correspondance avance. Indiquez la classe des fentres ignorer dans le champ Ignorer cette classe de fentre et la classe de la fentre que l'Agent doit reconnatre dans le champ Autoriser la classe de fentre. Lorsque vous avez termin, cliquez sur OK et continuez dfinir les actions du formulaire (pour plus d'informations, veuillez consulter la section Dfinition des actions du formulaire , page 57).
4.
Recherche de correspondance du contrle

Certaines applications affectent des informations dynamiques aux lgendes des contrles. Dans ces cas, le titre de la fentre, l'application excutable associe et les identificateurs de contrle peuvent tre les mmes pour plusieurs formulaires de gestion des informations d'identification tandis que les lgendes ou autres proprits du formulaire varient en fonction des vnements spcifiques aux applications. Pour ces types de formulaires, utilisez les options de configuration de correspondance de contrle pour identifier un formulaire spcifique et l'action de l'Agent associe en fonction des valeurs de classe, de style ou de texte associes l'ID de contrle (ou plusieurs ID de contrle si plusieurs dfinitions sont requises pour identifier le formulaire). Pour les dfinitions d'applications rpondant ces conditions, dfinissez une application Windows jusqu' ce que vous atteigniez la page Identification du formulaire de l'assistant de dfinition de formulaire (pour plus d'informations, veuillez consulter la section Processus de dfinition de formulaire , page 53). Cliquez sur Correspondance avance, puis slectionnez l'option Informations de contrle. Procdez comme suit : 1. Cliquez sur Ajouter une correspondance pour ouvrir la bote de dialogue Dfinition des critres de correspondance. Remarque : vous devez uniquement dfinir un nombre suffisant de critres de correspondance pour permettre d'identifier le formulaire de traitement des informations d'identification dfini. 2. Dans la bote de dialogue Dfinition des critres de correspondance, cliquez sur Slectionner pour ouvrir l'assistant de recherche de correspondance du contrle. Cet assistant permet d'identifier une caractristique d'ID de contrle (classe, style ou texte) et la valeur qui doit tre prsente ou absente pour permettre d'identifier le formulaire.
63
3.
Slectionnez l'application cible dans la liste, puis cliquez sur Suivant. Remarque : pour afficher les fentres masques, cochez la case Afficher les fentres masques. Cette action affiche les paramtres de classe, de texte de lgende et de style de chaque ID de contrle identifi pour l'application slectionne.
4.
Cliquez avec le bouton droit de la souris sur une entre d'ID de contrle. Cette action ouvre une fentre contextuelle permettant de slectionner la caractristique d'ID de contrle (Classe, Style ou Texte) qui doit tre utilise pour associer le formulaire l'ID de contrle slectionn. Slectionnez la caractristique (ou Aucune pour fermer la fentre contextuelle sans effectuer de slection). Une icne reprsentant la caractristique slectionne s'affiche gauche de l'entre. Rptez les tapes 4 et 5 pour chaque ID de contrle qui doit tre utilis pour identifier le formulaire. Lorsque vous avez effectu toutes les slections et attributions, cliquez sur Terminer pour fermer la bote de dialogue Dfinition des critres de correspondance. L'ID de contrle et la caractristique associe utiliser pour identifier le formulaire sont maintenant dfinis. Vous devez prsent attribuer des valeurs chaque caractristique d'ID de contrle. Mettez un ID de contrle en surbrillance, puis slectionnez Modifier Cette action ouvre la bote de dialogue Dfinition des lments de recherche qui vous permet de modifier le contenu de l'ID de contrle slectionn. Dfinissez les variables associes chaque ID de contrle sur gal ou non gal (condition) aux valeurs dfinies pour identifier le formulaire. Lorsque vous avez dfini toutes les valeurs, assurez-vous que vous avez spcifi le nom de la correspondance avant de cliquer sur OK et d'enregistrer les donnes. Cette action vous renvoie la bote de dialogue Correspondance avance qui contient prsent les valeurs de correspondance de l'ID de contrle nouvellement dfini, enregistres sous le nom de correspondance que vous avez indiqu.
5.
6.
7.
8.
Lorsque vous avez termin, cliquez sur OK et continuez dfinir les actions du formulaire (pour plus d'informations, veuillez consulter la section Dfinition des actions du formulaire , page 57).
64
Informations de session SAP

Les versions plus anciennes de SAP sont gres l'aide de dfinitions d'applications Windows et Web standard. Cependant, la bote de dialogue Correspondance avance offre une prise en charge des applications SAP lorsque plusieurs systmes SAP sont configurs pour utiliser la mme interface graphique d'authentification SAP (telle que SAP Logon Pad). La prise en charge des informations de session SAP requiert que l'administrateur SAP active les scripts d'interface graphique sur le serveur. Ceci permet la console et l'Agent d'interroger le SAP Logon Pad et de dterminer l'ID du systme et/ou le nom du serveur requis pour identifier le formulaire de traitement d'informations d'identification spcifique. L'option Informations de session SAP dfinit que les informations de session peuvent tre extraites d'une fentre SAP pour permettre d'identifier et de distinguer une fentre de session SAP d'une autre. Pour les dfinitions d'applications SAP rpondant ces conditions, dfinissez une application Windows jusqu' ce que vous atteigniez la page Identification du formulaire de l'assistant de dfinition de formulaire (pour plus d'informations, veuillez consulter la section Processus de dfinition de formulaire , page 53). Cliquez sur Correspondance avance, puis slectionnez l'option Informations de session SAP. Procdez comme suit : 1. 2. Assurez-vous que l'application SAP LogonPad est lance. Pour identifier l'application cible, cliquez sur Utiliser fentre slectionne ou Slectionner une autre fentre. Si l'option Slectionner une autre fentre est slectionne, la bote de dialogue Slection d'une fentre de programme s'ouvre, indiquant les applications qui sont ouvertes sur le systme. Remarque : la fentre SAP Logon Pad vise doit s'afficher. Aucune case cocher de cette bote de dialogue ne s'applique. 3. Une fois que vous avez slectionn une application, les donnes des champs ID du systme SAP et Nom du serveur SAP sont automatiquement extraites de cette fentre. Ces valeurs peuvent galement tre saisies manuellement. Ces deux champs peuvent accepter des expressions rationnelles comme valeurs. Ceci est utile pour contrler la capacit de recherche des serveurs multiples. Une autre raison d'entrer manuellement les valeurs est la mise en correspondance des noms DNS et NetBIOS d'un serveur. Utilisez le format d'expression rationnelle suivant pour prendre en charge les deux noms.
^NomServeur(\.domaine\.com)?$
65
4.
Lorsque vous avez termin, cliquez sur OK et continuez dfinir les actions du formulaire (pour plus d'informations, veuillez consulter la section Dfinition des actions du formulaire , page 57).
Remarque : pour dfinir un formulaire de modification de mot de passe, utilisez les fonctions de correspondance de contrle (pour plus d'informations, veuillez consulter la section Recherche de correspondance du contrle , page 62). Les messages de scripts d'interface graphique SAP peuvent tre gnrs chaque fois qu'un programme tente d'tablir une connexion au SAP LogonPad l'aide de l'interface graphique SAP. Dans ce cas, il suffit de modifier un paramtre de registre pour viter de recevoir ce message. La cl de registre est HKEY_CURRENT_USER\Software\SAP\SAPGUI Front\SAP Frontend Server\Security\WarnOnAttach. Il s'agit d'une cl DWORD. Si cette valeur de cl est dfinie sur 0, aucun message ne s'affiche. La valeur par dfaut est 1.
Identificateur de fentre
Cette page permet de dfinir un ID de contrle Windows qui identifie un formulaire lorsque plusieurs fentres peuvent tre identifies simplement l'aide du titre Windows et du nom de fichier excutable dfinis. Elle est uniquement utile si l'ID de contrle Windows peut tre utilis pour distinguer entre les multiples formulaires qui peuvent tre identifis. Cochez la case Activer la correspondance par identificateur de contrle de fentre et indiquez l'ID de contrle permettant de distinguer la fentre du formulaire dfini de tous les autres formulaires possibles.
Extensions d'identification
Les extensions d'identification font partie des extensions de dfinitions d'application. Ces extensions permettent la prise en charge d'applications qui sont externes l'Agent pour reconnatre la prsence d'un vnement de traitement des informations d'identification et effectuer le processus de soumission de ces informations. Bien que les administrateurs Password Manager puissent gnralement crer des dfinitions d'applications l'aide de la console Password Manager et de l'Outil de dfinition d'application, certaines applications ont des exigences spciales qui requirent un autre moyen de dtecter l'application et de soumettre les informations d'identification de l'utilisateur ou d'effectuer des actions similaires.
66
Pour pouvoir prendre en charge ces applications, les administrateurs Password Manager peuvent utiliser des extensions de dfinitions d'application pour obtenir une abstraction des contrles de l'application et des mcanismes de saisie des donnes associes. Les extensions d'identifications sont dveloppes par des implmenteurs tiers et leur mise en uvre est spcifique l'application. Par consquent, les procdures requises pour configurer leur utilisation sont spcifiques l'application. En gnral, les administrateurs Password Manager ne sont pas impliqus dans le dveloppement de ces extensions. Les extensions sont cres par des implmenteurs tiers. tant donn que la configuration de ces extensions est spcifique chaque application, les instructions de configuration des extensions sont gnralement livres avec l'extension. Veuillez consulter la section Extensions de dfinitions d'applications , page 259, pour obtenir des informations complmentaires.
Utilisation de l'diteur d'action pour dfinir la squence d'actions des formulaires

La page Dfinition des actions du formulaire vous permet de dfinir les actions qui doivent tre effectues par l'Agent pour soumettre les informations d'identification du formulaire de traitement des informations d'identification dfini. Pour la plupart des applications Windows, le processus dcrit dans la section Dfinition des actions du formulaire , page 57, est le seul requis. Cependant, certains formulaires requirent des informations, tapes, cls spciales et autres actions supplmentaires pour complter le processus de configuration des informations d'identification. Pour ces formulaires, cliquez sur diteur d'action (sur la page Dfinition des actions du formulaire ) pour ouvrir la bote de dialogue diteur d'action. La bote de dialogue diteur d'action se compose des lments suivants. Actions disponibles Cette option affiche toutes les actions possibles et leurs squences. Configuration d'action Cette option permet de dfinir les options spcifiques l'action inclure dans la squence d'actions. Squence d'action Cette option affiche la squence d'actions dfinies effectuer pour traiter le formulaire de gestion des informations d'identification spcifique.
67
La partie infrieure de la bote de dialogue diteur d'action comprend le bouton Paramtres avancs, qui permet d'accder la bote de dialogue Paramtres avancs. La bote de dialogue Paramtres avancs propose les deux commandes suivantes. Nombres ordinaux de contrle Cochez cette case pour utiliser des nombres ordinaux de contrle (souvent appels ordreZ) la place des numros d'ID de contrle. Les nombres ordinaux de contrle sont numrs indpendamment durant le processus de dfinition (et par l'Agent) pour identifier les contrles indpendamment des numros d'ID de contrle dfinis par l'application. Citrix recommande de slectionner cette fonction lorsque vous dfinissez des applications .NET qui gnrent dynamiquement des numros d'ID de contrle ou pour des applications qui ont des numros d'ID de contrle en double. Pause initiale Slectionnez cette option et dfinissez la priode de temps pendant laquelle l'Agent doit retarder le traitement avant de commencer la squence d'actions. Une pause peut tre configure soit l'aide de cette option, soit en lanant la squence d'actions l'aide de l'action Insertion d'une pause (pour plus d'informations, veuillez consulter la section Description des actions , page 68). Contrairement l'option Insertion d'une pause, accessible dans la zone Actions disponibles de la bote de dialogue diteur d'action et dfinie comme une opration de frappe clavier, l'option Pause initiale peut tre utilise pour viter d'avoir crer une dfinition d'application uniquement prise en charge par les versions 4.5 et 4.6 de l'Agent.
Processus de dfinition d'une squence d'actions

Le processus de dfinition est le suivant : 1. 2. Slectionnez une action dans la liste Actions disponibles. Configurez l'action l'aide des options Configuration d'action. Lorsque vous tes satisfait des paramtres de configuration, cliquez sur Insrer. L'action configure s'affiche dans Squence d'action. Rptez les tapes 1 et 2 pour toutes les actions requises par le formulaire d'informations d'identification. Mettez les actions en surbrillance, puis cliquez sur Monter ou Descendre pour rorganiser les actions selon la squence d'excution correcte requise par le formulaire dfini.
3. 4.
68
5.
Lorsque vous tes satisfait de la squence d'actions, cliquez sur OK. Cette action vous renvoie la page Dfinition des actions du formulaire qui contient maintenant la squence d'actions dfinie dans la zone Squence d'action. Cliquez sur Suivant pour continuer le processus de dfinition du formulaire de la page Autres rglages. Si une combinaison d'actions de formulaire limite la squence dfinie aux versions 4.5 ou 4.6 de l'Agent, un message s'affiche pour vous permettre de continuer ou de revenir en arrire pour modifier votre configuration.
6.
Description des actions

Dans les descriptions d'actions suivantes, chaque action reprsente une opration d'ID de contrle, une opration de frappe clavier (simulant l'activation d'une touche) ou une opration avance. Pour viter de crer une dfinition d'application qui est uniquement prise en charge sur les versions 4.0 et 4.1 de l'Agent, identifiez les squences d'actions qui incluent uniquement des oprations d'ID de contrle ou des oprations de frappe clavier. Les versions 4.0 et 4.1 de l'Agent Password Manager ne prennent pas en charge les descriptions d'actions et ne rpondent pas aux dfinitions d'applications contenant ces descriptions d'actions.
Dfinition du texte de contrle (opration d'ID de contrle)

La fonction Dfinition du texte de contrle est utilise pour affecter des valeurs d'informations d'identification leurs contrles de fentre cibles sur le formulaire. Seules les valeurs d'informations d'identification non assignes s'affichent dans la liste. Lorsque vous slectionnez cette option, tous les contrles modifiables du formulaire slectionn s'affichent. Lorsque vous slectionnez un contrle de fentre, celui-ci est mis en surbrillance dans l'application pour vous aider affecter la valeur d'informations d'identification correcte pour ce contrle. Pour affecter une valeur un contrle, slectionnez une valeur d'informations d'identification et le contrle de fentre associ, puis cliquez sur Insrer.
Soumission du formulaire
L'action Soumission du formulaire permet d'associer une action de soumission un bouton. Ce contrle d'action vous permet de cliquer sur un bouton de fentre (opration d'ID de contrle) ou d'appuyer sur la touche Entre (opration de frappe clavier). Slectionnez l'opration Cliquer sur un bouton de fentre associer au bouton qui sera utilis pour la soumission du formulaire.
69
Lorsque vous slectionnez un bouton de fentre, le contrle associ est mis en surbrillance dans l'application pour vous aider affecter la valeur d'informations d'identification correcte au contrle. Lorsque vous avez effectu votre slection, cliquez sur Insrer.
Envoi de texte la fentre (opration Envoyer frappe clavier)

L'action Envoi de texte la fentre permet d'envoyer du texte ou une valeur d'informations d'identification au formulaire sous forme d'opration Envoyer frappe clavier). Lorsque vous envoyez les valeurs d'informations d'identification, seules les valeurs non assignes s'affichent dans la liste. Lorsque vous avez effectu votre slection, cliquez sur Insrer.
Envoi de touche d'accs rapide (opration Envoyer frappe clavier)

L'action Envoi de touche d'accs rapide permet d'envoyer une combinaison quelconque de modificateurs de touches associe ainsi qu'une touche spcifique au formulaire. Lorsque vous avez effectu votre slection, cliquez sur Insrer.
Envoi de frappe clavier spciale (opration Envoyer frappe clavier)

L'action Envoi de frappe clavier spciale permet d'envoyer une touche spciale au formulaire. Pour envoyer une valeur au formulaire, slectionnez une valeur de catgorie et de cl, puis cliquez sur Insrer.
Insertion d'une pause (opration Envoyer frappe clavier)

L'action Insertion d'une pause permet d'attendre un intervalle de temps dfini avant de traiter l'action suivante de la squence d'actions. Pour insrer une pause, entrez une valeur dans le champ Longueur du dcalage, puis cliquez sur Insrer.
Lancer l'extension de l'action (opration avance)

Les extensions d'actions font partie des extensions de dfinitions d'application. Ces extensions permettent la prise en charge d'applications qui sont externes l'Agent pour reconnatre la prsence d'un vnement de traitement des informations d'identification et effectuer le processus de soumission de ces informations. Bien que les administrateurs Password Manager puissent gnralement crer des dfinitions d'applications l'aide de la console Password Manager et de l'Outil de dfinition d'application, certaines applications ont des exigences spciales qui requirent un autre moyen de dtecter l'application et de soumettre les informations d'identification de l'utilisateur ou d'effectuer des actions similaires.
70
Pour pouvoir prendre en charge ces applications, les administrateurs Password Manager peuvent utiliser des extensions de dfinitions d'application pour obtenir une abstraction des contrles de l'application et des mcanismes de saisie des donnes associes. Les extensions dveloppes par des implmenteurs tiers sont spcifiques aux applications. Par consquent, les procdures requises pour configurer leur utilisation sont spcifiques l'application. En gnral, les administrateurs Password Manager ne sont pas impliqus dans le dveloppement de ces extensions. Les extensions sont cres par des implmenteurs tiers. tant donn que la configuration de ces extensions est spcifique chaque application, les instructions de configuration des extensions sont gnralement livres avec l'extension. Veuillez consulter Extensions de dfinitions d'applications , page 259, pour obtenir des informations complmentaires.
Considrations sur les dfinitions de type Windows

Lorsque vous dfinissez des dfinitions d'applications de type Windows, tenez compte des points suivants. Les modles d'applications facilitent la cration des dfinitions d'applications. Citrix fournit des modles d'applications pour un grand nombre d'applications courantes. SI le modle que vous recherchez n'est pas disponible avec le produit install, allez sur le site Web de Citrix (http://www.citrix.com/passwordmanager/gettingstarted) pour voir si un modle existant est disponible. Veuillez consulter Prsentation des modles d'application , page 41, pour obtenir des informations complmentaires. Testez vos dfinitions d'application avec l'Agent avant de les mettre la disposition de vos utilisateurs. La plupart des dfinitions d'application fonctionnent uniquement avec des informations de base. Si une dfinition d'application ne fonctionne pas comme prvu dans votre environnement de test, cela peut tre d des fonctions uniques telles qu'un titre de fentre dynamique, des ID de contrle dynamiques ou d'autres identificateurs ou actions spciaux qui sont programms dans l'application. Pour exporter des dfinitions d'application de votre environnement de test vers votre environnement de production, utilisez la tche Exporter les informations d'administration de la console Password Manager.
71
Les paramtres qui sont slectionns au niveau de la dfinition d'application s'appliquent tous les formulaires contenus dans une dfinition d'application. Certains paramtres slectionns au niveau de la dfinition d'application peuvent tre ignors au niveau du formulaire. Par exemple, pour une application ayant trois formulaires dfinis, la soumission automatique peut tre active au niveau de la dfinition d'application. Chaque fois que l'Agent rencontre l'un de ces trois formulaires pour l'application, les informations d'identification sont soumises automatiquement. Toutefois, la soumission automatique peut tre dsactive pour l'un des formulaires au niveau du formulaire et l'Agent ne soumet alors pas automatiquement ces informations. Dans ce cas, l'utilisateur doit cliquer sur Soumettre ou sur OK pour le formulaire slectionn. Pour crer une touche d'accs rapide dans le nom de champ personnalis, placez une esperluette (&) immdiatement avant la lettre utiliser comme touche d'accs rapide. Si aucune touche d'accs rapide n'est dfinie, l'Agent associe dynamiquement une valeur numrique comme touche d'accs rapide la commande. Celle-ci apparat sous la forme (1) ou (2) sur le bouton, selon le nombre de champs personnaliss qui ont t dfinis. N'oubliez pas de tester le formulaire final pour vous assurer que le nom dfini ne dpasse pas le nombre de caractres autoris pour le champ personnalis.
Dfinitions d'applications de type Web

Les dfinitions d'application de type Web sont utilises pour identifier des applications Web, y compris les applets Java. En gnral, toutes les applications qui sont excutes dans un navigateur sont des applications Web dans le contexte des dfinitions d'application. Password Manager prend en charge les applications Web excutes sur Internet Explorer version 6.0 ou 7.0. Les dfinitions d'applications Web sont cres, en partie, en identifiant des parties de l'application mesure qu'elle est excute. Dans Password Manager, les dfinitions d'applications Web contiennent des informations sur les formulaires de l'application et les champs utiliss pour collecter les informations d'identification l'aide de l'assistant de dfinition de formulaire.
72
L'assistant de dfinition de formulaire est lanc lorsque : L'assistant de dfinition d'application est utilis pour crer une nouvelle dfinition d'application. Un formulaire d'une dfinition d'application existante est modifi. Un formulaire est ajout une dfinition d'application existante.
Rassemblement des informations requises pour les dfinitions d'applications Web

En gnral, la meilleure faon (et la plus simple) de rassembler des informations requises pour les dfinitions d'applications Web consiste lancer l'application et naviguer vers le formulaire ayant lanc l'vnement de gestion des informations d'identification (authentification de l'utilisateur, changement du mot de passe, russite du changement de mot de passe ou chec du changement de mot de passe) lors de l'excution de l'assistant de dfinition de formulaire partir de la console ou de l'outil de dfinition d'application. L'assistant affiche des instructions l'cran pour permettre de localiser et d'identifier les parties applicables de l'application.

Pour les applications Windows, le processus de dfinition de formulaire consiste rassembler des informations d'identification spcifiques au formulaire et des informations d'actions l'aide des pages suivantes de l'assistant de dfinition de formulaire pour applications Web : Nom du formulaire Identification du formulaire Autres rglages Confirmation des rglages
73
Nom du formulaire
Lorsque vous crez des dfinitions d'application pour des applications de type Web, la page Nom du formulaire de l'assistant de dfinition de formulaire vous permet d'effectuer les oprations suivantes : affecter un nom dfini par l'utilisateur au formulaire cr ; dfinir le type du formulaire cr ; dfinir des actions spciales ventuelles.
Notez que le nom attribu au formulaire s'affiche dans la page Gestion des formulaires de l'assistant de dfinition d'application. Choisissez un nom appropri pour le type de formulaire dfini. L'assistant de dfinition de formulaire permet de dfinir plusieurs types de formulaires de gestion des informations d'identification standard. Formulaire d'authentification Il permet de dfinir l'interface d'authentification d'une application et de grer les actions de soumission d'informations d'identification requises pour accder l'application associe. Formulaire de modification de mot de passe Il permet de dfinir l'interface de modification du mot de passe d'une application et de grer les actions de soumission d'informations d'identification requises pour changer le mot de passe utilisateur permettant d'accder l'application. Formulaire de modification de mot de passe russie Il permet de dfinir l'interface de modification du mot de passe d'une application et de grer les actions de soumission d'informations d'identification requises pour confirmer la russite du changement du mot de passe utilisateur permettant d'accder l'application. Formulaire d'chec de modification de mot de passe Il permet de dfinir l'interface indiquant l'chec du changement du mot de passe et de dfinir les actions effectuer dans ces cas.
74
Les versions 4.0 et 4.1 de l'Agent Password Manager ne prennent pas en charge les formulaires d'chec ou de russite de modification des informations d'identification et ne rpondent pas aux dfinitions d'application contenant ces formulaires. Utilisez la zone Actions spciales pour identifier tout traitement spcial pour le formulaire dfini : Aucune action spciale Slectionnez cette option pour effectuer un traitement de formulaire Web normal. Redirection vers application Windows Choisissez cette option lorsque aucun formulaire n'est reconnu pour l'application Web dans l'assistant de formulaire Web (voir Identification du formulaire ). Ceci se produit lorsque l'application Web utilise des contrles ActiveX, Flash, certains types de contrles Ajax ou d'autres contrles non HTML pour grer les vnements de gestion des informations d'identification. Pour plus d'informations, veuillez consulter la section Redirection vers une application Windows , page 76. Ignorez ce formulaire lorsqu'il est dtect par l'Agent. Slectionnez cette option pour que l'Agent ignore le formulaire.
Lorsque vous crez des dfinitions pour des applications de type Web, la page Identification du formulaire vous permet de fournir des informations requises pour que l'Agent Password Manager puisse reconnatre sans quivoque le formulaire dfini. Les applications Web sont identifies l'aide de l'adresse URL associe au formulaire de gestion des informations d'identification dfini. Cliquez sur Slectionner pour ouvrir l'assistant de formulaire Web qui vous permet d'identifier l'adresse URL et de dfinir les actions de gestion des informations d'identification pour le formulaire dfini (voir Assistant de formulaire Web , page 76). Lorsque vous avez termin l'assistant de formulaire Web, vous revenez cette page. Deux cases cocher sont disponibles pour contrler la faon dont les URL identifies doivent tre interprtes :
75
Recherche d'URL stricte Cochez cette case pour reconnatre uniquement les vnements de gestion des informations d'identification des applications Web qui sont lances partir des URL spcifies. Certaines URL peuvent contenir des donnes dynamiques telles que des identificateurs de gestion de session, des paramtres d'application ou d'autres identificateurs qui peuvent varier pour chaque instance. Dans ces circonstances, l'utilisation de la correspondance stricte risque de ne pas permettre la reconnaissance de l'URL.
URL sensible la casse Cochez cette case pour utiliser l'URL avec la casse exacte.
Autres rglages
Pour les dfinitions Web, cette page est utilise pour spcifier si le bouton de soumission est automatiquement activ par l'Agent ou si l'utilisateur doit slectionner le bouton manuellement. Cochez la case L'Agent soumet ce formulaire automatiquement pour soumettre le formulaire automatiquement, sans intervention de l'utilisateur. Certaines applications Web utilisent des URL dynamiques. Si c'est le cas, cliquez sur Avanc pour accder la bote de dialogue Paramtres avancs qui vous permet de dfinir des critres de dfinition de formulaire supplmentaires correspondant au formulaire Web (pour plus d'informations, veuillez consulter la section Bote de dialogue Paramtres avancs pour les applications Web , page 77).

76
Assistant de formulaire Web

L'assistant de formulaire Web permet de dfinir quels champs de l'application Web slectionne doivent contenir les informations d'identification utilisateur et quel contrle doit tre utilis pour soumettre le formulaire. Le formulaire identifi s'affiche dans la partie suprieure de la page et les champs de formulaire s'affichent dans la partie infrieure de la page. Si aucun champ de formulaire n'est dfini, la dfinition de formulaire doit tre redirige vers une application de type Windows pour utiliser des options de type Envoyer frappe clavier pour grer l'interface du formulaire. Dans ce cas, assurezvous que l'option Rediriger vers application Windows est slectionne sur la page Identification du formulaire et consultez la section Redirection vers une application Windows , page 76, pour obtenir des informations de configuration supplmentaires. Sinon, cliquez avec le bouton droit de la souris sur les entres du bas de la page pour mettre en surbrillance les champs correspondants dans la partie suprieure de la page. En vous aidant de l'indication visuelle, slectionnez les informations d'identification qui doivent tre indiques dans le champ correspondant. Rptez cette procdure pour toutes les informations d'identification associes au formulaire de gestion des informations d'identification dfini. Il se peut que les noms de champs soient renseigns de faon dynamique. Si c'est le cas, cochez la case Utiliser des ordinaux au lieu des noms de champ pour identifier les champs utilisant des ordinaux. Les nombres ordinaux sont numrots indpendamment et ne dpendent pas des informations fournies par l'application. Une fois que vous avez affect toutes les informations d'identification et dfini le contrle utilis pour soumettre le formulaire, cliquez sur OK pour revenir la page Identification du formulaire , page 54.
Redirection vers une application Windows

Lorsque aucun formulaire n'est reconnu pour l'application Web dans l'assistant de formulaire Web (voir Assistant de formulaire Web , page 76), la dfinition du formulaire doit tre redirige vers une dfinition dfinie pour une application Windows. Les formulaires ne sont pas reconnus lorsque l'application Web utilise des contrles ActiveX, Flash, certains types de contrles Ajax ou d'autres contrles non HTML pour grer les vnements de gestion des informations d'identification.
77
Dans ce cas, assurez-vous que la case Rediriger vers application Windows est coche dans la page Identification du formulaire (voir Identification du formulaire , page 54). Cliquez sur Suivant pour avancer dans les pages restantes de l'assistant de dfinition de formulaire, puis cliquez sur Terminer sur la page Confirmation des rglages. Les caractristiques de reconnaissance de formulaire et les actions d'informations d'identification doivent maintenant tre dfinies l'aide de dfinitions de type Windows et d'actions de type Envoyer frappe clavier (pour plus d'informations, veuillez consulter la section Dfinitions d'applications de type Windows , page 52).
Bote de dialogue Paramtres avancs pour les applications Web

Certaines applications Web utilisent des URL dynamiques. Lorsque c'est le cas, des critres de dfinition de formulaire supplmentaires (appels entres de correspondance de dtection) doivent tre utiliss pour permettre d'identifier un formulaire de gestion d'informations d'identification spcifique. Ces entres de correspondance de dtection sont dfinies l'aide de la bote de dialogue Dtails des lments de dtection et s'affichent dans la bote de dialogue Paramtres avancs. Pour accder la bote de dialogue Dtails des lments de dtection, cliquez sur Avanc dans la page Autres rglages pour ouvrir la bote de dialogue Paramtres avancs, puis cliquez sur Ajouter. Utilisez les options et commandes de la bote de dialogue Dtails des lments de dtection pour dfinir les critres utiliss pour identifier un formulaire de gestion d'informations d'identification spcifique. Ces critres permettent de rechercher des valeurs spcifiques dans le contenu balis du formulaire HTML destin traiter une action de gestion des informations d'identification spcifique. Vous devez uniquement dfinir un nombre suffisant de critres de correspondance pour permettre d'identifier le formulaire de gestion des informations d'identification dfini. Pour crer une entre de correspondance de dtection, assurez-vous qu'une vue source d'un formulaire HTML spcifique est ouverte pour que vous puissiez identifier les balises et critres correspondants qui seront utiliss pour crer les entres de correspondance de dtection. 1. Dans la page Autres rglages de l'assistant de dfinition de formulaire, cliquez sur Avanc Cette action ouvre la bote de dialogue Paramtres avancs.
78
2.
Dans la bote de dialogue Paramtres avancs, cliquez sur Ajouter. Cette action ouvre la bote de dialogue Dtails des lments de dtection. Utilisez cette bote de dialogue pour crer une entre de correspondance de dtection qui sera utilise pour identifier le formulaire dfini. Cette bote de dialogue se compose des zones suivantes. Balise Ce champ indique la balise HTML rechercher. Si vous connaissez l'instance spcifique de la balise, cochez la case Correspondance d'instance de balise et spcifiez quelle instance doit tre utilise. Si aucune instance spcifique n'est identifie, toutes les instances du document sont values. Seule la balise doit tre spcifie et non le dlimiteur (par exemple p et non <p>). Pour ne pas vous tromper, slectionnez la balise la plus proche du contenu recherch. Remarque : tant donn que l'option Instance peut varier d'un navigateur l'autre, utilisez cette fonction uniquement lorsque c'est ncessaire et veillez tester votre configuration. Critres Cette zone permet de dfinir les critres de correspondance. Slectionnez l'un des critres suivants. Texte : il peut s'agir de toute chane de texte incluse dans le code HTML. HTML : tout code spcifique inclus dans la balise spcifie. Attribut : tout attribut du code HTML (par exemple, un attribut nom d'une balise formulaire).
Valeur Ce champ zone permet d'entrer la valeur de recherche de correspondance. Cochez la case Valeur entire pour rechercher une correspondance exacte de la valeur (la prsence de texte non spcifi dans la balise fait chouer la correspondance). Incluez tous les dlimiteurs et guillemets qui peuvent tre inclus. Remarque : cochez la case Valeur entire uniquement lorsqu'il existe plusieurs instances de critres de correspondance similaires.
79
Oprateur Cette zone permet de dfinir la relation entre l'entre courante et les autres entres dfinies pour ce formulaire. Les oprateurs disponibles sont les suivants. AND : slectionnez cette option lorsque l'entre doit tre associe d'autres entres pour permettre d'identifier le formulaire. Lorsque vous slectionnez cette option, le rsultat de la correspondance courante est compar au rsultat suivant. Si les deux rsultats sont vrais, il y a correspondance. OR : slectionnez cette option lorsqu'une entre de correspondance seule permet d'identifier le formulaire. Lorsque vous slectionnez cette option, le rsultat de la correspondance courante est compar au rsultat suivant. Si l'un des deux rsultats est vrai, il y a correspondance. Cette option est utilise pour les dfinitions correspondance unique. NOT : slectionnez cette opration pour appliquer une logique ngative l'oprateur. Cet oprateur est utilis pour dfinir des critres de correspondance qui ne doivent pas apparatre sur la page pour qu'il y ait correspondance.
3.
Lorsque vous avez termin de crer l'entre de correspondance de dtection, cliquez sur OK. Cette action affiche les entres de correspondance de dtection nouvellement cres dans la bote de dialogue Paramtres avancs. Rptez les tapes 2 et 3 pour chaque entre de correspondance de dtection requise pour identifier le formulaire de gestion d'informations d'identification que vous dfinissez. Si plusieurs entres de correspondance de dtection s'affichent dans la bote de dialogue Paramtres avancs, utilisez les boutons haut et bas pour rorganiser les entres dans l'ordre de traitement correct. Les entres de dtection sont values de haut en bas et la squence d'valuation peut tre trs importante pour obtenir une correspondance correcte.
4.
5.
Dfinitions d'applications de type Hte/mainframe

Les dfinitions d'applications de type hte/mainframe sont utilises pour identifier des applications de type hte, y compris mainframe, AS/400, OS/390, UNIX ou d'autres sessions hte. Password Manager propose la fonction d'authentification unique pour les applications hte via les mulateurs de terminal HLLAPI (High-Level Language Application Programming Interface) ou qui disposent d'un langage de script permettant d'afficher une bote de dialogue.
80
Rassemblement des informations requises pour les dfinitions d'applications hte

En gnral, la meilleure faon (et la plus simple) de rassembler les informations requises pour les dfinitions d'applications hte consiste lancer l'application. Pour crer des dfinitions d'applications hte, utilisez l'assistant de dfinition de formulaire. Cet assistant permet de dfinir une ou plusieurs chanes de texte qui doivent tre prsentes (ou absentes) sur les crans d'un formulaire de gestion des informations d'identification de l'application hte (authentification, modification de mot de passe, modification de mot de passe russie, chec de la modification de mot de passe). mesure que vous vous dplacez dans le formulaire de gestion des informations d'identification dfini, enregistrez toutes les actions utilisateur requises pour accder au formulaire. Ces actions doivent tre fournies dans la dfinition de chaque formulaire lorsque vous excutez l'assistant de dfinition de formulaire partir de la console ou de l'outil de dfinition d'application. Lorsque vous avez identifi le formulaire correct, les coordonnes des champs de saisie des donnes utiliss pour soumettre les informations d'identification appropries l'application sont dfinies. Celles-ci sont dfinies en spcifiant la squence d'actions ou de touches requises pour se dplacer entre les champs ou les crans et pour entrer du texte. L'assistant de dfinition de formulaire est lanc lorsque : l'assistant de dfinition d'application est utilis pour crer une nouvelle dfinition d'application ; un formulaire d'une dfinition d'application existante est modifi ; un formulaire est ajout une dfinition d'application existante.

Pour les applications Windows, le processus de dfinition de formulaire consiste rassembler des informations d'identification spcifiques au formulaire et des informations d'actions l'aide des pages suivantes de l'assistant de dfinition de formulaire pour applications Hte : Nom du formulaire
81
Identification du formulaire Dfinition des rgles de dtection de champ Autres rglages Confirmation des rglages
Nom du formulaire
Lorsque vous crez des dfinitions d'application pour des applications de type hte, la page Nom du formulaire de l'assistant de dfinition de formulaire vous permet d'effectuer les oprations suivantes : affecter un nom dfini par l'utilisateur au formulaire cr ; dfinir le type du formulaire cr ;
Notez que le nom attribu au formulaire s'affiche dans la page Gestion des formulaires de l'assistant de dfinition d'application. Choisissez un nom appropri pour le type de formulaire dfini. L'assistant de dfinition de formulaire permet de dfinir plusieurs types de formulaires de gestion des informations d'identification standard. Formulaire d'authentification Il permet de dfinir l'interface d'authentification d'une application et de grer les actions de soumission d'informations d'identification requises pour accder l'application associe. Formulaire de modification de mot de passe Il permet de dfinir l'interface de modification du mot de passe d'une application et de grer les actions de soumission d'informations d'identification requises pour changer le mot de passe utilisateur permettant d'accder l'application. Formulaire de modification de mot de passe russie Il permet de dfinir l'interface de modification du mot de passe d'une application et de grer les actions de soumission d'informations d'identification requises pour confirmer la russite du changement du mot de passe utilisateur permettant d'accder l'application.
82
Formulaire d'chec de modification de mot de passe Il permet de dfinir l'interface indiquant l'chec du changement du mot de passe et de dfinir les actions effectuer dans ces cas.
Les versions 4.0 et 4.1 de l'Agent Password Manager ne prennent pas en charge les formulaires d'chec ou de russite de modification des informations d'identification et ne rpondent pas aux dfinitions d'application contenant ces formulaires. Si l'mulateur utilis affiche plus d'une page d'ouverture de session ou de modification de mot de passe, vous devez crer un formulaire pour chaque page.
Lorsque vous crez des dfinitions pour des applications de type hte, la page Identification du formulaire vous permet de fournir des informations requises pour que l'Agent Password Manager puisse reconnatre sans quivoque le formulaire dfini. Les applications hte sont identifies en recherchant des chanes de texte qui s'affichent sur des lignes et des colonnes spcifies dans la page de l'application hte. Vous devez uniquement dfinir un nombre suffisant de correspondances de chanes de texte pour permettre d'identifier l'hte. Pour ajouter une entre de qualification de correspondance de texte, procdez comme suit : 1. Assurez-vous que l'application hte est lance et que vous avez dj dtermin les chanes de texte qui doivent tre utilises pour identifier l'application cible. Cliquez sur Ajouter pour ajouter une nouvelle entre de correspondance de texte la liste des entres utilises pour identifier l'application. Cette action ouvre la bote de dialogue Texte rechercher. Renseignez les champs suivants de la bote de dialogue Texte rechercher. Chane de texte Entrez le texte exact qui doit tre utilis pour identifier l'application. Ligne Entrez le numro de ligne exact de la chane. Colonne Entrez le numro de colonne exact de la chane.
2.
3.
83
Remarque : lorsque l'Agent analyse une application hte, il examine l'cran pour rechercher la chane de texte exacte l'emplacement de ligne et de colonne dfini. Si le texte situ aux coordonnes dfinies ne correspond pas au texte spcifi, l'cran est ignor. 4. Lorsque vous avez entr la chane de comparaison et les coordonnes dans lesquelles elle apparat, cliquez sur OK. Le texte rechercher dfini s'affiche dans la page Identification du formulaire. Il est souvent ncessaire de dfinir plusieurs chanes de texte pour permettre d'identifier l'application hte cible. Si des chanes de texte rechercher supplmentaires sont requises, rptez les tapes 2 4 pour chaque chane. Lorsque vous avez dfini toutes les entres de Texte rechercher, cliquez sur Suivant pour continuer.
5.
6.
Dfinition des rgles de dtection de champ

La page Dfinition des rgles de dtection de champ permet d'indiquer l'emplacement et les actions cl requises pour grer le formulaire d'informations d'identification dfini. L'objectif est de crer des entres de champ qui indiquent les informations d'identification traiter, l'emplacement o elles doivent tre insres l'cran (coordonnes de lignes et de colonnes) et les touches requises pour faire avancer le curseur vers l'information suivante ou le bouton de soumission. Pour ajouter une entre de champ, procdez comme suit : 1. 2. Cliquez sur Ajouter pour ouvrir la bote de dialogue Dfinition du champ. Renseignez les champs suivants de la bote de dialogue Dfinition du champ. Fonction du champ Slectionnez les informations d'identification soumettre dans la zone de liste droulante. Ligne Entrez le numro de ligne exact de la chane. Colonne Entrez le numro de colonne exact de la chane.
84
Frappes aprs Entrez les codes de touches requis pour dplacer le curseur vers le champ d'informations d'identification suivant ou pour effectuer l'action de soumission des informations.
Remarque : slectionnez le lien Code clavier virtuel pour accder aux informations d'aide sur les codes clavier valides. 3. Lorsque vous avez entr toutes les donnes requises pour l'entre de champ, cliquez sur OK. Cette action affiche l'entre de champ dfinie dans la page Dfinition des rgles de dtection de champ. Rptez les tapes 1 3 pour chaque champ requis pour le formulaire dfini. Les entres de champ affiches dans la page Dfinition des rgles de dtection de champ sont traites de haut en bas telles qu'elles apparaissent sur la page. Utilisez les flches haut et bas pour organiser les entres selon la squence requise par le formulaire d'informations d'identification dfini. Une fois que vous avez dfini toutes les entres de champ et leur squence, cliquez sur Suivant pour continuer.
4. 5.
6.
Autres rglages
La page Autres rglages vous permet d'accder aux options de paramtres avancs pour le formulaire dfini. Les paramtres avancs permettent de : dfinir une pause avant le traitement initial du formulaire ; dfinir les touches requises pour accder au formulaire de gestion des informations d'identification dfini ; dfinir si la touche ENTRE doit tre utilise la place de la touche TAB pour dplacer le curseur d'un champ l'autre du formulaire ; dfinir les critres de correspondance de chane de texte indiquant l'Agent d'ignorer le traitement.
Si une configuration avance supplmentaire est requise pour le formulaire dfini, cliquez sur Avanc pour ouvrir la bote de dialogue Paramtres avancs et procdez la page Paramtres avancs pour les applications hte , page 85 ou cliquez sur Suivant pour continuer.
85

Paramtres avancs pour les applications hte

Certaines applications hte requirent une configuration supplmentaire pour faire en sorte que le formulaire d'informations d'identification correct soit identifi. Cette configuration peut dfinir comment : attendre un intervalle de temps dfini que l'application hte soit lance avant de tenter d'identifier l'application ; traiter une srie de touches pour naviguer vers la page d'authentification initiale ou la page de modification de mot de passe ; ignorer le traitement d'une page lorsqu'une chane de texte spcifique apparat.
Si des paramtres de configuration avancs sont requis pour un formulaire de gestion des informations d'identification, cliquez sur Avanc... dans la page Autres rglages (voir Autres rglages , page 84) pour ouvrir la bote de dialogue Paramtres avancs. La bote de dialogue Paramtres avancs contient deux pages de configuration accessibles partir du volet gauche de la page : Paramtres supplmentaires d'un formulaire d'application hte Texte ignorer
Paramtres supplmentaires d'un formulaire d'application hte

Slectionnez l'option Paramtres supplmentaires des formulaires d'hte dans le volet gauche pour accder aux options Paramtres supplmentaires. Retarder les entres des champs Entrez la priode de temps (en millisecondes) pendant laquelle le traitement du formulaire doit tre retard pendant que l'application est charge.
86
Frappes prliminaires Entrez les codes de touches virtuels qui doivent tre entrs pour accder au premier champ du formulaire de gestion des informations d'identification trait. Slectionnez le lien Code clavier virtuel pour accder aux informations d'aide sur les codes clavier valides.
Utiliser Entre au lieu de TAB pour se dplacer entre les champs Slectionnez cette case le cas chant.
Texte ignorer
Slectionnez l'option Texte ignorer dans le volet gauche pour accder l'option Texte bloquant la soumission des informations d'identification. Cette option permet de spcifier des chanes de texte qui apparaissent dans la page de l'application pour les formulaires qui doivent tre ignors. Ces options sont identiques celles dcrites dans la section Identification du formulaire , page 82.
Considrations sur les dfinitions de type hte

Lorsque vous dfinissez des dfinitions d'applications de type hte, tenez compte des points suivants. La prise en charge de l'mulation de terminal doit tre active pour chaque configuration utilisateur utilisant des applications hte. Vrifiez que votre programme d'mulateur de terminal est conforme HLLAPI. Vrifiez que votre programme d'mulateur de terminal est dfini dans le fichier mfrmlist.ini de l'Agent (pour plus d'informations, veuillez consulter la section Prise en charge de l'mulation de terminal , page 87). Vous pouvez gagner du temps en utilisant un mulateur de terminal qui indique les coordonnes de ligne et de colonne de la position du curseur. Ceci vous permet de dterminer plus facilement l'emplacement du texte et des champs utiliss pour identifier l'application hte et ses formulaires d'authentification. Pour la dtection HLLAPI, l'mulateur doit dfinir un nom court pour chaque session. L'Agent ne peut pas dtecter une application hte sans le nom court de session de l'mulateur de terminal.
87
La documentation relative votre application hte peut inclure des identificateurs uniques, tels que des numros d'crans, pour les crans utiliss pour soumettre les informations d'identification. Dans ce cas, utilisez le numro d'cran comme identificateur unique pour faire en sorte que l'Agent puisse identifier et soumettre les informations d'identification au formulaire correct.
Prise en charge de l'mulation de terminal

Les mulateurs de terminal pris en charge sont inclus dans le fichier Mfrmlist.ini. Ce fichier reprsente tous les mulateurs de terminal qui ont t tests par Citrix. Il est possible d'ajouter des mulateurs cette liste. Cependant, il est recommand de tester et de vrifier ces dfinitions avant de les introduire dans votre environnement de production. Un exemple d'une section de ce fichier est donn ci-dessous.
[Emulators] Ver=20021101 EMU1=Rumba6 EMU2=Attachmate myExtra! EMU3=Attachmate Extra! 6.3 EMU4=Attachmate Extra! 6.4 EMU5=Attachmate Extra! 6.5 EMU6=Attachmate Extra! 2000 EMU7=Attachmate Extra! 7.1 EMU8=Reflection7 EMU9=Reflection8 EMU10=Reflection9 EMU11=Reflection10 EMU12=PCOM EMU13=HostOnDemand 4.1 EMU14=GLink EMU15=Aviva EMU16=ViewNow EMU17=ZephyrPC EMU18=ZephyrWeb ;EMU19=BOSaNOVA ;EMU20=HostExplorer6
88
;EMU21=HostExplorer8 [Rumba6] DisplayName=Rumba RegistryLoc=WALLDATA\Install ValueName= DLLFile=SYSTEM\EHLAPI32.DLL UpdateNotificationHandling=0.FirstLogin Process=shared ConvertPosType=long QuerySessionsType=long QuerySessionStatusType=long QueryHostUpdateType=long StartNotificationType=long IntSize=16 WindowClass=WdPageFrame WindowTitle=RUMBA
Les entres d'mulateur de la section [Emulators] du fichier doivent suivre une squence numrique, de EMU1 EMU99. Toute rupture de la squence entrane la fin du processus ssomho.exe avant la lecture de toutes les entres. La suppression ou l'ajout de marque de commentaire pour des mulateurs inutiliss permet parfois d'amliorer le dmarrage. Ssomho.exe ne recherche pas l'emplacement de DLL HLLAPI inutilises (conomie de ressources et de temps). Pour placer un commentaire devant une entre, dplacez celleci avec le bas de la liste, faites-la prcder d'un point virgule, puis renumrotez les entres EMU restantes pour viter une rupture de la squence. Password Manager ne peut pas mettre jour le fichier mfrmlist.ini. Vous devez le modifier manuellement aprs installation de l'Agent. Pour les dploiements grande chelle, Citrix recommande d'utiliser des fichiers de traitement par lot ou des scripts excuts lors de l'installation avec SMS (System Management Server), CA-Unicenter ou Active Directory.
89
Dfinition de champs dans mfrmlist.ini

Les mulateurs ajouts au fichier Mfrmlist.ini fonctionnent uniquement s'ils sont conformes la norme HLLAPI. Les dfinitions de champ du fichier mfrmlist.ini file sont fournies ci-dessous. Si vous devez ajouter une dfinition d'mulateur, vrifiez auprs du fabricant de l'mulateur s'il prend en charge HLLAPI et obtenez les entres de dfinition de champ. Pour dterminer si un mulateur fonctionne avec Password Manager, testez-le en dehors de votre environnement de production.
Champ [EmulatorName] Dfinitions La valeur de EmulatorName doit correspondre la valeur de la ligne EMUnn=EmulatorName dans la section [Emulators]. Utilisation interne seulement. Nom affich de l'mulateur. Il s'agit d'un des deux paramtres utiliss lors de la cration d'un nouveau processus pour grer la session. Il doit tre unique dans le fichier mfrmlist.ini. Cette cl de registre de HKEY_LOCAL_MACHINE\SOFTWARE pointe vers le chemin d'accs de stockage du fichier DLL HLLAPI. Si le programme ne stocke pas ces informations dans HKEY_LOCAL_MACHINE\SOFTWARE, utilisez le paramtre ExplicitPath au lieu de RegistryLoc. Si RegistryLoc et ExplicitPath sont dfinis, le paramtre ExplicitPath a prsance. Le chemin d'accs absolu du fichier DLL HLLAPI utilis par cet mulateur. Ce paramtre est utilis au lieu du paramtre RegistryLoc lorsque l'mulateur ne stocke pas l'emplacement du fichier DLL HLLAPI dans le registre. Si RegistryLoc et ExplicitPath sont dfinis, le paramtre ExplicitPath a prsance. Nom de la valeur de la cl RegistryLoc contenant le chemin d'accs. Nom du fichier DLL HLLAPI Indique que la valeur stocke dans ValueName contient des barres obliques inverses (\) supprimer lors de l'assemblage du chemin d'accs du fichier DLL HLLAPI partir des entres ValueName et DLL File. Dfinit la taille (entier) prise en charge par l'mulateur : 16 bits ou 32 bits. Nom de la classe Window pour l'mulateur. Obtenu dans la Console Password Manager ou l'Outil de dfinition d'application.
GroupName DisplayName
RegistryLoc
ExplicitPath
ValueName DLLFile StripFileName
IntSize WindowClass
90
Champ WindowTitle
Dfinitions Une partie du titre de fentre pouvant tre utilise par Password Manager pour identifier cette fentre est associe l'mulateur. Elle doit contenir au moins un mot qui sera toujours prsent dans le nom de fentre. Des caractres gnriques sont placs automatiquement des deux cts du texte. Indique Password Manager qu'il doit utiliser l'envoi de frappes clavier pour communiquer avec l'mulateur. Cette option n'est pas la mme que celle utilise pour les applications Windows.
UseSendKeys
Vous trouverez plus d'informations sur les mulateurs de terminal la section Oprations , page 203. Prise en charge des mulateurs de terminal , page 208 Applications d'mulation de terminal , page 207
Cration de configurations utilisateur
Remarque : si vous utilisez un dossier partag Novell pour votre magasin central, vous ne pouvez crer qu'une seule configuration utilisateur. Citrix Password Manager ne prend pas en charge les configurations pyramidales ou au niveau de l'utilisateur dans ce cas. Une configuration utilisateur vous permet de contrler le comportement et l'aspect de l'Agent au niveau des utilisateurs. La cration d'une ou plusieurs configurations utilisateur est la dernire tape suivre avant de distribuer l'agent Citrix Password Manager vers les utilisateurs de votre environnement. Notez que vous pouvez ajouter ou modifier tout moment les configurations utilisateur existantes. Cette section traite les points suivants : Dfinition d'une configuration utilisateur , page 92 Avant de commencer , page 96 Cration d'une configuration utilisateur : l'assistant de configuration utilisateur , page 98 Synchronisation des informations d'identification l'aide de la fonction Association de comptes , page 115 Rinitialisation et suppression des donnes utilisateur , page 121 Invite des utilisateurs renregistrer leurs questions de scurit , page 124 Affectation d'une priorit aux configurations utilisateur , page 125 Affectation d'une configuration utilisateur diffrents utilisateurs , page 126
92
Mise niveau des configurations utilisateur existantes , page 127
Remarque : veuillez consulter la section Planification de votre environnement Password Manager du Guide d'installation Citrix Password Manager.
Dfinition d'une configuration utilisateur

Une configuration utilisateur constitue une collection unique de rglages, stratgies de mot de passe et applications que vous appliquez des utilisateurs associs une hirarchie Active Directory (une unit organisationnelle ou un utilisateur) ou un groupe Active Directory. Une configuration utilisateur comporte les lments suivants : les utilisateurs associs une hirarchie de domaine Active Directory (unit organisationnelle ou utilisateur) ou un groupe Active Directory ; Remarque : les groupes de distribution et les groupes locaux de domaine en mode Active Directory mixte ne sont pas pris en charge. le type de licence et les paramtres concerns relatifs aux utilisateurs (modle simultan ou de licences utilisateurs dsigns) ; les mthodes de protection des donnes (voir Utilisation ou non de la vrification d'identit et Planification de vos configurations utilisateur dans le Guide d'installation Citrix Password Manager) ; les dfinitions d'application cres, que vous pouvez combiner dans un groupe d'applications lors de la cration d'une configuration utilisateur ; les stratgies de mot de passe associes des groupes d'applications ; les fonctions autonomes (dverrouillage de compte et rinitialisation de mot de passe) et les options de gestion de cls (utilisation du mot de passe prcdent, questions de scurit et gestion automatique des cls) ; les paramtres des options tels que l'habilitation et la prise en charge d'applications.
93
Proprits de la configuration utilisateur par dfaut

Le tableau suivant prsente les proprits associes une configuration utilisateur. Vous pouvez l'utiliser pour assurer le suivi de vos paramtres.
Proprit de configuration utilisateur Association de comptes Domaine d'association de comptes par dfaut Adresse du service par dfaut de l'association de compte Permettre aux utilisateurs d'associer des comptes Permettre aux utilisateurs de modifier le domaine Permettre aux utilisateurs de modifier l'adresse du service Permettre aux utilisateurs de garder le mot de passe en mmoire Interface utilisateur de l'Agent Afficher le nom de l'ordinateur dans la bulle d'aide de l'icne de notification Dfinir les colonnes par dfaut et leur ordre dans le Gestionnaire d'informations d'identification Non Nom de l'application Description Groupe Dernire utilisation Modification Mot de passe URL/module Nom d'utilisateur/ ID Oui 0 seconde Non fourni Non fourni Non Non Non Non Valeur par dfaut Valeur personnalise
Afficher l'icne de notification Pause de l'Agent avant soumission des informations d'identification Prise en charge d'application Dtection des dfinitions d'application sur le client Activer la prise en charge des mulateurs de terminal Nombre de niveaux de nom de domaine de correspondance
Toutes les applications Non 99
94
Proprit de configuration utilisateur Intervalle de temps avant que l'Agent vrifie d'ventuelles modifications d'mulateur de terminal Interaction de base de l'agent Autoriser les utilisateurs placer l'agent en pause Autoriser les utilisateurs rvler tous les mots de passe dans le Gestionnaire d'informations d'identification Dtecter automatiquement les applications et inviter l'utilisateur stocker les informations didentification Traiter automatiquement les formulaires dfinis lorsque l'Agent les dtecte Forcer une nouvelle authentification avant de rvler les mots de passe de l'utilisateur Informer l'utilisateur lorsque la synchronisation de l'Agent choue Dure sparant les requtes de nouvelle authentification de l'Agent Interaction ct client Supprimer le dossier de donnes et les cls de registre de l'utilisateur l'arrt de l'agent Autoriser les utilisateurs annuler le stockage des informations d'identification lorsqu'une nouvelle application est dtecte Effectuer une vrification de mot de passe lors de la dfinition initiale des informations d'identification Limiter le nombre de jours de suivi des informations didentification supprimes Journaliser les vnements (Observateur d'vnements Windows) Mthodes de protection des donnes Autoriser la protection des donnes l'aide d'un mot de passe vide Permettre le code secret de carte puce API de protection des donnes de Microsoft Rglementer l'accs des administrateurs de comptes aux donnes Certificat de carte puce
Valeur par dfaut 3 000 millisecondes
Valeur personnalise
Oui Non
Oui
Oui Oui Oui 8 heures
Non Oui
Oui 180 jours Non
Non Non Non Oui Non
95
Proprit de configuration utilisateur Source de cl de carte puce
Valeur par dfaut Protection des donnes par carte puce Oui
Valeur personnalise
Donnes d'authentification des utilisateurs Bureau dynamique Activer le graphique Activer l'indicateur de session Chemin d'accs du graphique Dlai d'expiration du verrouillage Chemin d'accs du fichier de paramtres de scripts de session Dlai d'expiration de session Module de gestion des cls Emplacement de service Systme de licences Autoriser l'utilisation de la licence en mode dconnect Dure de mode dconnect pour une licence utilisateurs simultans Continuer sans valider les informations de licence Nom et numro de port du serveur de licences Dure de mode dconnect pour une licence d'utilisateur dsign dition du produit dition du produit Module d'habilitation Excuter l'habilitation Emplacement du service d'habilitation Protection secondaire des donnes Mthode de vrification d'identit Fonctions autonomes de compte Rinitialiser le mot de passe du domaine
Non Oui
10 minutes
5 minutes
Non 1 heure 30 minutes Non serveur:port 21 jours
Slection de l'dition du produit
Non
Mot de passe prcdent
Non
96
Proprit de configuration utilisateur Dverrouiller le compte de domaine Synchronisation Permettre l'Agent de fonctionner mme s'il ne peut pas se reconnecter au magasin central Autoriser les utilisateurs actualiser les rglages de l'Agent Permettre l'accs aux informations d'identification par le module de synchronisation des informations d'identification Synchroniser chaque lancement d'applications reconnues ou du Gestionnaire d'informations d'identification par l'utilisateur Dure entre les requtes de synchronisation automatique
Valeur par dfaut Non
Valeur personnalise
Oui Oui Non
Non
0 minute
Avant de commencer
Remarque : veuillez consulter la section Exigences lies aux comptes pralables l'installation et l'utilisation de Password Manager du Guide d'installation Citrix Password Manager. Avant de crer vos configurations utilisateur, assurez-vous que vous avez dj cr ou dfini les lments suivants : Magasin central Dfinitions d'application Stratgies de mot de passe Questions de scurit
Vous devez crer une configuration avant de dployer l'Agent Password Manager vers vos utilisateurs. Entre autres paramtres, une configuration utilisateur contient le serveur et les informations de licences requis pour le fonctionnement de l'Agent.
La section suivante dcrit les lments prendre en compte avant de crer votre configuration utilisateur.
97
Spcification des contrleurs de domaine pour les configurations utilisateur

Dans les environnements o vous utilisez un magasin central Active Directory avec plus d'un contrleur de domaine, vous pouvez slectionner le contrleur de domaine auquel vous souhaitez lier les configurations utilisateur lors des critures dans le magasin central. Ce schma de liaison permet de rduire les dlais de synchronisation engendrs par la rplication Active Directory. Ce type de dlais peut apparatre dans les environnements o les utilisateurs accdent simultanment Password Manager dans plusieurs sites Active Directory. Au cours du processus de dcouverte offert par la console, Password Manager peut dtecter tous les contrleurs de votre domaine. Vous pouvez lier les configurations utilisateur que vous avez cres un contrleur de domaine spcifique en slectionnant ce contrleur lors de la cration d'une configuration utilisateur. Par exemple, vous pouvez demander la liaison des utilisateurs un contrleur de domaine dans leur rseau local. Une fois que vous avez spcifi un contrleur de domaine, les utilisateurs y sont lis lors de leur prochaine connexion Password Manager. Par dfaut, les utilisateurs sont lis n'importe quel contrleur de domaine autorisant l'criture jusqu' ce que vous ayez slectionn un contrleur de domaine auquel ils doivent tre lis. Vous pouvez tout moment modifier le paramtre de contrleur de domaine en mettant jour la configuration utilisateur selon vos besoins sans pour autant mettre en pril l'intgrit des donnes des utilisateurs. Remarque : lorsque vous choisissez un contrleur de domaine de liaison, vrifiez que les ressources disponibles sur le contrleur de domaine peut accepter le trafic de communications gnr par les utilisateurs lorsqu'ils se connectent au contrleur de domaine en priode d'utilisation intense. Si le contrleur de domaine spcifi est indisponible ou hors connexion, l'Agent utilise les donnes utilisateur du magasin local (c'est--dire les donnes utilisateur situes sur l'ordinateur de l'utilisateur). Si le contrleur de domaine est hors connexion sur une longue priode (selon vos paramtres), vous pouvez slectionner la tche Modifier la configuration utilisateur dans la console et choisir un autre contrleur de domaine ou l'option Tout contrleur de domaine autorisant l'criture.
98
Guide de l'administrateur Citrix Password Manager Pour spcifier un contrleur de domaine pour une configuration utilisateur existante
1. 2. 3. 4. 5.
Cliquez sur Dmarrer > Programmes > Citrix > Consoles de gestion > Access Management Console. Dveloppez le nud Password Manager et Configurations utilisateur. Slectionnez une configuration utilisateur. Dans la zone Tches courantes, slectionnez Modifier la configuration utilisateur. L'assistant Modification de la configuration utilisateur s'affiche. Slectionnez Serveur de synchronisation dans les options dans la partie gauche de la page de l'assistant. Slectionnez un contrleur de domaine disponible ou Tout contrleur de domaine autorisant l'criture. Cliquez sur OK pour enregistrer vos modifications.
6. 7.
En fonction du paramtre slectionn, les utilisateurs de la configuration utilisateur spcifie sont lis au contrleur de domaine maintenant dsign ou autorisant l'criture lors de leur prochaine connexion Password Manager.
Cration d'une configuration utilisateur : l'assistant de configuration utilisateur

L'assistant de configuration utilisateur vous permet de contrler l'interaction de l'Agent avec Password Manager et les fonctions qui seront utilises dans votre environnement. L'assistant se compose des pages suivantes : Nom de la configuration utilisateur , page 99 Slection de l'dition du produit , page 100 Choix d'applications , page 100 Configuration de l'interaction de l'Agent , page 102 Configuration du systme de licences , page 109 Slection des mthodes de protection des donnes , page 110 Slection de la protection secondaire des donnes , page 113 Activer les fonctions autonomes de compte , page 114
99
Emplacement des modules du service , page 115 Fin de l'assistant de configuration utilisateur , page 115
Pour crer une configuration utilisateur
1. 2. 3.
Cliquez sur Dmarrer > Programmes > Citrix > Consoles de gestion > Access Management Console. Dveloppez le nud Password Manager et slectionnez Configurations utilisateur. Cliquez sur Ajouter une nouvelle configuration utilisateur dans la zone Tches courantes.
Nom de la configuration utilisateur

Attribuer un nom votre configuration utilisateur Pensez nommer la configuration utilisateur en fonction de la faon dont vous envisagez de regrouper vos utilisateurs et de les associer des applications spcifiques. Par exemple, Utilisateurs Marketing, Utilisateurs Dveloppement de logiciels, Utilisateurs France, etc. Spcifiez comment associer cette configuration utilisateur Vous disposez de deux options d'association des utilisateurs : une hirarchie de domaine Active Directory (unit organisationnelle ou utilisateur) ou un groupe Active Directory. Si ncessaire, vous pourrez associer la configuration utilisateur une autre hirarchie ou un autre groupe plus tard, en cliquant sur Dplacer la configuration utilisateur dans la zone Tches courantes. Remarque : le mode d'organisation de votre environnement Active Directory peut affecter le fonctionnement des configurations utilisateur. Si vous utilisez les deux (une hirarchie et des groupes Active Directory) et qu'un utilisateur se trouve dans les deux conteneurs, la configuration utilisateur associe la hirarchie a priorit et sera celle utilise. Ce schma est appel environnement mixte. En outre, si un utilisateur appartient deux groupes Active Directory et que chaque groupe est associ une configuration utilisateur, la configuration qui possde le plus haut niveau de priorit sera celle utilise. L'association de configurations utilisateur des groupes n'est prise en charge que dans des domaines Active Directory utilisant l'authentification Active Directory.
100
Slection de l'dition du produit

Slectionnez l'dition de produit Password Manager associer cette configuration utilisateur : Presentation Server Platinum, Password Manager Enterprise ou Password Manager Advanced. Remarque : la fonctionnalit et la maintenance des ditions Presentation Server Platinum et Password Manager Enterprise sont identiques. Si vous utilisez Citrix Presentation Server 4.5 Feature Pack 1, dition Platinum, slectionnez Presentation Server Platinum dans la liste.
Dfinition du serveur de synchronisation

Si vous utilisez un emplacement Active Directory, slectionnez un contrleur de domaine disponible ou slectionnez l'option Tout contrleur de domaine autorisant l'criture. Pour plus d'informations, veuillez consulter la section Spcification des contrleurs de domaine pour les configurations utilisateur , page 97.
Choix d'applications
Ajoutez les applications pour la configuration utilisateur. Lorsque vous cliquez sur le bouton Ajouter, une bote de dialogue apparat et affiche les dfinitions d'application prcdemment cres. Vous pouvez maintenant les ajouter pour crer un groupe d'application. Nom de votre groupe d'applications Pensez nommer le groupe d'applications en fonction de la manire dont vous prvoyez de regrouper vos applications. Par exemple, Applications Web, Logiciel Citrix, etc. Un groupe peut galement comporter une seule application. Slectionnez la stratgie de mot de passe. Slectionnez la stratgie Default, Domain ou une stratgie de mot de passe personnalise appliquer toutes les applications du groupe. Convertir ce groupe d'applications en groupe de partage de mot de passe Vous pouvez crer un groupe de partage de mot de passe pour automatiser et simplifier le processus de modification des mots de passe. En cas de modification du mot de passe d'une dfinition d'application appartenant un groupe de partage de mot de passe, l'Agent s'assure que la modification de mot de passe est prise en compte dans les informations d'identification stockes pour toutes les applications du groupe.
101
Les groupes de partage de mot de passe permettent l'Agent de grer plusieurs combinaisons d'informations d'identification pour des applications utilisant la mme autorit d'authentification. Par exemple, si vous disposez de deux applications utilisant la mme base de donnes Oracle pour l'authentification (telles qu'une application de gestion financire et une application de gestion des ressources humaines), vous pouvez les placer dans le mme groupe de partage de mot de passe. Si vos utilisateurs modifient leur mot de passe pour l'une de ces applications, ceux de l'autre application sont automatiquement mis jour. Important : pour optimiser les rsultats, assurez-vous que tous les mots de passe compris dans le groupe de partage sont grs par une autorit d'authentification commune. Par exemple, vous mettez en uvre un groupe de partage de mot de passe si les applications d'un groupe de partage utilisent une autorit d'authentification principale commune, telle qu'une base de donnes, o l'utilisateur soumet les mmes informations d'identification chaque application pour l'authentification la base de donnes. Vous ne regroupez pas des applications non lies, telles qu'un programme de messagerie, une application Web et un programme d'authentification principale sur votre rseau Intranet, o un utilisateur peut ventuellement soumettre trois ensembles diffrents d'informations d'identification mais utilise seulement par hasard les mmes informations d'identification pour les trois applications. Dans ce cas, si un utilisateur modifie des informations d'identification pour une application dans ce groupe de partage de mot de passe, elles ne seront pas obligatoirement valides pour les deux autres applications. Activer la dfinition initiale des informations d'identification Slectionnez cette option pour permettre aux utilisateurs d'ajouter des informations d'identification pour l'application lors de la premire utilisation de l'Agent Password Manager (c'est--dire, au cours du processus d'inscription et d'enregistrement). Cette fonctionnalit fait gagner du temps vos utilisateurs en leur permettant de configurer en une seule opration les informations d'identification pour les applications. Ne slectionnez pas cette fonction si vous souhaitez demander aux utilisateurs de fournir des informations d'identification pour chaque application lors du dmarrage de l'application concerne.
102
Remarque : si vous ajoutez des applications ultrieurement cette configuration utilisateur et que cette option est slectionne, les utilisateurs sont invits mmoriser les informations d'identification lors du dmarrage suivant de l'Agent sur son poste de travail ou sur la machine cliente.
Configuration de l'interaction de l'Agent

Cette page vous permet de dterminer l'exprience utilisateur pour tous les utilisateurs de l'Agent dans votre environnement. La section Paramtres avancs , page 104 dcrit les paramtres avancs de l'Agent. Autoriser les utilisateurs rvler tous les mots de passe dans le Gestionnaire d'informations d'identification Slectionnez cette option pour autoriser les utilisateurs voir dans la configuration de l'utilisateur le mot de passe associ aux applications. Remarque : pour permettre aux utilisateurs de consulter leurs mots de passe d'application, vous devez galement activer l'option de rvlation de mot de passe dans la stratgie de mot de passe slectionne dans la page Choix d'applications. Forcer une nouvelle authentification avant de rvler les mots de passe de l'utilisateur Slectionnez cette option pour obliger les utilisateurs saisir leurs informations d'identification Windows avant de leur permettre de consulter leurs mots de passe. Elle est active par dfaut. Vous pouvez slectionner ou dslectionner cette option si vous avez activ l'option Autoriser les utilisateurs rvler tous les mots de passe dans le Gestionnaire d'informations d'identification. Autoriser les utilisateurs placer l'agent en pause Slectionnez cette option pour que les utilisateurs puissent empcher l'Agent de soumettre leurs informations d'identification aux applications. Dans ce cas, pendant un certain temps, l'Agent ne dtecte pas les applications ou ne leur rpond pas et les utilisateurs doivent entrer leurs informations d'identification manuellement. L'Agent est mis en pause mais pas ferm.
103
Informer l'utilisateur lorsque la synchronisation de l'Agent choue Slectionnez cette option pour signaler les checs de synchronisation de l'Agent aux utilisateurs. Selon le rglage de l'option Permettre l'Agent de fonctionner mme s'il ne peut pas se reconnecter au magasin central de la page Paramtres avancs - Synchronisation, les utilisateurs peuvent tre en mesure de continuer de travailler aprs un chec de synchronisation.
Dtecter automatiquement les applications et inviter l'utilisateur stocker les informations didentification Slectionnez cette option pour inviter les utilisateurs soumettre leurs informations d'identification Password Manager pour les applications rcemment dtectes par l'Agent. Dslectionnez cette option pour dsactiver la capacit de l'Agent Password Manager dtecter des applications qui ne sont pas associes cette configuration utilisateur. Si cette option n'est pas active, les utilisateurs doivent soumettre manuellement les informations d'identification auprs de ces applications. Utilisez ce paramtre pour empcher les utilisateurs d'ajouter leur ensemble d'applications d'authentification unique des applications qui ne font actuellement pas partie de la configuration utilisateur qui leur est affecte. Si elle est dslectionne, cette option remplace l'option Autoriser les utilisateurs annuler le stockage des informations d'identification lorsqu'une nouvelle application est dtecte disponible dans la page Paramtres avancs - Interactions ct client. En outre, si vous envisagez d'utiliser l'habilitation, la dslection de cette option vitera que les utilisateurs ne soient invits entrer leurs informations d'identification. La section Automatisation de la saisie des informations d'identification l'aide de l'habilitation , page 159, dcrit le module d'habilitation.
Traiter automatiquement les formulaires dfinis lorsque l'Agent les dtecte Slectionnez cette pour permettre l'Agent de soumettre automatiquement les informations d'identification mmorises sans que l'utilisateur n'ait intervenir. Les champs d'informations d'identification dans l'application sont renseigns automatiquement si vous avez activ le paramtre L'Agent soumet ce formulaire automatiquement correspondant dans la dfinition d'application associe cette configuration utilisateur.
Dure sparant les requtes de nouvelle authentification de l'Agent Il s'agit de l'intervalle sparant les demandes d'authentification. Lorsque ce dlai expire, l'ordinateur de l'utilisateur est verrouill et les utilisateurs doivent de nouveau s'authentifier en tapant leurs informations d'identification Windows. La valeur minimale autorise est d'une minute.
104
Paramtres avancs
Cliquez sur le bouton Paramtres avancs dans la page Configuration de l'interaction de l'Agent pour accder ces paramtres.
Interface utilisateur de l'Agent Afficher le nom de l'ordinateur dans la bulle d'aide de l'icne de notification Cette option dtermine si le nom de l'ordinateur apparat dans la bulle d'aide de l'icne de notification (dans la zone de notification de la barre d'outil de l'utilisateur). Si cette option est slectionne, le nom de l'ordinateur est ajout dans la bulle d'aide de l'icne de notification. Cette option est utile dans les environnements Citrix Presentation Server ou les environnements mixtes (publis et les applications locales) pour permettre aux utilisateurs d'identifier l'Agent en cours d'excution. Active par dfaut. Cette option permet d'afficher l'icne de notification de Citrix Password Manager lorsque l'Agent est actif. Lorsque cette option est dslectionne, les utilisateurs ne peuvent pas dmarrer ou arrter l'Agent ou accder aux autres options contrles par l'utilisateur. Cette option spcifie le dlai (en secondes) de soumission d'informations d'identification de l'Agent aprs dtection d'une application autorise. Ce paramtre permet de s'assurer que l'application est prte recevoir les informations didentification. Pendant cet intervalle, l'Agent affiche un indicateur de progression, signalant le traitement en cours. Permet de dsigner les colonnes affiches dans la vue Dtails du Gestionnaire d'informations d'identification et leur ordre de prsentation. Il n'affecte pas les vues Liste ou Icnes dans le Gestionnaire d'informations d'identification.
Afficher l'icne de notification
Pause de l'Agent avant soumission des informations d'identification
Dfinir les colonnes par dfaut et leur ordre dans le Gestionnaire d'informations d'identification
Interaction ct client Effectuer une vrification de mot de passe lors de la dfinition initiale des informations d'identification Active par dfaut. Cette option permet d'obliger les utilisateurs entrer deux fois les mots de passe en guise de confirmation lors de la dfinition initiale des informations d'identification. Cette option permet d'activer la journalisation des erreurs et avertissements de l'agent dans le journal d'vnements de Windows sur l'ordinateur local. Cette option permet de supprimer le dossier de donnes (y compris les informations d'identification cryptes) et les cls de registre de l'utilisateur l'arrt de l'agent.
Journaliser les vnements (Observateur d'vnements Windows) Supprimer le dossier de donnes et les cls de registre de l'utilisateur l'arrt de l'agent
105
Autoriser les utilisateurs annuler le stockage des informations d'identification lorsqu'une nouvelle application est dtecte
Active par dfaut. Cette option permet d'activer l'invite demandant aux utilisateurs s'ils souhaitent stocker leurs informations d'identification chaque fois que l'Agent reconnat une application pour laquelle aucune information n'est stocke. Si cette option est dsactive, les utilisateurs peuvent stocker leurs informations d'identification dans le Gestionnaire d'informations d'identification tout de suite ou ultrieurement. Remarque : si le paramtre Dtecter automatiquement les applications et inviter l'utilisateur stocker les informations didentification est dsactiv, l'Agent n'invite pas les utilisateurs stocker leurs informations didentification. Une description de ce paramtre se trouve la section Configuration de l'interaction de l'Agent , page 102.
Limiter le nombre de jours de suivi des informations didentification supprimes
Active par dfaut, avec la valeur de 180 jours. Spcifie en jours la dure pendant laquelle le magasin central effectue le suivi des informations d'identification supprimes du Gestionnaire d'informations d'identification. Si elles sont stockes sur plusieurs machines clientes, l'Agent supprime les informations d'identification lors de la synchronisation avec le magasin central dans le dlai imparti. Si elles sont encore stockes sur la machine cliente lorsque le dlai a expir, elles sont restaures la synchronisation.
Synchronisation Autoriser les utilisateurs actualiser les rglages de l'Agent Active par dfaut. Cette option permet d'autoriser les utilisateurs rafrachir les paramtres dans le Gestionnaire d'informations d'identification. Lorsque ce paramtre est dsactiv, la commande Actualiser du Gestionnaire d'informations d'identification l'est aussi. Cette option ontrle la synchronisation des informations de configuration utilisateur ds que l'utilisateur lance une application reconnue ou le Gestionnaire d'informations d'identification. Remarque : une synchronisation frquente peut entraner une dgradation des performances sur le client et le serveur, ainsi qu'un accroissement du trafic rseau. Permettre l'Agent de fonctionner mme s'il ne peut pas se reconnecter au magasin central Active par dfaut. Cette option permet Password Manager de continuer fonctionner lorsqu'il ne peut pas se connecter au magasin central pour la synchronisation. Lorsque cette option est active, une instance de l'Agent disposant d'une licence continue fonctionner mme en l'absence de connexion. Si cette option est indisponible, l'Agent ne fonctionne qu'avec une connexion au magasin central.
Synchroniser chaque lancement d'applications reconnues ou du Gestionnaire d'informations d'identification par l'utilisateur
106
Dure entre les requtes de synchronisation automatique
Cette option spcifie l'intervalle en minutes sparant les tentatives de synchronisation automatique. La synchronisation automatique ne dpend pas de l'activit utilisateur et s'ajoute la synchronisation provoque par certains vnements. Cette option contrle l'accs des clients distants aux informations d'identification de l'utilisateur par le biais de ce module. Cette option est utilise par la fonction Association de comptes, qui autorise un utilisateur de l'agent se connecter n'importe quelle application l'aide d'au moins un compte Windows.
Permettre l'accs aux informations d'identification par le module de synchronisation des informations d'identification
Association de comptes Reportez-vous la section Synchronisation des informations d'identification l'aide de la fonction Association de comptes , page 115 pour configurer cette fonction. Veuillez galement consulter la section Utilisation de l'association de comptes avec plusieurs magasins centraux et informations d'identification de compte utilisateur dans une entreprise multidomaine dans le Guide d'installation Citrix Password Manager.
107
Prise en charge d'application Dtecter les dfinitions d'application sur le client Active par dfaut. Cette option permet l'Agent de dtecter les dfinitions d'applications ct client en slectionnant l'une des options suivantes. Toutes les applications : cette option dtecte les applications (et y rpond) dfinies par un administrateur ou un utilisateur (dans le Gestionnaire d'informations d'identification) et dfinies dans les paramtres par dfaut lors de l'installation. Applications incluses dans l'Agent Password Manager uniquement : cette option dtecte les applications (et y rpond) dfinies par un administrateur et dfinies dans les paramtres par dfaut lors de l'installation. Les utilisateurs ne peuvent pas crer leurs propres dfinitions d'application partir du Gestionnaire d'informations d'identification. Applications dfinies par les utilisateurs dans le Gestionnaire uniquement : cette option dtecte les applications (et y rpond) dfinies par un administrateur et un utilisateur dans le Gestionnaire d'informations d'identification. L'agent ne reconnat pas celles dfinies dans les paramtres par dfaut l'installation. Activer la prise en charge des mulateurs de terminal Cette option permet d'activer la prise en charge des mulateurs de terminal. L'Agent ncessite la prise en charge d'mulateurs de terminal pour dtecter les applications hte ou mainframe. Lorsque cette option est slectionne, l'Agent excute un processus qui dtecte les mulateurs de terminal. Si vous le souhaitez, vous pouvez slectionner, en millisecondes, la Frquence de surveillance par l'Agent des modifications dans l'mulateur. Cette option spcifie le dlai respecter avant que l'Agent vrifie la prsence de changements dans l'affichage de l'mulateur d'hte. Des valeurs plus faibles peuvent requrir plus de temps d'UC sur le client et augmentent le trafic rseau. Si vous ne slectionnez pas ce paramtre, l'Agent utilise une valeur par dfaut de 3 000 millisecondes.
108
Paramtres d'application Web
Cette option spcifie le nombre minimum de niveaux de nom de domaine de correspondance pour les applications Web autorises. Par exemple, une valeur infrieure ou gale 2 correspond *.domaine1.domainedepremierniveau; une valeur de 3 *.domaine2.domaine1.domainedepremierniveau. Les niveaux de nom de domaine suprieurs au nombre spcifi ne sont pas pris en compte. Pour contrler de faon stricte la correspondance d'adresse URL pour les applications Web, il est possible de dfinir une recherche plus contraignante dans vos dfinitions d'application.
Bureau dynamique (voir aussi Paramtres de configuration utilisateur du Bureau dynamique , page 190) Chemin d'accs du fichier de paramtres de scripts de session Cette option spcifie le chemin d'accs du fichier de paramtres de session dfinissant les scripts excuter au dbut et la fin d'une session de Bureau dynamique. Le script de dmarrage permet de dmarrer des applications. Le script d'arrt permet d'effectuer des tches de nettoyage telles que la suppression de fichiers. Le fichier utilis doit tre accessible par tous les utilisateurs. Cette option spcifie en minutes la dure pendant laquelle une session de Bureau dynamique reste active lorsque le poste de travail est inactif. Si ce dlai est dpass, le bureau est verrouill. La valeur par dfaut est 10 minutes. Cette option spcifie la dure pendant laquelle une session de Bureau dynamique est excute alors que le bureau est verrouill. Si ce dlai est dpass, il est mis fin la session et une nouvelle session s'ouvre lorsque le bureau est dverrouill. La valeur par dfaut est cinq minutes. Active par dfaut. Cette option permet d'activer une fentre identifiant la session de Bureau dynamique. Lorsque cette option est slectionne, une fentre transparente (qu'il est possible de dplacer) est affiche sur le bureau pendant les sessions de Bureau dynamique. Cette fentre indique le nom de l'utilisateur et le temps coul dans la session active. Cette option spcifie le chemin du fichier graphique affich dans l'Indicateur de session de Bureau dynamique. Le fichier utilis doit tre accessible tous les utilisateurs et enregistr au format bitmap (.bmp) de Windows.
Dlai d'expiration du verrouillage
Dlai d'expiration de session
Activer l'indicateur de session
Graphique de l'indicateur de session
109
Configuration du systme de licences

Slectionnez maintenant un serveur et un modle de licences. Pour plus d'informations sur le systme de licences, reportez-vous au Guide de dmarrage du systme de licences Citrix, disponible, ainsi que d'autres informations concenant le systme de licences Citrix, sur le Centre de connaissances (Knowledge Center) de Citrix (http://support.citrix.com/licensing/). Important : si vous modifiez ultrieurement la configuration utilisateur et que vous modifiez les ditions des produits, votre modle de licences change. Par exemple, passer de l'dition Password Manager Enterprise l'dition Password Manager Advanced entrane le changement de votre modle de licences du modle Utilisateurs simultans Utilisateur dsign. Nom du serveur de licences Tapez le nom de domaine complet du serveur dans ce champ. Numro de port Le numro de port par dfaut est 27000, vous pouvez le slectionner en activant la case cocher Utiliser une valeur par dfaut. Licences d'utilisateur dsign Cette option est active si vous avez achet ce type de licence et slectionn Password Manager Advanced pour l'dition du produit. Vous pouvez galement choisir cette option si vous avez slectionn les ditions Presentation Server Platinum ou Password Manager Enterprise. Avec ce type de licences, Password Manager ne peut tre utilis que par des utilisateurs spcifiques, dsigns. Dure du mode dconnect Spcifiez la dure d'affectation de la licence l'utilisateur dsign avant son expiration et la reconnexion de l'Agent au serveur de licences. La licence est consomme pour la dure spcifie mme si l'ordinateur de l'utilisateur s'arrte. La dure par dfaut est de 21 jours. Reportez-vous galement au paramtre Synchronisation, Permettre l'Agent de fonctionner mme s'il ne peut pas se reconnecter au magasin central, dcrit dans la section Paramtres avancs , page 104.
110
Licences Utilisateurs simultans (ditions Enterprise et Platinum uniquement) Cette option est active si vous avez slectionn les ditions Presentation Server Platinum ou Password Manager Enterprise. Elle est dsactive si vous avez slectionn l'dition Password Manager Advanced. Remarque : ce modle de licences est activ si vous avez effectu une mise niveau partir de Password Manager version 4.1. Citrix Systems considre que cette version prcdente est quivalente l'dition Enterprise de Password Manager 4.6 pour ce qui est des licences lors de la mise niveau. Ce type de licence permet de partager une seule licence Password Manager entre diffrents utilisateurs (mais pas en mme temps ; ce type de licence est parfois aussi appel licence flottante). Autoriser l'utilisation de la licence en mode dconnect Slectionnez cette option pour spcifier la dure pendant laquelle l'utilisateur peut tre dconnect (hors connexion) avant l'expiration de la licence et son retour dans l'ensemble de licences disponibles. Si elle est active, la licence est consomme pour la dure spcifie, mme si l'ordinateur de l'utilisateur s'arrte. La dure par dfaut est de 21 jours, mais elle peut aller de 2 jours 365. Si cette option n'est pas slectionne, la licence expire et retourne dans l'ensemble aprs 1 heure et 30 minutes. Cette dure n'est pas modifiable. Reportez-vous galement au paramtre de Synchronisation Permettre l'Agent de fonctionner mme s'il ne peut pas se reconnecter au magasin central dcrit dans la section Paramtres avancs , page 104.
Slection des mthodes de protection des donnes

Cette page vous permet de slectionner les mthodes de protection des informations d'identification des utilisateurs en fonction des diffrentes mthodes d'authentification autorises pour vos utilisateurs. Dans certains environnements, les utilisateurs peuvent appliquer plus d'une mthode. Veuillez consulter la section Utilisation ou non de la vrification d'identit et Planification de vos configurations utilisateur dans le Guide d'installation Citrix Password Manager, ainsi que Permutation entre plusieurs mthodes d'authentification principale , page 133.
111
Remarque : si vous avez mis niveau votre magasin central Password Manager de la version 4.1 la version 4.6, l'option Utiliser la mme protection des donnes qu'avec Password Manager 4.1 et versions prcdentes est slectionne automatiquement.
Important : pour utiliser les cartes puce dans un environnement Windows Vista, vous devez activer l'option Microsoft Data Protection API (DPAPI) dans vos configurations utilisateur. Devez-vous rglementer l'accs des administrateurs aux donnes utilisateurs ? Slectionnez Oui si vous souhaitez interdire l'accs des administrateurs aux informations d'identification des utilisateurs. Oui est le rglage par dfaut sur cette page. Avec cette configuration, l'administrateur de comptes ou autres ne peut pas accder aux mots de passe ou aux donnes de l'utilisateur. Ce paramtre permet d'empcher un administrateur de prendre l'identit d'un utilisateur. L'administrateur ne peut pas se connecter l'agent sous l'identit de l'utilisateur avec le paramtre par dfaut et ventuellement accder aux donnes situes dans le magasin central local de l'utilisateur. Si vous slectionnez Oui, les options Microsoft Data Protection API (y compris l'option DPAPI avec profil dans le menu droulant de sources de cl sur carte puce) de cette page et l'option Ne pas interroger les utilisateurs, restaurer automatiquement la protection principale des donnes sur le rseau de la page Slection de la protection secondaire des donnes sont dsactives. Slectionnez Non si vous souhaitez autoriser l'utilisation de toutes les fonctions d'authentification de cette page et des mthode de protection secondaire de donnes la page suivante de l'assistant (dcrite la section Slection de la protection secondaire des donnes , page 113). Pour amliorer le processus d'ouverture de session pour les utilisateurs, veuillez slectionner toutes les mthodes de protection des donnes qui s'appliquent. Cette slection vous permet d'utiliser les diffrentes fonctions d'authentification principale comprises dans cette version de Password Manager et de contrler le comportement de l'Agent. Ces options sont notamment :
112
Donnes d'authentification des utilisateurs
Un secret de l'utilisateur permet d'accder aux donnes de l'utilisateur et de les protger. Le secret d'authentification peut tre un mot de passe de l'utilisateur ou un priphrique de saisie de code confidentiel install dans votre environnement. Pour amliorer encore la protection des donnes des utilisateurs, vous pouvez galement slectionner les options suivantes : Permettre le code secret de carte puce Cette option vous permet d'utiliser le code secret d'une carte puce en guise de secret de l'utilisateur pour protger les donnes. Elle n'est recommande que si votre entreprise ou votre environnement possde une stratgie forte en matire de codes secrets. Autoriser la protection des donnes l'aide d'un mot de passe vide Ne slectionnez cette option que si les besoins de scurit de votre domaine sont faibles et admettent des mots de passe de domaine vides. Si vous le faites et que l'Agent dtecte que le mot de passe de l'utilisateur est vide, un secret de l'utilisateur est calcul partir de l'ID de l'utilisateur. Si vous ne slectionnez pas cette option, l'Agent ne calcule pas de secret de l'utilisateur ou n'assure pas de protection des donnes l'aide du mot de passe vide. Si vous slectionnez Donnes d'authentification des utilisateurs mais pas Permettre le code secret de carte puce ni Autoriser la protection des donnes l'aide d'un mot de passe vide, un message d'erreur s'affiche lorsque l'utilisateur tente d'ouvrir une session pour procder l'inscription et l'enregistrement initiaux et l'Agent est dsactiv.
API de protection des donnes de Microsoft
Slectionnez cette option si vous utilisez des profils itinrants exploitant un protocole d'authentification de rseau Kerberos pour les utilisateurs. Cette option ne fonctionne que si des profils itinrants sont prsents. Par exemple, slectionnez Donnes d'authentification des utilisateurs ainsi que cette option si vos utilisateurs se servent de mots de passe pour accder leurs ordinateurs et d'un protocole d'authentification de rseau Kerberos pour accder une batterie de serveurs Citrix Presentation Server. Cette mthode admet galement l'utilisation d'informations d'identification de l'utilisateur et de cartes puce pour l'ouverture de session.
Certificat de carte puce
Cette option permet d'utiliser des cartes cryptographiques autorisant le cryptage et le dcryptage des donnes d'authentification. Citrix vous conseille de slectionner cette option, dans la mesure du possible, si vous utilisez Bureau dynamique dans votre environnement.
113
Utiliser la mme protection des donnes qu'avec Password Manager 4.1 et versions prcdentes Slectionnez cette option et l'une des mthodes suivantes dans le menu droulant Source de cl de carte puce si vous souhaitez autoriser les l'utilisation d'une mthode d'authentification principale unique et/ou si vous utilisez la version 4.0 ou 4.1 de l'Agent. En outre, si vous avez mis niveau votre magasin central Password Manager de la version 4.1 vers la version 4.6, cette option est slectionne automatiquement: code secret en tant que mot de passe ; protection des donnes par carte puce ; DPAPI avec profil (non disponible si l'option Non est slectionne pour la question Devez-vous rglementer l'accs des administrateurs de comptes aux donnes utilisateurs ?
Slection de la protection secondaire des donnes

Lorsque les utilisateurs modifient leur authentification principale (par exemple, en changeant de mot de passe de domaine ou en remplaant une carte puce), cette page vous permet de spcifier les options de protection secondaire des donnes d'informations d'identification appliquer avant le dverrouillage des informations d'identification des utilisateurs. Grce elle, vous pouvez galement demander vos utilisateurs de confirmer leur identit pour amliorer la scurit. En outre, elle vous permet de spcifier la restauration automatique des informations d'identification en mettant en uvre le module de gestion des cls. Demande de vrification d'identit des utilisateurs Choisissez ce bouton radio pour slectionner l'une des mthodes de rauthentification suivantes :
Saisie du mot de passe prcdent Si vous slectionnez cette option, n'oubliez pas que les utilisateurs qui oublient leur mot de passe prcdent seront exclus du systme et devront renregistrer leurs informations d'identification des applications. Ne slectionnez pas cette option si vos utilisateurs se servent de cartes puce pour leur authentification principale.
114
Slection d'une mthode : mot de passe prcdent ou questions de scurit
Grce cette option, les utilisateurs reoivent une invite en fonction de la mthode de vrification qu'ils ont choisie. Elle comporte cette sous-option : Utiliser la question de vrification d'identit comme dans les versions prcdentes de Password Manager. Slectionnez cette option en cas de mise niveau de la version 4.0 ou 4.1 de Password Manager et de l'activation de l'authentification avec questions ou des questions de vrification d'identit. Les versions 4.0 et 4.1 de l'Agent n'ont pas besoin d'accder au service dans ce cas.
Aucune invite aux utilisateurs ; restauration automatique de la protection principale des donnes sur le rseau Slectionnez cette option si vous mettez en uvre le module de gestion des cls pour contourner la vrification d'identit et dverrouiller automatiquement les informations d'identification des utilisateurs. Cette mthode est moins sre que les autres mthodes de protection de donnes mais elle est plus pratique pour vos utilisateurs, dans la mesure o les informations d'identification sont rcupres automatiquement.
Activer les fonctions autonomes de compte

Les options disponibles sur cette page ncessitent l'installation du module de gestion des cls. Cette fonctionnalit ajoute un bouton Fonctions autonomes de compte aux botes de dialogue d'ouverture de session Windows et Dverrouillage de l'ordinateur et permet de rduire les cots relatifs aux interventions des administrateurs ou de l'assistance technique dans votre entreprise. Les options de cette page permettent aux utilisateurs qui ont oubli leur mot de passe de rinitialiser leur mot de passe de domaine principal et de dverrouiller leur compte de domaine sans faire appel l'assistance technique. Les options sont les suivantes : Autoriser les utilisateurs rinitialiser leur mot de passe de domaine principal Autoriser les utilisateurs dverrouiller leur compte de domaine
115
Emplacement des modules du service

Ces pages imposent la spcification de l'adresse URL et du port de service de tous les modules de service installs. Veuillez consulter les sections Slection des fonctionnalits optionnelles du service Password Manager et Installation et configuration du service Password Manager du Guide d'installation Citrix Password Manager. 1. 2. Slectionnez les options associes chaque module de service. Spcifiez le nom de domaine complet de l'ordinateur hbergeant le service et son numro de port (le numro de port par dfaut est 443). Consultez galement la section Numro de port du service Password Manager du Guide d'installation Citrix Password Manager.
Fin de l'assistant de configuration utilisateur

1. 2. Contrlez les paramtres sur la page Confirmation des rglages. Vous pouvez cliquer sur Retour pour modifier tout rglage incorrect. Cliquez sur le bouton Terminer de la page Confirmation des rglages pour crer la configuration utilisateur.
Synchronisation des informations d'identification l'aide de la fonction Association de comptes

Comme le dcrit la section Utilisation de l'association de comptes avec plusieurs magasins centraux et informations d'identification de compte utilisateur dans une entreprise multidomaine du Guide d'installation Citrix Password Manager, dans les entreprises pouvant maintenir plusieurs domaines Windows, les utilisateurs peuvent possder plus d'un compte Windows. Password Manager comprend un service dnomm Synchronisation des informations d'identification pour autoriser l'Association de comptes. La fonction Association de comptes permet un Agent d'un utilisateur de se connecter n'importe quelle application l'aide d'un compte Windows ou plus. Dans la mesure o Password Manager lie gnralement les informations d'identification d'utilisateur un seul compte, ces informations ne sont pas automatiquement synchronises entre les diffrents comptes que peut possder un utilisateur. Toutefois, les administrateurs peuvent configurer la fonction Association de comptes de manire synchroniser les informations d'identification des utilisateurs. Les utilisateurs bnficiant de la fonction Association de comptes peuvent accder toutes les applications partir de n'importe lequel de leurs comptes dans leur environnement Password Manager. Lors de la modification, de l'ajout ou de la suppression d'informations d'identification dans un compte, elles sont automatiquement synchronises avec chacun des comptes associs l'utilisateur.
116
Sans la fonction Association de comptes, une personne possdant plusieurs comptes Windows doit modifier manuellement ses informations de connexion sparment dans chaque compte Windows.
Workflow de la configuration de la fonction Association de comptes

Pour configurer la fonction Association de comptes, les administrateurs du domaine Windows de l'entreprise doivent procder aux oprations suivantes, selon cet ordre :
Tche 1. Choisir un domaine dans lequel installer et excuter le module de synchronisation des informations d'identification, qui fait partie du service Password Manager. Reportez-vous la section Choix et configuration d'un domaine pour l'hbergement du module de synchronisation des informations d'identification , page 116 Pour configurer les fonctions de synchronisation des informations d'identification dans le domaine hte , page 117 Certificat d'authentification serveur requis dans le Guide d'installation Citrix Password Manager. Pour synchroniser manuellement les dfinitions d'application entre les domaines , page 118 Pour configurer les paramtres utilisateur de l'Association de compte dans les autres domaines , page 118
2. Dployer le certificat racine de confiance sur tous les ordinateurs de l'entreprise qui doivent utiliser la fonction Association de comptes. 3. Synchroniser manuellement les dfinitions d'application entre les domaines. 4. Configurer les paramtres utilisateur de l'Association de compte dans les autres domaines, pour la connexion au module de synchronisation des informations d'identification. 5. Obliger chaque utilisateur activer la fonction Association de comptes dans l'Agent.
Configuration de la fonction Association de comptes dans l'Agent , page 120 Pour configurer la fonction Association de comptes dans l'Agent , page 120
Choix et configuration d'un domaine pour l'hbergement du module de synchronisation des informations d'identification
Choisissez le domaine qui contient les comptes de tous les utilisateurs de votre entreprise qui vont utiliser la fonction Association de comptes. Le module de synchronisation des informations d'identification fait office de concentrateur pour toutes les informations d'identification au sein de l'entreprise. Installez ce module dans ce domaine de la mme manire qu'un autre service Password Manager. Veuillez consulter la section Installation et configuration du Service Password Manager dans le Guide d'installation Citrix Password Manager.
117
Important : contactez votre administrateur rseau pour dcider s'il est ncessaire d'apporter des modifications au pare-feu et si ces modifications sont compatibles avec les stratgies de votre entreprise. Une fois le module de synchronisation des informations d'identification install, crez ou modifiez les configurations utilisateur partir de la Console Password Manager de manire autoriser les comptes des utilisateurs utiliser le module de synchronisation, comme suit.
Pour configurer les fonctions de synchronisation des informations d'identification dans le domaine hte
Remarque : ouvrez la Console Access Suite partir du domaine hbergeant le module de synchronisation des informations d'identification. Certains domaines peuvent accder plusieurs magasins centraux. Assurez-vous que la console que vous utilisez est configure pour une connexion au mme magasin central que le module de synchronisation des informations d'identification. 1. 2. 3. Cliquez sur Dmarrer > Programmes > Citrix > Consoles de gestion > Access Management Console. Dveloppez le nud Password Manager et slectionnez Configurations utilisateur. Slectionnez une configuration utilisateur existante ou crez-en une nouvelle. Si vous crez une nouvelle configuration utilisateur, vous pouvez accder aux options suivantes l'aide du bouton Paramtres avancs de la page Configuration de l'interaction de l'Agent. Si vous modifiez une configuration utilisateur existante, les options suivantes sont disponibles dans la page de proprits Modification de la configuration utilisateur.
4.
Cliquez sur Synchronisation et activez la case cocher Autoriser l'accs des informations d'identification de l'utilisateur par le biais du module de synchronisation des informations d'identification. Cliquez sur OK et rptez ces oprations pour chaque configuration utilisateur (nouvelle et existante).
5.
118
Pour synchroniser manuellement les dfinitions d'application entre les domaines

Remarque : les comptes peuvent galement tre synchroniss entre diffrentes associations de configurations utilisateur. Par exemple, une configuration utilisateur peut tre associe une hirarchie Active Directory (unit organisationnelle ou utilisateur) dans un domaine et un groupe Active Directory dans un autre domaine. Tant que les noms de dfinition d'application sont identiques dans chaque configuration utilisateur, la fonction Association de comptes est en mesure de synchroniser les informations d'identification. Les informations d'identification ne sont partages que pour les applications dfinies par l'administrateur Password Manager. Les administrateurs doivent s'assurer que chaque dfinition d'application de chaque domaine porte le mme nom dans chaque magasin central. Par exemple, si la dfinition d'application de SAP est nomme Connexion SAP sur un domaine, SAP sur un autre et Lancement SAP sur un troisime, les informations d'identification pour ces applications ne seront pas synchronises sur les comptes de ces domaines. Lorsque vous crez une nouvelle dfinition d'application sur des domaines, il est fortement recommand d'excuter les tches Exporter les informations d'administration et Importer les informations d'administration dans la console. Elles vous permettront d'exporter les dfinitions d'application nouvellement cres importer dans chaque magasin central. Vous devez galement renommer manuellement les applications existantes, dj dfinies.
Pour configurer les paramtres utilisateur de l'Association de compte dans les autres domaines
Remarque : installez et ouvrez la console partir d'un poste de travail dans chaque domaine qui n'hberge pas le module de synchronisation des informations d'identification. Certains domaines possdent plusieurs magasins centraux. N'oubliez donc pas de configurer chaque magasin central. Tous les administrateurs de domaines doivent autoriser les utilisateurs associer leurs comptes leur compte de domaine hte. Modifiez en consquence la section Association de comptes des configurations utilisateur voulues dans la console. 1. Cliquez sur Dmarrer > Programmes > Citrix > Consoles de gestion > Access Management Console.
119
2. 3.
Dveloppez le nud Password Manager et slectionnez Configurations utilisateur. Slectionnez une configuration utilisateur existante ou crez-en une nouvelle. Si vous crez une nouvelle configuration utilisateur, vous pouvez accder aux options suivantes l'aide du bouton Paramtres avancs de la page Configuration de l'interaction de l'Agent. Si vous modifiez une configuration utilisateur existante, les options suivantes sont disponibles dans la page de proprits Modification de la configuration utilisateur.
4. 5.
Cliquez sur Association de comptes. Slectionnez Autoriser les utilisateurs associer des comptes. Les options suivantes ne sont pas obligatoires, mais elles contribuent amliorer l'exprience des utilisateurs.
6.
Slectionnez Fournir une adresse du service par dfaut et tapez l'adresse du service Password Manager et le port du domaine hbergeant le module de synchronisation des informations d'identification. Dslectionnez Autoriser les utilisateurs modifier l'adresse du service. Slectionnez Fournir le domaine par dfaut et tapez le nom du domaine hbergeant le module de synchronisation des informations d'identification. Remarque : si vous n'indiquez pas de domaine, les utilisateurs pourraient avoir des incertitudes quant aux informations d'identification de compte de domaine ils doivent fournir.
7. 8.
9. 10. 11.
Dslectionnez Autoriser les utilisateurs modifier le domaine. En fonction des stratgies de scurit de votre entreprise, slectionnez Permettre aux utilisateurs de garder le mot de passe en mmoire. Cliquez sur OK et rptez l'opration pour chaque configuration utilisateur.
Une fois que vous avez termin les oprations dcrites ici, les utilisateurs sont mme d'associer leurs comptes Windows.
120
Configuration de la fonction Association de comptes dans l'Agent

Lors de leur connexion au domaine hbergeant le module de synchronisation des informations d'identification, les utilisateurs n'ont pas besoin d'intervenir pour que la fonction Association de comptes soit active. Ces comptes tiennent le rle de magasin central des informations d'identification des utilisateurs. Lorsqu'ils se connectent d'autres domaines, une option intitule Association de comptes apparat maintenant sous le menu Outils de l'Agent. Les utilisateurs doivent slectionner cette option pour configurer la fonction Association de comptes.
Pour configurer la fonction Association de comptes dans l'Agent
1.
Procdez comme suit : Dans l'icne de la zone de notification de l'Agent Password Manager, slectionnez Outils > Association de comptes. Dans le Gestionnaire d'informations d'identification, slectionnez Outils > Association de comptes.
La bote de dialogue Association de comptes s'affiche. 2. Slectionnez Activer l'association de comptes. Remarque : si vous n'avez pas indiqu l'adresse du service qui hberge le module de synchronisation des informations d'identification, les utilisateurs doivent l'indiquer dans la zone de texte. Si ce champ n'est pas disponible, cela signifie que vous avez dj saisi cette adresse de service et que les utilisateurs ne peuvent pas entrer de donnes dans ce champ. Veuillez consulter la section Pour configurer les paramtres utilisateur de l'Association de compte dans les autres domaines , page 118. 3. Cliquez sur OK. La bote de dialogue Authentification pour association de comptes s'affiche. 4. Tapez votre nom d'utilisateur et votre mot de passe pour votre compte Windows associ. Si le domaine d'installation du module de synchronisation des informations d'identification ne s'affiche pas, saisissez-le dans le champ Domaine.
121
Remarque : si vous avez spcifi le nom de domaine, les utilisateurs ne peuvent pas entrer de texte dans ce champ. Veuillez consulter la section Pour configurer les paramtres utilisateur de l'Association de compte dans les autres domaines , page 118. 5. Cliquez sur OK. L'association de comptes est maintenant configure. Les informations d'identification sont synchronises en mme temps que l'Agent.
Rinitialisation et suppression des donnes utilisateur

Password Manager propose deux tches de configuration utilisateur pour vous aider grer les modifications survenant dans votre environnement et au sein de votre entreprise : Rinitialisation des donnes utilisateur , page 121 Supprimer les informations utilisateur du magasin central , page 123
Rinitialisation des donnes utilisateur

Remarque : l'opration Rinitialisation des donnes utilisateur ncessite pralablement l'installation et la configuration du module d'habilitation. Rinitialisation des donnes utilisateur vous permet de rinitialiser les informations des utilisateurs dans votre magasin central, ce qui retourne l'utilisateur slectionn son tat initial. Dans les magasins centraux Active Directory, les donnes des utilisateurs (informations d'identification, questions et rponse de scurit, etc.) sont alors supprimes et l'utilisateur est signal comme possdant des donnes rinitialises. Dans les magasins centraux de point de partage rseau NTFS et Novell, les dossiers des utilisateur sont conservs, toutes les donnes utilisateur sont supprimes et l'utilisateur est signal comme possdant des donnes rinitialises.
122
Vous pouvez utiliser la fonction Rinitialisation des donnes utilisateur si des utilisateurs oublient les rponses leurs questions de scurit ou pour rinitialiser leurs informations d'identification en cas d'altration des donnes de l'utilisateur. Lorsque l'utilisateur se connecte ultrieurement votre magasin central l'aide de l'Agent, toutes les donnes du magasin local d'informations d'identification de l'utilisateur sont supprimes et il doit de nouveau s'enregistrer, comme pour la dfinition initiale des informations d'identification. Cette opration est galement utile lorsqu'un utilisateur ne peut pas se connecter l'Agent. Important : l'historique du mot de passe est enregistr utilisateur par utilisateur. Si vous rinitialisez les donnes d'un utilisateur, son historique de mot de passe est supprim et l'historique ne peut pas tre appliqu pour les mots de passe supprims.
Pour rinitialiser les donnes utilisateur
1. 2. 3.
Cliquez sur Dmarrer > Programmes > Citrix > Consoles de gestion > Access Management Console. Dveloppez le nud Password Manager et slectionnez Configurations utilisateur. Cliquez sur Rinitialisation des donnes utilisateur dans la zone Autres tches. La bote de dialogue Slectionner Utilisateur s'affiche. Tapez un nom d'utilisateur dans la zone de texte et cliquez sur Vrifier les noms. Si vous obtenez un rsultat, cliquez sur OK. Slectionnez un utilisateur dans votre magasin central et cliquez sur Rinitialiser. Cliquez sur OK. Un message d'avertissement s'affiche. Vrifiez que tous les utilisateurs susceptibles d'excuter Password Manager en tant qu'application hberge par Citrix Presentation Server sont dconnects et cliquez sur Continuer pour signaler les donnes de l'utilisateur rinitialiser. S'ils n'ont pas ferm leur session, cliquez sur Annuler, rinitialisez leur session ICA et revenez cette procdure.
4. 5. 6. 7. 8.
123
9.
Cliquez sur OK dans la bote de dialogue Rinitialisation des donnes utilisateur une fois les informations des utilisateurs vrifies et rinitialises. Les donnes des utilisateurs sont rinitialises lors de leur prochaine connexion Password Manager l'aide de l'Agent.
Supprimer les informations utilisateur du magasin central

L'opration Supprimer les informations utilisateur du magasin central permet d'effacer toutes les donnes et les informations utilisateur du magasin central. Vous pouvez l'utiliser lorsqu'un utilisateur quitte dfinitivement votre entreprise. Le magasin local d'informations d'identification de l'ordinateur de l'utilisateur reste intact jusqu' sa suppression par un administrateur ou un oprateur. Remarque : en cas d'excution de l'Agent par l'utilisateur dsormais supprim, l'Agent synchronise son magasin local d'informations d'identification avec le magasin central, sauf si le magasin local d'informations est expressment supprim par un administrateur ou un oprateur. Pour viter ce genre de situation, supprimez cet utilisateur de votre entreprise (par exemple, dsactivez ou supprimez l'utilisateur dans Active Directory).
Pour supprimer les donnes utilisateur
1. 2. 3.
Cliquez sur Dmarrer > Programmes > Citrix > Consoles de gestion > Access Management Console. Dveloppez le nud Password Manager et slectionnez Configurations utilisateur. Cliquez sur Supprimer les donnes utilisateur du magasin central dans la zone Autres tches. La bote de dialogue Slectionner Utilisateur s'affiche. Tapez un nom d'utilisateur dans la zone de texte et cliquez sur Vrifier les noms. Si vous obtenez un rsultat, cliquez sur OK. Cliquez sur Oui pour confirmer. Un message de confirmation s'affiche. Cliquez sur OK. L'utilisateur est maintenant supprim du magasin central.
4. 5.
6.
124
Invite des utilisateurs renregistrer leurs questions de scurit

Vous pouvez demander un utilisateur ou tous les utilisateurs d'enregistrer de nouveau les questions de scurit. Vous utilisez les fonctions suivantes des fins de scurit ou en cas d'altration de donnes d'utilisateurs: Effacer les questions de scurit d'un utilisateur Slectionnez cette option pour supprimer les donnes de questions de scurit d'un utilisateur. L'utilisateur ne bnficiera pas de l'authentification par question tant qu'il ne se sera pas renregistr. Inviter nouveau tous les utilisateurs enregistrer leurs questions de scurit Slectionnez cette option pour demander tous les utilisateurs de renregistrer leurs questions et leurs rponses de scurit lorsqu'ils dmarrent l'Agent. Les donnes de questions de scurit sont conserves et toutes les fonctions ncessitant une authentification par questions restent disponibles avec leurs rponses en cours. Les utilisateurs reoivent des invites jusqu' ce qu'ils se renregistrent. Remarque : si des utilisateurs choisissent de ne pas renregistrer leurs rponses en annulant la bote de dialogue Enregistrement Citrix Password Manager l'invite, ils ne pourront pas utiliser les fonctions utilisant l'authentification par questions tel que les fonctions autonomes de compte jusqu' ce qu'il choisissent de renregistrer leurs rponses.
Pour inviter les utilisateurs se renregistrer
1. 2. 3.
Cliquez sur Dmarrer > Programmes > Citrix > Consoles de gestion > Access Management Console. Dveloppez le nud Password Manager et slectionnez Configurations utilisateur. Cliquez sur l'une des options suivantes : Effacer les questions de scurit d'un utilisateur La bote de dialogue Slectionner Utilisateur s'affiche. Tapez ou slectionnez un utilisateur. Confirmez que vous souhaitez rvoquer l'enregistrement des questions de scurit de cet utilisateur.
125
Inviter nouveau tous les utilisateurs enregistrer leurs questions de scurit Cliquez sur Oui pour inviter tous les utilisateurs, puis sur OK.
Affectation d'une priorit aux configurations utilisateur

Lorsque vous crez ou modifiez une configuration utilisateur, vous pouvez associer des utilisateurs de groupes Active Directory des configurations utilisateur. Il est possible d'associer un utilisateur d'un groupe plus d'une configuration utilisateur. Dans ce cas, vous pouvez dfinir la priorit de la configuration utilisateur. Important : le mode d'organisation de votre environnement Password Manager peut affecter le fonctionnement des configurations utilisateur. En d'autres termes, vous associez des configurations utilisateur de votre environnement Password Manager une hirarchie Active Directory (unit d'organisation ou utilisateurs) ou un groupe Active Directory. Si vous utilisez les deux (hirarchie et groupe) et qu'un utilisateur se trouve dans les deux conteneurs, la configuration utilisateur associe la hirarchie a la priorit et sera celle utilise. Ce schma est appel environnement mixte.
Pour dfinir une stratgie de configuration utilisateur
1. 2. 3.
Cliquez sur Dmarrer > Programmes > Citrix > Consoles de gestion > Access Management Console. Dveloppez le nud Password Manager et slectionnez Configurations utilisateur. Cliquez sur Dfinition de la priorit de configuration utilisateur. La bote de dialogue Dfinition de la priorit de configuration utilisateur s'affiche.
4. 5.
Slectionnez une configuration utilisateur et cliquez sur Monter ou Descendre, selon vos prfrences. Cliquez sur OK.
126
Affectation d'une configuration utilisateur diffrents utilisateurs

Lorsque vous modifiez une configuration utilisateur existante, notez que vous ne pouvez pas en modifier l'emplacement. Vous pouvez effectuer l'une des procdures suivantes : Application par copie d'une configuration utilisateur un ensemble d'utilisateurs supplmentaire Application par dplacement d'une configuration utilisateur un ensemble d'utilisateurs diffrent
Pour copier une configuration utilisateur
1. 2. 3. 4. 5. 6. 7.
Cliquez sur Dmarrer > Programmes > Citrix > Consoles de gestion > Access Management Console. Dveloppez le nud Password Manager et slectionnez Configurations utilisateur. Slectionnez la configuration utilisateur. Cliquez sur Copier la configuration utilisateur. Entrez le nom de la configuration en double. Spcifiez l'unit d'organisation, l'utilisateur ou le groupe contenant les utilisateurs auxquels la configuration utilisateur doit s'appliquer. Cliquez sur OK.
Pour dplacer une configuration utilisateur vers diffrents utilisateurs
Remarque : vous ne pouvez pas dplacer une configuration utilisateur associe un groupe Active Directory. Pour associer la configuration utilisateur une hirarchie Active Directory (unit d'organisation ou utilisateur), copiez-la et spcifiez l'association souhaite. Veuillez consulter la section Pour copier une configuration utilisateur , page 126. 1. 2. 3. 4. Cliquez sur Dmarrer > Programmes > Citrix > Consoles de gestion > Access Management Console. Dveloppez le nud Password Manager et slectionnez Configurations utilisateur. Slectionnez la configuration utilisateur. Cliquez sur Dplacer la configuration utilisateur.
127
5. 6.
Spcifiez l'unit d'organisation, l'utilisateur ou le groupe contenant les utilisateurs auxquels la configuration utilisateur doit s'appliquer. Cliquez sur OK.
Mise niveau des configurations utilisateur existantes

Dans les versions 4.0 et 4.1 de Citrix Password Manager, vous associiez des utilisateurs une configuration utilisateur par le biais d'une hirarchie Active Directory (unit d'organisation ou utilisateur). Dans la version 4.5, vous pouvez choisir d'associer les utilisateurs par un groupe Active Directory. Tenez compte des lments suivants si vous souhaitez mettre niveau des configurations existantes dont les utilisateurs sont organiss par unit d'organisation ou par utilisateurs : Si vous utilisez une configuration utilisateur existante organise par hirarchie et que vous crez maintenant des configurations utilisateur organises par groupe, et qu'un utilisateur se trouve dans les deux conteneurs, la configuration utilisateur associe la hirarchie a la priorit et sera celle utilise. Ce schma est appel environnement mixte. Dans ce cas, vos utilisateurs peuvent rencontrer des comportements non souhaits de la part de l'Agent. Ils auront en effet accs aux ressources associes la configuration utilisateur de la hirarchie et non celles associes la configuration utilisateur de groupe. Si vous souhaitez conserver les paramtres de vos configurations utilisateur de hirarchie existantes mais modifier leur association, dplacez la configuration utilisateur en appliquant la procdure dcrite dans la section Pour dplacer une configuration utilisateur vers diffrents utilisateurs , page 126. Elle est valide pour les configurations utilisateur de hirarchie des versions 4.1, 4.5 et 4.6 de l'Agent.
Remarque : si vous mettez niveau le Service et la Console Password Manager mais pas l'Agent, celui-ci assurera ses fonctions de base auprs des utilisateurs dont les configurations sont lies des hirarchies Active Directory (units d'organisation ou utilisateurs). Cependant, vos utilisateurs n'auront pas accs aux dernires fonctionnalits de Password Manager. Citrix recommande de mettre niveau l'Agent ds que possible pour qu'il corresponde aux versions du Service et de la Console.
128
Authentification des utilisateurs et vrification d'identit
Password Manager offre plusieurs mthodes d'authentification des identits utilisateur. Cette section dcrit les points prendre en compte au moment de choisir la mthode d'authentification utiliser. Ce chapitre traite les points suivants : Prsentation de l'authentification Password Manager , page 129 Confirmation de l'identit des utilisateurs , page 130 Prsentation des mthodes de vrification d'identit , page 131 Permutation entre plusieurs mthodes d'authentification principale , page 133
Prsentation de l'authentification Password Manager

Password Manager offre deux types d'authentification : L'authentification principale, qui s'applique lorsque les utilisateurs utilisent leurs noms d'utilisateur principaux, leurs mots de passe et, ventuellement, le nom de domaine dans la bote de dialogue d'ouverture de session de Windows pour accder au rseau de leur entreprise. Le sous-systme de scurit Windows existant prend en charge la gestion de l'authentification sur le rseau. L'authentification secondaire, qui s'applique lorsque vous configurez Password Manager de manire soumettre les informations d'identification permettant aux utilisateurs d'accder aux ressources d'authentification unique protges. Ces ressources peuvent inclure une application d'entreprise, une application Web, un champ protg au sein d'une application, une adresse IP, une URL, etc.
130
Aprs la russite de l'authentification au rseau, Password Manager obtient le mot de passe principal de l'ouverture de session Windows et combine ces informations d'autres variables pour crer la cl de cryptage qui protge les informations d'identification de l'utilisateur. L'Agent utilise cette cl pour rcuprer et dcrypter les informations d'identification demandes par les applications ou les ressources. Important : si le mot de passe d'un utilisateur est dvoil, rinitialisez-le deux fois plutt qu'une afin de garantir que le mot de passe en question est supprim de la fonction utilisant le mot de passe prcdent. Les utilisateurs doivent ouvrir une session avec chacun des nouveaux mots de passe afin que l'Agent puisse capturer les modifications.
Confirmation de l'identit des utilisateurs

Chaque fois que les utilisateurs ouvrent une session dans votre environnement, ils confirment leur identit en tapant leur nom d'utilisateur et mot de passe, ou l'aide d'une carte puce ou tout autre dispositif d'authentification les identifiant de faon unique. Nanmoins, certains vnements ncessitent un deuxime niveau d'authentification afin de vrifier que l'utilisateur l'origine de la modification y est autoris.
vnement Contournement de Password Manager Description Si les utilisateurs modifient leur mot de passe principal sur une machine o Password Manager est install sans utiliser la combinaison de touches Ctrl+Alt+Suppr, Password Manager ne peut pas confirmer que l'utilisateur autoris est l'origine de la modification. Lorsque les administrateurs modifient les mots de passe principaux des utilisateurs, ceux-ci sont invits confirmer leur identit pour garantir que l'utilisateur autoris a ouvert la session. Lorsque les utilisateurs rinitialisent leur mot de passe principal l'aide la fonction de rinitialisation, ils doivent confirmer leur identit. Ne combinez pas exclusivement l'authentification l'aide du mot de passe prcdent et le module de rinitialisation de mot de passe. Lorsque les utilisateurs dverrouillent leur compte l'aide de la fonction correspondante, ils doivent reconfirmer leur identit.
Modification du mot de passe principal par un administrateur
Rinitialisation du mot de passe principal par un utilisateur l'aide des fonctions autonomes de compte
Dverrouillage du compte de domaine l'aide des fonctions autonomes de compte
131
vnement Modification des types d'authentification
Description Par exemple, lorsque les utilisateurs passent d'une authentification avec carte puce vers une authentification avec mot de passe, ils sont invits reconfirmer leur identit. Les utilisateurs qui modifient leur mot de passe principal sur une machine cliente n'excutant pas l'Agent sont invits confirmer leur identit la prochaine ouverture de session sur une machine cliente l'excutant.
Modification de mot de passe sur une machine cliente excutant Password Manager
Vos utilisateurs peuvent confirmer leur identit en utilisant au moins l'une des options destines rpondre aux besoins de votre entreprise, comme dcrit dans la section Prsentation des mthodes de vrification d'identit , page 131.
Prsentation des mthodes de vrification d'identit

Selon les vnements dcrits dans la section Confirmation de l'identit des utilisateurs , page 130, Password Manager comporte deux mthodes de vrification d'identit pour garantir que l'utilisateur est autoris utiliser Password Manager : Mot de passe prcdent , page 132 Questions de scurit , page 132
Vous pouvez galement choisir de contourner la vrification d'identit en utilisant la fonction de gestion automatique des cls : veuillez consulter la section Contournement de la vrification d'identit , page 132. La section Slection de la protection secondaire des donnes , page 113, dcrit les options de configuration utilisateur associes l'authentification et la vrification d'identit. Remarque : vous pouvez autoriser les utilisateurs choisir la mthode de vrification d'identit (mots de passe prcdents ou questions de scurit) qu'ils privilgient pour l'authentification. Cette option est disponible dans le cadre de la proprit Protection de donnes secondaire dans la configuration utilisateur.
132
Mot de passe prcdent

Si vous slectionnez cette mthode, les utilisateurs doivent confirmer leur identit en tapant leur mot de passe principal prcdent. Attention : lorsque le mot de passe prcdent est la seule mthode disponible pour les utilisateurs, ceux qui l'oublient ne peuvent plus accder au systme. Leurs donnes doivent tre supprimes du magasin central et de toutes les machines clientes o elles sont stockes. Ils doivent de nouveau entrer leurs informations d'identification pour toutes les applications. Veuillez consulter la section Rinitialisation et suppression des donnes utilisateur , page 121.
Questions de scurit
Remarque : veuillez consulter la section Gestion de l'authentification avec questions , page 135, pour en savoir plus sur la cration de questions de scurit. Lorsque les utilisateurs modifient leur mot de passe principal, vous pouvez confirmer leur identit en les invitant rpondre aux questions de scurit dans le cadre d'un questionnaire que vous crez. Ce questionnaire apparat la premire ouverture de l'Agent. Les utilisateurs rpondent un nombre minimum de questions puis sont invits entrer de nouveau ces informations lors d'vnements de modification de mot de passe spcifiques. Elles doivent tre conues de faon ce que la rponse apporte par une personne ne soit connue que d'elle. Vous pouvez utiliser les questions par dfaut proposes par Password Manager ou crer vos propres questions. Veuillez consulter la section Conception des questions de scurit : compromis entre maintien de la scurit et simplicit d'utilisation , page 139.
Contournement de la vrification d'identit

Important : la gestion automatique des cls n'est pas aussi sre que d'autre mcanisme de rcupration de cl tels que les questions de scurit et le mot de passe prcdent. Si vous souhaitez que Password Manager contourne la vrification d'identit et rcupre automatiquement les cls de des cls de cryptage des utilisateurs, vous pouvez spcifier l'option Protection de donnes secondaire Ne pas interroger les utilisateurs, restaurer automatiquement la protection de donnes principale sur le rseau.
133
Cette mthode, appele gestion automatique des cls, est disponible une fois que vous avez install le module de gestion des cls et que vous avez cr une configuration utilisateur en slectionnant cette option. Veuillez consulter la section Slection de la protection secondaire des donnes , page 113. Cette mthode permet aux utilisateurs d'ouvrir une session sur le rseau et d'obtenir un accs immdiat aux applications gres par Password Manager. Ils ne doivent rpondre aucune question. Lorsque les utilisateurs changent leur mot de passe rseau, l'Agent dtecte la modification et rcupre les cls de cryptage de l'utilisateur l'aide du service Password Manager. La gestion automatique des cls offre aux utilisateurs la mthode d'accs la plus simple et la plus rapide leurs applications. Toutefois, elle ne protge pas contre un accs par un utilisateur non autoris car il n'existe aucun secret de l'utilisateur pour protger le mot de passe rseau de celui-ci. Pour prvenir ce risque, mettez en place le module de rcupration de cl automatique en combinaison avec les fonctions autonomes. Ce module ncessite l'authentification avec questions pour autoriser vos utilisateurs confirmer leur identit lorsqu'ils rinitialisent leur mot de passe principal ou dverrouillent leur compte de domaine.
Permutation entre plusieurs mthodes d'authentification principale

Dans Citrix Password Manager, les utilisateurs peuvent basculer entre plusieurs mthodes d'authentification principale. Password Manager protge les mots de passe des utilisateurs avec une copie unique de la cl de scurit comme mthode de rauthentification pour dverrouiller efficacement les donnes de l'utilisateur chaque fois que l'utilisateur bascule entre des mthodes d'authentification, sans que l'utilisateur soit oblig de confirmer son identit. L'option de slection de plusieurs mthodes d'authentification principale est disponible de la page Mthode de protection des donnes dans la configuration utilisateur. Veuillez consulter la section Planification de vos configurations utilisateur dans le Guide d'installation Citrix Password Manager et la section Slection des mthodes de protection des donnes , page 110. Considrons le scnario suivant : Un superviseur du centre d'appels se connecte un ordinateur l'aide de ses informations d'identification principales (nom d'utilisateur et mot de passe Windows). L'Agent Password Manager est install sur l'ordinateur et lui permet d'utiliser des applications d'authentification unique.
134
Le superviseur utilise parfois une carte puces avec code confidential (PIN) pour ouvrir une session sur un ordinateur partag l'tage du centre d'appels et lance une autre application publie par le biais de Presentation Server. Cet ordinateur utilise le Bureau dynamique pour activer la commutation rapide des utilisateurs entre les diffrents comptes.
Dans les versions 4.0 et 4.1 de Password Manager, le superviseur du centre d'appels devait confirmer son identit avant d'utiliser les applications d'authentification pour tout changement de mthode d'authentification principale. Dans ce scnario, le superviseur utilisait deux mthodes d'authentification principales : d'abord son nom d'utilisateur et son mot de passe, puis une carte puce avec code secret. Les versions 4.0 et 4.1 de Password Manager traitent le changement de mthode d'authentification comme ncessitant la rcupration des cls de scurit et ventuellement la confirmation de l'identit du superviseur. Remarque : les utilisateurs doivent s'enregistrer ou s'inscrire dans chaque nouvelle mthode d'authentification la premire fois qu'ils utilisent la mthode ou basculent vers elle. Toutefois, les commutations ultrieures ne ncessitent pas d'enregistrement ou d'inscription (autrement dit, une rcupration de cl n'est pas requise par la suite).
Gestion de l'authentification avec questions
Important : si vous envisagez d'utiliser les fonctions autonomes de compte (rinitialisation de mot de passe ou dverrouillage de compte de domaine) du module de gestion des cls de Password Manager, vous devez employer l'authentification avec questions pour permettre vos utilisateurs de confirmer leur identit lors du dverrouillage de leur compte de domaine ou de la rinitialisation de leur mot de passe principal. L'authentification avec questions permet de fournir une authentification scurise aux utilisateurs qui modifient leur mot de passe principal (dans certaines circonstances), leur mthode d'authentification, ou dont le compte est verrouill. L'utilisation des questions de scurit et de l'authentification avec questions peut offrir une protection contre des accs non autoriss en demandant des informations connues uniquement de chaque utilisateur. Les questions cres doivent demander des informations confidentielles difficiles deviner pour un tiers (notamment, par une recherche alatoire ou l'aide d'un dictionnaire). Cette section traite les points suivants : Confirmation de l'identit d'un utilisateur l'aide de l'authentification avec questions , page 136 tapes de l'authentification avec questions , page 138 Conception des questions de scurit : compromis entre maintien de la scurit et simplicit d'utilisation , page 139 Gestion de vos questions , page 141 Rtrocompatibilit avec Password Manager versions 4.0 et 4.1 , page 151 Activation du renregistrement des rponses aux questions de scurit , page 152
136
Confirmation de l'identit d'un utilisateur l'aide de l'authentification avec questions

Si vous mettez en uvre les fonctions de rinitialisation de mot de passe ou de dverrouillage de compte de domaine (qui font partie des fonctions autonomes de compte) du module de gestion des cls de Password Manager, utilisez l'authentification avec questions pour la vrification de l'identit des utilisateurs. Cette mthode peut galement servir de protection secondaire des donnes en cas de modification de l'authentification principale d'un utilisateur. Veuillez consulter la section Slection de la protection secondaire des donnes , page 113. Si les paramtres de configuration utilisateur dfinis sur la Console l'exigent, les utilisateurs peuvent tre amens vrifier leur identit dans les cas suivants : modification du type d'authentification des utilisateurs (par exemple, basculement de l'utilisateur entre l'authentification avec carte puce et l'authentification avec mot de passe) ; modification du mot de passe principal par un administrateur ; rinitialisation du mot de passe principal par un utilisateur l'aide des fonctions autonomes de compte ; dverrouillage du compte de domaine l'aide des fonctions autonomes de compte ; modification du mot de passe principal par un utilisateur sur une machine o l'Agent n'est pas install, puis ouverture de session sur une machine o il est install.
Remarque : vous pouvez galement crer une configuration utilisateur ne ncessitant aucune vrification aprs basculement entre les diffrents types d'authentification. Veuillez consulter la section Permutation entre plusieurs mthodes d'authentification principale , page 133. Si cette fonction est configure, l'Agent Password Manager demande aux utilisateurs de rpondre des questions de scurit lors de leur premire utilisation de l'Agent. Lorsque des vnements ncessitant la vrification d'identit surgissent, l'Agent lance le questionnaire que vous avez cr. Un questionnaire est une liste prconfigure de questions que vous avez cres.
137
Chaque question du questionnaire apparat sur une page diffrente. Par exemple, si cinq questions se trouvent dans votre questionnaire, les utilisateurs verront s'afficher cinq pages distinctes. Ils doivent rpondre toutes correctement. Si les paramtres de l'administrateur l'exigent, les rponses doivent tre totalement identiques, notamment du point de vue de la casse, aux rponses fournies la premire utilisation de Password Manager. La combinaison correcte des questions et rponses confirme leur identit. Aprs confirmation, l'Agent crypte nouveau les cls l'aide du nouveau mot de passe principal et stocke les informations d'identification secondaires de l'utilisateur.
Notions importantes
Remarque : si les paramtres de l'administrateur l'exigent, la rponse de l'utilisateur aux questions de scurit doit respecter la casse, la ponctuation et les espaces de la rponse enregistre initialement. Si vous lisez de ne pas configurer les rponses aux questions de scurit comme une condition requise pour les utilisateurs, ceux-ci sont invits fournir leur prcdent mot de passe principal lorsqu'ils en changent et qu'ils tentent d'ouvrir une session avec le nouveau mot de passe. Vous pouvez permettre aux utilisateurs de choisir la mthode de vrification d'identit qu'ils prfrent utiliser pour l'authentification. Cette option est incluse dans la proprit de protection secondaire des donnes de la configuration utilisateur. Veuillez consulter la section Slection de la protection secondaire des donnes , page 113. Pour prvenir le verrouillage des utilisateurs, ne combinez pas le module de rinitialisation de mot de passe avec uniquement la mthode de vrification d'identit du mot de passe prcdent. Les utilisateurs qui rinitialisent leur mot de passe risquent de ne pas se souvenir de leur mot de passe principal prcdent et d'tre alors incapables de rcuprer leurs informations d'identification secondaires. Les questions multiples offrent la meilleure protection. Pour plus d'informations sur la cration de questions scurises, veuillez consulter la section Conception des questions de scurit : compromis entre maintien de la scurit et simplicit d'utilisation , page 139. Par dfaut, l'authentification avec questions utilise quatre questions de scurit. Il est possible de n'utiliser que ces questions. Nanmoins, Citrix recommande d'ajouter vos propres questions de scurit et groupes de questions. Pour plus d'informations, veuillez consulter la section Gestion de vos questions , page 141.
138
tapes de l'authentification avec questions

Important : crez et proposez les questions de scurit avant de dployer l'Agent. Lorsqu'une question est slectionne par un utilisateur, elle doit toujours rester disponible. Si vous modifiez ou supprimez une question utilise, les utilisateurs concerns ne peuvent plus utiliser les questions de scurit pour rcuprer leurs informations d'identification secondaires, jusqu' ce que, et moins que, vous les contraigniez se rinscrire. Veuillez consulter la section Invite des utilisateurs renregistrer leurs questions de scurit , page 124. 1. Crez vos questions de scurit, en dfinissant la longueur minimum et l'utilisation de la casse. Ces questions peuvent tre proposes dans n'importe quelle langue prise en charge par Password Manager. Vous pouvez regrouper ces questions par groupes de questions de scurit. Vous pouvez crer des questions parmi lesquelles choisiront vos utilisateurs, ce qui leur permet de slectionner librement une question dont ils retiendront plus facilement la rponse. Cela permet de dfinir le nombre de questions de chaque groupe auxquelles les utilisateurs doivent rpondre. Ajoutez vos questions ou questions et groupes de questions au questionnaire. Slectionnez une ou deux questions utiliser pour la rcupration de cl. Ces questions permettent de crypter les donnes de la rcupration de cl ; vos utilisateurs doivent toujours fournir les rponses aux questions enregistres. Si vous le souhaitez, vous pouvez activer le masquage des rponses aux questions de scurit. Cette fonctionnalit vous donne l'option de masquer les rponses de l'utilisateur aux questions de scurit de l'authentification avec questions. Si elles sont actives, les rponses des utilisateurs sont protges pendant l'enregistrement des rponses et la vrification d'identit.
2.
3. 4.
5.
139
Important : l'activation du masquage des questions de scurit peut empcher les utilisateurs existants avec diteurs de mthode d'entre (IME) de pouvoir fournir des rponses pendant l'enregistrement et la vrification d'identit. Les langues asiatiques, telles que le chinois, le japonais et le coren, ncessitent l'utilisation d'un IME pour permettre la saisie de caractres dans l'interface Password Manager. L'activation de la fonction de masquage dsactive automatiquement l'IME pendant l'enregistrement et la vrification d'identit pour les utilisateurs n'ayant pas mis niveau Password Manager la version 4.6. Aucun impact n'existe pour les nouveaux utilisateurs de Password Manager avec la version 4.6.
Remarque : le masquage des rponses aux questions de scurit est uniquement disponible sur la Console et l'Agent Password Manager 4.6.
Conception des questions de scurit : compromis entre maintien de la scurit et simplicit d'utilisation
Password Manager fournit quatre questions par dfaut que vous pouvez utiliser pour l'inscription des utilisateurs. Ces questions sont disponibles dans toutes les langues prises en charge (anglais, franais, allemand, japonais et espagnol). Citrix recommande de crer vos propres questions de scurit et de les proposer dans toutes les langues de votre environnement. Tout individu tentant d'accder au mot de passe d'un utilisateur doit connatre la rponse toutes ces questions. Cependant, trop de questions peuvent reprsenter un obstacle dans la confirmation d'identit de vos utilisateurs. Les questions de scurit doivent demander des informations confidentielles difficiles deviner pour un tiers (notamment, par une recherche alatoire ou l'aide d'un dictionnaire). Le facteur cl pour dterminer la scurit d'une question est le degr de difficult pour en deviner la rponse. Les questions bien conues ont un niveau d'entropie lev. En d'autres termes, elles impliquent les points suivants : large ventail de rponses possibles ; probabilit de dcouverte trs faible.
140
Pour des raisons pratiques, la rponse doit tre facile retenir pour l'utilisateur en question mais difficile dchiffrer pour un tiers. Par exemple : Quel est le nom de votre professeur de lyce ou d'universit prfr ? O rvez-vous de passer vos vacances ? (ville, pays) Quel est le nom de votre chanson et de votre chanteur favoris ? Quel est le nom de votre livre et de votre auteur favoris ? Quel est le nom de votre uvre favorite, qui la doit-on et o vous l'avez dcouverte ?
Nanmoins, les affinits culturelles peuvent conduire vers les mmes rponses des utilisateurs d'une mme population, mme si ces utilisateurs ne partagent pas dlibrment leurs rponses. Ce facteur accrot les risques d'une attaque interne. vitez de crer des questions prsentant les caractristiques suivantes : questions impliquant une rponse simple, comme Quelle est votre couleur prfre ? ; questions demandant des informations susceptibles d'tre connues ou d'voluer (par exemple: Quelle est votre adresse ? ).
Notions importantes lies aux questions de scurit

Si vous modifiez les questions fournies par dfaut aprs l'enregistrement des rponses des utilisateurs, tenez compte de la signification des questions modifies. La modification d'une question ne force pas une rinscription. Toutefois, si la signification d'une question est change, les utilisateurs qui ont rpondu auparavant cette question peuvent se retrouver incapables d'y apporter une rponse. l'ajout, la suppression et le remplacement de questions de scurit aprs inscription des utilisateurs avec les anciennes questions entranent l'impossibilit pour ces utilisateurs de s'authentifier et de rinitialiser leur mot de passe tant qu'ils ne sont pas rinscrits. Les utilisateurs doivent rpondre des nouvelles questions la premire ouverture de l'Agent. Chaque question de scurit peut appartenir plusieurs groupes de questions de scurit. Lorsque vous crez des groupes de questions de scurit, toutes vos questions peuvent tre utilises dans n'importe quel groupe.
141
Gestion de vos questions

Le nud Authentification avec questions de la Console Password Manager offre un emplacement central pour la gestion de toutes les questions de scurit associes la vrification d'identit, la rinitialisation de mot de passe et au dverrouillage de compte. Vous pouvez ajouter vos propres questions de scurit la liste de questions par dfaut, crer des groupes de question et les destiner des utilisateurs particuliers. Cette section dcrit les points suivants : Configuration d'une langue par dfaut , page 141 Cration de questions de scurit , page 142 Ajout ou modification du texte de questions existantes (y compris les traductions) , page 143 Cration de groupes de questions de scurit , page 145 Cration et utilisation du questionnaire , page 147 Slection de questions pour la rcupration de cl , page 148 Activation du masquage des rponses de scurit , page 149
Voir aussi les sections suivantes : Rtrocompatibilit avec Password Manager versions 4.0 et 4.1 , page 151 Activation du renregistrement des rponses aux questions de scurit , page 152
Configuration d'une langue par dfaut

Dans la plupart des cas, les utilisateurs voient les questions de scurit s'afficher dans la langue associe leur profil utilisateur actuel. Si la langue n'est pas disponible, Password Manager affiche les questions dans la langue par dfaut spcifie.
Pour configurer une langue par dfaut
1. 2.
Cliquez sur Dmarrer > Programmes > Citrix > Consoles de gestion > Access Management Console. Dveloppez les nuds Password Manager et Vrification d'identit et slectionnez Authentification avec questions sur votre Console Password Manager.
142
3. 4. 5. 6.
Cliquez sur Grer les questions dans la zone Tches courantes. La bote de dialogue Grer les questions s'affiche. Slectionnez Authentification avec questions. Slectionnez la langue par dfaut dans la liste droulante Langue. Cliquez sur OK.
Remarque : la slection de l'option Vrification de la rtrocompatibilit garantit que les Agents associs Password Manager 4.0 et 4.1 peuvent continuer prsenter les questions de vrification d'identit. Pour plus d'informations, veuillez consulter la section Rtrocompatibilit avec Password Manager versions 4.0 et 4.1 , page 151.
Cration de questions de scurit

Vous pouvez crer diffrentes questions et choisir une langue pour chacune d'entre elles. Vous pouvez aussi saisir plusieurs traductions d'une mme question. L'Agent prsente l'utilisateur le questionnaire dans la langue dfinie dans les paramtres de langue de son profil. Si la langue n'est pas disponible, Password Manager affiche les questions dans la langue par dfaut.
Pour crer de nouvelles questions de scurit
Remarque : la langue affiche par dfaut est l'anglais. Lorsque vous slectionnez une langue pour une question de scurit, la question est prsente aux utilisateurs dont les paramtres de systme d'exploitation sont dfinis. Si les paramtres de systme d'exploitation slectionns ne correspondent pas ceux de certaines questions disponibles, la langue par dfaut est utilise. 1. 2. 3. Cliquez sur Dmarrer > Programmes > Citrix > Consoles de gestion > Access Management Console. Dveloppez le nud Password Manager, le nud Vrification d'identit et slectionnez le nud Authentification avec questions. Cliquez sur Grer les questions dans la zone Tches courantes. La bote de dialogue Grer les questions s'affiche. Elle propose les cinq tches suivantes : l'authentification avec questions ; les questions de scurit ;
143
4. 5.
les questionnaires ; la rcupration de cl ; le masquage des rponses de scurit.
Slectionnez Questions de scurit. Slectionnez une langue dans la liste droulante Langue et cliquez sur Ajouter une question. La bote de dialogue Question de scurit s'affiche. Effectuez les oprations suivantes dans cette bote de dialogue. A. B. C. Entrez une question dans le champ de texte Question de scurit. Choisissez la longueur de rponse minimale. Slectionnez Casse prise en compte pour activer la prise en compte de la casse dans la rponse. Dsactivez cette case cocher si vous ne souhaitez pas que la casse soit parfaitement respecte dans la rponse.
6.
7. 8.
Cliquez sur OK pour enregistrer votre question et vos rglages. Cliquez sur OK pour fermer la bote de dialogue Grer les questions.
Important : vous devez utiliser la commande Modifier pour ajouter le texte traduit des questions existantes. Si vous slectionnez Ajouter une question, vous crez une nouvelle question qui n'est pas associe l'original.
Ajout ou modification du texte de questions existantes (y compris les traductions)

Important : l'ajout, la suppression et le remplacement de questions de scurit aprs inscription des utilisateurs avec les anciennes questions entranent l'impossibilit pour ces utilisateurs de s'authentifier et de rinitialiser leur mot de passe tant qu'ils ne sont pas rinscrits. Les utilisateurs doivent rpondre des nouvelles questions la premire ouverture de l'Agent. La modification d'une question ne force pas une rinscription. Toutefois, si la signification d'une question est change, les utilisateurs qui ont rpondu auparavant cette question peuvent se retrouver incapable d'y apporter une rponse.
Pour ajouter ou modifier le texte de questions existantes
1.
Cliquez sur Dmarrer > Programmes > Citrix > Consoles de gestion > Access Management Console.
144
2. 3.
Dveloppez le nud Password Manager, le nud Vrification d'identit et slectionnez le nud Authentification avec questions. Cliquez sur Grer les questions dans la zone Tches courantes. La bote de dialogue Grer les questions s'affiche. Elle propose les cinq tches suivantes : l'authentification avec questions ; les questions de scurit ; les questionnaires ; la rcupration de cl ; le masquage des rponses de scurit.
4. 5. 6.
Slectionnez Questions de scurit. Slectionnez une langue dans la liste droulante Langue. Slectionnez la question et cliquez sur Modifier. Important : si vous modifiez une question existante, un message d'avertissement vous indique que la modification de la signification d'une question risque d'entraner une incohrence des rponses lors des authentifications ultrieures. En d'autres termes, l'utilisateur risque de fournir une rponse ne correspondant pas la rponse enregistre. La bote de dialogue Question de scurit s'affiche.
7.
Effectuez les oprations suivantes dans cette bote de dialogue. A. B. C. Entrez ou modifiez la question dans le champ de texte Question de scurit. Choisissez la longueur de rponse minimale. Slectionnez Casse prise en compte pour activer la prise en compte de la casse dans la rponse. Dsactivez cette case cocher si vous ne souhaitez pas que la casse soit parfaitement respecte dans la rponse.
8. 9. 10.
Cliquez sur OK pour enregistrer votre question et vos rglages. Rptez les tapes 5 8 pour chaque question et chaque langue. Cliquez sur OK pour fermer la bote de dialogue Grer les questions.
145
Cration de groupes de questions de scurit

Vous pouvez crer des questions de scurit auxquelles rpondent vos utilisateurs pour confirmer leur identit. Chaque question ajoute au questionnaire doit recevoir une rponse des utilisateurs. Cependant, vous pouvez galement rassembler ces questions dans un groupe de questions de scurit. Les groupes de questions permettent d'ajouter, par exemple, six questions un questionnaire et de permettre aux utilisateurs de choisir de ne rpondre qu' trois d'entre elles. Ils bnficient ainsi d'une plus grande souplesse dans la slection des questions et la saisie des rponses de vrification d'identit.
Pour crer un groupe de questions de scurit
1. 2. 3.
Cliquez sur Dmarrer > Programmes > Citrix > Consoles de gestion > Access Management Console. Dveloppez le nud Password Manager, le nud Vrification d'identit et slectionnez le nud Authentification avec questions. Cliquez sur Grer les questions dans la zone Tches courantes. La bote de dialogue Grer les questions s'affiche. Elle propose les cinq tches suivantes : l'authentification avec questions ; les questions de scurit ; les questionnaires ; la rcupration de cl ; le masquage des rponses de scurit.
4. 5.
Slectionnez Questions de scurit. Cliquez sur le bouton Ajouter un groupe. La bote de dialogue Groupe de questions de scurit prsente une liste de questions de scurit pouvant tre ajoutes au groupe.
6.
Effectuez les oprations suivantes dans cette bote de dialogue. A. Entrez le nom de votre groupe de questions de scurit. Vous pouvez tablir une convention d'appellation pour identifier vos groupes, par exemple, en ajoutant une description des questions au mot groupe ( groupefilms ou groupeloisir , etc.). Slectionnez la case ct de chaque question ajouter au groupe. Slectionnez le nombre de questions du groupe auxquelles doit rpondre un utilisateur.
B. C.
146
7. 8. 9.
Cliquez sur OK pour enregistrer vos groupes et vos rglages. Rptez les tapes 5 7 pour crer d'autres groupes. Cliquez sur OK pour fermer la bote de dialogue Grer les questions.
Pour modifier un groupe de questions de scurit
1. 2. 3.
4. 5.
Slectionnez Questions de scurit. Slectionnez le groupe de questions de scurit modifier et cliquez sur Modifier. La bote de dialogue Groupe de questions de scurit prsente une liste de questions de scurit pouvant tre ajoutes au groupe. Les questions du groupe sont signales par une coche. Vous pouvez modifier le nom du groupe, ajouter des questions au groupe et slectionner le nombre de questions ncessitant une rponse de l'utilisateur.
6. 7.
Cliquez sur OK pour enregistrer vos groupes et vos rglages. Cliquez sur OK pour fermer la bote de dialogue Grer les questions.
147
Cration et utilisation du questionnaire

Vos utilisateurs peuvent rpondre aux questions de scurit que vous slectionnez sous la forme d'un questionnaire. Le questionnaire puise parmi les questions et groupes de questions de votre cration les questions proposer aux utilisateurs. Un questionnaire est constitu d'une liste de questions et de groupes de questions. Une question ne peut pas tre rpte dans un questionnaire. Par exemple, vous ne pouvez pas crer un groupe de questions qui inclut une question dj prsente dans le questionnaire.
Avant de commencer
Chaque question de scurit peut appartenir plusieurs groupes de questions de scurit. Lorsque vous crez des groupes de questions de scurit, toutes vos questions peuvent tre ajoutes dans n'importe quel groupe. Si vous effectuez une mise niveau partir d'une version prcdente de Password Manager, il peut tre ncessaire d'ajouter des questions et des groupes de questions avec des rglages spcifiques pour garantir la rtrocompatibilit avec les versions antrieures de l'Agent Password Manager.
Pour ajouter, supprimer ou rorganiser les questions de scurit du questionnaire
1. 2. 3.
4.
Slectionnez Questionnaire et cliquez sur Ajouter.
148
5.
Slectionnez les questions de scurit ou groupes de questions de scurit ajouter au questionnaire. Si le groupe de questions ajout contient plus de questions que le nombre ncessitant une rponse des utilisateurs (par exemple, trois sur six), les utilisateurs rpondront aux questions de leur choix parmi une liste droulante jusqu' ce que le nombre de questions requises soit atteint.
6.
Vous pouvez galement cliquer sur Monter ou Descendre pour modifier l'ordre de prsentation des questions ou groupes de questions aux utilisateurs. Vous pouvez galement slectionner une question et cliquez sur Supprimer. Remarque : lorsque vous supprimez une question du questionnaire, celle-ci n'est pas incluse dans la liste de questions prsentes aux nouveaux utilisateurs, mais elle apparat toujours pour les utilisateurs existants.
7.
8.
Cliquez sur OK pour enregistrer votre questionnaire. Il est possible qu'un message d'activation du renregistrement forc des rponses par les utilisateurs apparaisse. Cliquez sur Oui pour forcer le renregistrement.
Slection de questions pour la rcupration de cl

Vous devez slectionner une ou deux questions ncessitant une rponse des utilisateurs afin de crypter les donnes de la rcupration de cl. Vos utilisateurs doivent fournir des rponses toutes les questions auxquelles ils avaient rpondu lors de l'enregistrement mais les questions que vous avez slectionnes permettent de fournir les donnes ncessaires au processus de cryptage et de rcupration de cl.
Pour slectionner une ou plusieurs questions pour la rcupration de cl
1. 2.
Cliquez sur Dmarrer > Programmes > Citrix > Consoles de gestion > Access Management Console. Dveloppez le nud Password Manager, le nud Vrification d'identit et slectionnez le nud Authentification avec questions.
149
3.
Cliquez sur Grer les questions dans la zone Tches courantes. La bote de dialogue Grer les questions s'affiche. Elle propose les cinq tches suivantes : l'authentification avec questions ; les questions de scurit ; les questionnaires ; la rcupration de cl ; le masquage des rponses de scurit.
4. 5. 6.
Slectionnez Rcupration de cl. Slectionnez la case ct de chaque question ou groupe de questions utiliser pour la rcupration de cl lors de la vrification d'identit. Cliquez sur OK pour enregistrer votre question et vos rglages. Il est possible qu'un message d'activation du renregistrement forc des rponses par les utilisateurs apparaisse. Cliquez sur Oui pour forcer le renregistrement.
Activation du masquage des rponses de scurit

Remarque : le masquage des rponses de scurit est uniquement disponible avec Password Manager 4.6.
Important : l'activation du masquage des rponses de scurit peut empcher les utilisateurs existants avec diteurs de mthode d'entre (IME) de pouvoir fournir des rponses pendant l'enregistrement et la vrification d'identit. Les langues asiatiques, telles que le chinois, le japonais et le coren, ncessitent l'utilisation d'un IME pour permettre la saisie de caractres dans l'interface Password Manager. L'activation de la fonction de masquage dsactive automatiquement l'IME pendant l'enregistrement et la vrification d'identit pour les utilisateurs n'ayant pas mis niveau Password Manager la version 4.6. Aucun impact n'existe pour les nouveaux utilisateurs de Password Manager avec la version 4.6.
150
Le masquage des rponses de scurit apporte un niveau de scurit supplmentaire vos utilisateurs lorsqu'ils enregistrent leur rponses aux questions de scurit ou qu'ils enregistrent leurs questions de scurit ou qu'ils fournissent leurs rponses lors de la vrification d'identit. Lorsque cette fonctionnalit est active, les rponses des utilisateurs excutant Password Manager 4.6 sont masques. Lors de l'enregistrement des rponses, ces utilisateurs sont invits taper leurs rponses deux fois afin d'viter les fautes de frappe ou d'orthographe. Les utilisateurs ne doivent taper leurs rponses qu'une seule fois lors de la validation d'identit, puisqu'ils sont invits ressayer en cas d'erreur. Remarque : les rponses aux questions de scurit enregistres dans l'Agent Password Manager 4.5 peuvent tre masques lorsque le logiciel est mis niveau la version 4.6. Les rponses aux questions de scurit des utilisateurs de l'Agent Password Manager 4.5, 4.1 ou 4.0 demeurent invisibles quel que soit le rglage de la console.
Pour activer le masquage des rponses de scurit
1. 2. 3.
4. 5. 6.
Slectionnez Masquage des rponses de scurit. Slectionnez Masquer les rponses aux questions de scurit. Cliquez sur OK pour enregistrer le rglage.
151
Rtrocompatibilit avec Password Manager versions 4.0 et 4.1

Le mode de rtrocompatibilit permet l'Agent de continuer offrir aux utilisateurs les questions de vrification d'identit utilises dans Password Manager 4.0 et 4.1. Il permet galement de continuer utiliser la question par dfaut, Quelle est votre formule de vrification d'identit ? . Si vous effectuez une mise niveau partir de Password Manager 4.1, les questions de vrification d'identit et les questions utilises pour la rinitialisation de mot de passe apparaissent sous forme de questionnaire dans la bote de dialogue Grer les questions. Important : lors de la cration et de la modification des configurations utilisateur, n'activez pas la rtrocompatibilit si vous disposez d'une nouvelle version installe de Password Manager car cela limite l'Agent aux versions 4.0 et 4.1 du produit. De mme, ne dsactivez pas le mode de rtrocompatibilit si les Agents de la version 4.0 ou 4.1 de Password Manager sont en cours d'excution car cela empche les enregistrements pour la rcupration de cl et la rinitialisation de mot de passe. Si vous utilisez la gestion de cl automatique, n'activez pas la rtrocompatibilit. Celle-ci ne ncessite pas de rponses aux questions de vrification d'identit de la part des utilisateurs.
Pour activer la rtrocompatibilit de votre questionnaire
Pour la rtrocompatibilit avec Password Manager 4.0 et 4.1, le questionnaire doit inclure au moins une question de scurit associe la fonction autonome de rinitialisation de mot de passe. Chaque question de scurit doit inclure les rglages suivants : casse dsactive ; longueur minimum de 1 ; questions non actives pour la rcupration de cl.
Pour vrifier la rtrocompatibilit
Vous pouvez vrifier la rtrocompatibilit si vous effectuez une mise jour partir d'une version prcdente de Password Manager. 1. Cliquez sur Dmarrer > Programmes > Citrix > Consoles de gestion > Access Management Console.
152
2. 3.
Dveloppez le nud Password Manager, le nud Vrification d'identit et slectionnez le nud Authentification avec questions. Cliquez sur Grer les questions dans la zone Tches courantes. La bote de dialogue Grer les questions s'affiche. Elle propose les cinq tches suivantes : l'authentification avec questions ; les questions de scurit ; les questionnaires ; la rcupration de cl ; le masquage des rponses de scurit.
4. 5.
Slectionnez Authentification avec questions. Slectionnez l'option Vrification de la rtrocompatibilit et cliquez sur OK.
Password Manager effectue la vrification et affiche les erreurs dans une bote de dialogue.
Activation du renregistrement des rponses aux questions de scurit

Password Manager permet aux utilisateurs de renregistrer leurs rponses aux questions de scurit tout moment et sans intervention de l'administrateur. Si votre environnement inclut des questions de scurit ou des fonctions autonomes de compte, les utilisateurs enregistrant des questions et rponses de scurit peuvent utiliser l'Agent pour fournir de nouvelles rponses leurs questions de scurit existantes. Les utilisateurs peuvent slectionner l'option Security Questions Registration dans le menu Tools du Gestionnaire d'informations d'identification ou dans le menu raccourci associ l'icne de notification de l'Agent. La slection de cette option lance l'assistant d'enregistrement des questions de scurit, dans lequel les utilisateurs peuvent renregistrer les rponses aux questions de scurit. Une fois que les utilisateurs ont fourni leurs rponses et reu la confirmation de l'enregistrement de leurs nouvelles rponses dans le magasin central, leurs anciennes rponses ne sont plus valides. Cette fonction est propose uniquement aux utilisateurs se connectant Password Manager l'aide de la version actuelle de l'Agent et ayant pralablement enregistr les rponses aux questions de scurit.
Autorisation des utilisateurs grer leurs informations d'identification principales avec les fonctions autonomes de compte
Vous pouvez configurer les fonctions autonomes de compte de Password Manager pour permettre vos utilisateurs de rinitialiser leur mot de passe principal sans intervention de l'administrateur ou du personnel d'assistance technique. En fonction de vos besoins, vous pouvez mettre en uvre l'une des fonctions autonomes de rinitialisation de mot de passe et de dverrouillage de compte (ou les deux) en toute scurit dans votre environnement Password Manager. Cette section traite les points suivants : Prsentation des fonctions autonomes , page 154 Rsum des tches d'implmentation des fonctions autonomes , page 155 Oubli des questions de scurit par l'utilisateur , page 156 Exprience pour l'utilisateur , page 156
Remarque : pour mettre en place les fonctions autonomes du compte avec l'Interface Web Citrix, veuillez consulter le Guide de l'administrateur de l'Interface Web, disponible sur le site Web de l'assistance Citrix l'adresse http://support.citrix.com.
154
Prsentation des fonctions autonomes

Les fonctions autonomes de compte sont protges par l'authentification avec questions, qui garantit l'autorisation des utilisateurs lorsqu'ils s'apprtent rinitialiser leur mot de passe ou dverrouiller leur compte. Lors de leur premire utilisation de l'agent Password Manager ou de la premire utilisation suivant la configuration des fonctions autonomes, les utilisateurs doivent enregistrer des rponses des questions de scurit, que vous crez et slectionnez pendant la configuration de Password Manager. Ces questions de scurit sont prsentes aux utilisateurs lorsqu'ils doivent rinitialiser leur mot de passe ou dverrouiller leur compte. Lorsqu'ils rpondent aux questions correctement, les utilisateurs sont autoriss rinitialiser leur mot de passe ou dverrouiller leur compte, ce qui leur vite de faire appel au personnel d'assistance technique ou l'administrateur. Le chapitre Gestion de l'authentification avec questions , page 135 dcrit l'authentification avec questions. Important : les fonctions autonomes de rinitialisation de mot de passe et de dverrouillage de compte ncessitent la mise en uvre d'une authentification avec questions. Les utilisateurs doivent enregistrer des rponses des questions de scurit pour bnficier de ces fonctions. Si vous choisissez de ne pas utiliser l'authentification avec questions dans votre environnement Password Manager, vos utilisateurs ne disposeront pas des fonctions autonomes de rinitialisation de mot de passe et de dverrouillage de compte.
Considrations
Vous pouvez mettre en uvre le module de fonctions autonomes pour permettre vos utilisateurs de rinitialiser leur mot de passe principal (compte de domaine) ou de dverrouiller leurs comptes de domaine Windows dans un environnement Active Directory uniquement. Lorsque les utilisateurs modifient leur mot de passe d'application l'aide de l'agent Password Manager ou leur mot de passe principal en utilisant la combinaison Ctrl+Alt+Suppr sur un ordinateur dot de l'agent, Password Manager prend automatiquement en compte le changement de mot de passe. Pour prvenir le verrouillage des utilisateurs, ne combinez pas le module de rinitialisation de mot de passe avec uniquement la mthode de vrification d'identit du mot de passe prcdent. lorsque le mot de passe prcdent est la seule mthode disponible pour les utilisateurs, ceux qui l'oublient ne peuvent plus accder au systme. Leurs donnes doivent tre rinitialises
Autorisation des utilisateurs grer leurs informations d'identification principales avec les fonctions autonomes
ou supprimes du magasin central et de toutes les machines clientes o elles sont stockes. Ils doivent de nouveau entrer leurs informations d'identification pour toutes les applications. Veuillez consulter la section Rinitialisation et suppression des donnes utilisateur , page 121.
Utilisation de la gestion automatique de cls avec les fonctions autonomes

Combiner la gestion automatique de cls avec les fonctions autonomes confre davantage de convivialit aux utilisateurs qui ont besoin d'un accs des applications protges par mot de passe gres par l'Agent Password Manager. Par exemple, si des utilisateurs rinitialisent leur mot de passe principal, ils n'ont pas besoin de rpondre aux questions de scurit aprs avoir rinitialis leur mot de passe avec succs. (Toutefois, ils doivent rpondre aux questions de scurit pendant le processus de rinitialisation de mot de passe.) Avec la gestion automatique de cls, les utilisateurs n'ont pas besoin de confirmer leur identit aprs avoir dverrouill leur compte ou rinitialis leur mot de passe de domaine. Pour plus d'informations, veuillez consulter la section Exprience pour l'utilisateur , page 156.
Rsum des tches d'implmentation des fonctions autonomes

Pour utiliser les fonctions autonomes, procdez comme suit :
Tche Installation du module de fonctions autonomes de Password Manager Installation du module de gestion de cls Configuration de l'authentification avec questions Cration d'une configuration utilisateur avec activation de l'une des fonctions autonomes de rinitialisation de mot de passe et de dverrouillage de compte (ou des deux) Installation et configuration de l'agent Reportez-vous la section : Installation et configuration du Service Password Manager dans le Guide d'installation Citrix Password Manager. Gestion de l'authentification avec questions , page 135 Activer les fonctions autonomes de compte , page 114
Installation et configuration de l'Agent Password Manager dans le Guide d'installation Citrix Password Manager.
156
Oubli des questions de scurit par l'utilisateur

Si les utilisateurs oublient leurs rponses aux questions de scurit, vous devez rinitialiser leur enregistrement aux fonctions autonomes dans la Console Password Manager. Aprs rinitialisation des utilisateurs, l'assistant d'enregistrement apparat leur prochaine ouverture de l'Agent. Ils peuvent alors enregistrer leurs rponses aux questions de scurit.
Pour rinitialiser l'enregistrement des utilisateurs dans les fonctions autonomes
1. 2. 3. 4. 5.
Cliquez sur Dmarrer > Programmes > Citrix > Consoles de gestion > Access Management Console. Dveloppez le nud Password Manager, le nud Vrification d'identit et slectionnez Authentification avec questions. Dans la zone Autres tches, cliquez sur Effacer les questions de scurit d'un utilisateur. Dans la bote de dialogue Slectionnez Utilisateur, tapez le nom de l'utilisateur ou du groupe d'utilisateurs et cliquez sur OK. Confirmez la demande de rinitialisation pour l'utilisateur slectionn.
Exprience pour l'utilisateur

Une fois que l'agent et le service sont installs et configurs, les fonctions autonomes modifient la bote de dialogue d'ouverture de session de Windows de l'utilisateur et la bote de dialogue Dverrouillage de l'ordinateur (disponible lorsque les utilisateurs verrouillent leur ordinateur avec la combinaison de touches CTRL-ALT-SUPPR) en y ajoutant un bouton Fonctions autonomes de compte. Pour pouvoir accder aux fonctions autonomes, les utilisateurs doivent se connecter leur compte de domaine principal et enregistrer des rponses dans les fonctions de scurit. Une fois qu'ils se sont enregistrs correctement, ils peuvent utiliser les fonctions autonomes de rinitialisation de mot de passe et de dverrouillage de compte. Comme vous l'avez vu la section Utilisation de la gestion automatique de cls avec les fonctions autonomes , page 155, la gestion automatique de cls permet aux utilisateurs de ne pas confirmer leur identit aprs avoir dverrouill leur compte ou rinitialis leur mot de passe de domaine. Le tableau suivant dcrit les changements engendrs par ces fonctions pour l'utilisateur.
Autorisation des utilisateurs grer leurs informations d'identification principales avec les fonctions autonomes
Sans la gestion automatique des cls L'utilisateur clique sur le bouton Fonctions autonomes de compte. L'utilisateur slectionne Dverrouillage du compte ou Rinitialisation du mot de passe. L'utilisateur rpond correctement aux questions de scurit. L'utilisateur tape et confirme son nouveau mot de passe, clique sur Terminer et se dconnecte. L'utilisateur ouvre une session avec un nouveau mot de passe et l'agent se synchronise avec le magasin central. En fonction des paramtres de configuration de l'utilisateur, il fournit son ancien mot de passe ou rpond des questions de scurit afin de prouver son identit aprs la modification du mot de passe. Si les rponses sont correctes, l'utilisateur peut accder aux applications d'authentification unique configures dans Password Manager. Pour savoir comment viter le verrouillage des utilisateurs, reportez-vous la section Considrations , page 154.
Avec la gestion automatique des cls L'utilisateur clique sur le bouton Fonctions autonomes de compte. L'utilisateur slectionne Dverrouillage du compte ou Rinitialisation du mot de passe. L'utilisateur rpond correctement aux questions de scurit. L'utilisateur tape et confirme son nouveau mot de passe, clique sur Terminer et se dconnecte. L'utilisateur ouvre une session avec un nouveau mot de passe et l'agent se synchronise avec le magasin central. L'utilisateur n'a pas besoin de confirmer son identit. Il a accs aux applications d'authentification unique configures dans Password Manager.
158
Automatisation de la saisie des informations d'identification l'aide de l'habilitation
Remarque : le service d'habilitation permet de rinitialiser les informations d'identification et de supprimer des utilisateurs ainsi que leurs informations d'identification d'application de Password Manager (utilisateurs multiples). Pour plus d'informations sur l'utilisation de ce service pour un utilisateur isol, veuillez consulter la section Rinitialisation et suppression des donnes utilisateur , page 121. L'Agent traitera chaque commande de rinitialisation son dmarrage ou redmarrage (s'il est excut sur le PC de l'utilisateur). Autrement, l'Agent procdera au traitement de toute autre commande d'habilitation au dmarrage ou redmarrage de l'Agent, lorsque l'utilisateur clique sur le bouton Actualiser du Gestionnaire d'informations d'identification de l'Agent. Si une commande de rinitialisation se trouve dans la file d'attente lorsque l'utilisateur clique sur Actualiser, un message indiquant que les donnes utilisateur ont t rinitialises et invitant l'utilisateur redmarrer l'Agent Password Manager s'affiche. Cette section dcrit l'utilisation du module d'habilitation pour la manipulation d'informations d'identification associes aux applications dfinies dans une configuration utilisateur. L'habilitation vous permet d'automatiser ces procdures et de les appliquer plusieurs utilisateurs. Ainsi, vous pouvez utiliser ce module pour liminer l'tape de configuration initiale des informations d'identification pour les utilisateurs excutant l'Agent pour la premire fois. Si vous souhaitez mettre un nouveau logiciel disposition de vos utilisateurs, vous pouvez simplement crer une dfinition pour l'application et utiliser l'habilitation pour ajouter les informations d'identification de tous les utilisateurs qui l'utiliseront. Cette section traite les points suivants : Rcapitulatif des tches d'habilitation , page 160 Gnration d'un modle d'habilitation , page 161 Modification du modle d'habilitation , page 162
160
Informations d'identification de l'habilitation , page 170 Rglage manuel du traitement de l'habilitation , page 171 Kit de dveloppement logiciel (SDK) de l'habilitation , page 171
Rcapitulatif des tches d'habilitation

Pour manipuler les informations d'identification de votre magasin central pour les applications SSO contenues dans des configurations utilisateur, vous devez effectuer les tches suivantes.
Tche 1. Installer le module d'habilitation du service Password Manager. 2. Crer une configuration utilisateur impliquant le service d'habilitation. 3. Gnrer un modle d'habilitation. 4. Remplir le modle l'aide d'informations d'identification et choisir une commande excuter. 5. Traiter les donnes d'habilitation. Reportez-vous la section : Installation et configuration du Service Password Manager dans le Guide d'installation Citrix Password Manager. Cration de configurations utilisateur , page 91. Gnration d'un modle d'habilitation , page 161. Modification du modle d'habilitation , page 162. Informations d'identification de l'habilitation , page 170.
Important : le fichier XML utilis pour fournir les informations d'identification contient des informations utilisateur sensibles. Citrix recommande de supprimer ce fichier ou de le transfrer vers un emplacement scuris lorsque l'habilitation est termine. Aprs ajout, suppression ou modification des informations d'identification dans le magasin central, celles-ci sont prtes tre utilises dans votre environnement. l'ouverture de l'Agent, les informations d'identification sont reconnues par les applications SSO et mises disposition des utilisateurs. Les utilisateurs qui ouvrent l'Agent pour la premire fois n'ont pas besoin de suivre le processus de configuration initiale des informations d'identification dans le magasin central si toutes les informations d'identification ont t ajoutes au magasin central travers l'habilitation.
161
Si vous devez manipuler les informations d'identification d'un grand nombre d'utilisateurs, pensez utiliser le kit de dveloppement logiciel (SDK) de l'habilitation, situ dans le dossier \Support\Provisioning du CD-ROM du produit. Veuillez consulter la section Kit de dveloppement logiciel (SDK) de l'habilitation , page 171. Remarque : l'ajout, la modification ou la suppression des informations d'identification dans le magasin central peuvent requrir une grande quantit de ressources systme. Citrix recommande d'effectuer l'habilitation en dehors des heures de bureau.
Gnration d'un modle d'habilitation

Remarque : la procdure suivante implique que vous ayez cr une configuration utilisateur comprenant au moins l'un des lments suivants : dfinition d'application, groupe d'applications, stratgie de mot de passe (incluant ventuellement un groupe optionnel de partage de mot de passe) et activation de l'habilitation dans la configuration utilisateur. Un modle d'habilitation est un document XML contenant des informations relatives aux applications incluses dans la configuration utilisateur slectionne. Groupe d'applications Nom et identificateur global unique de la dfinition d'application Informations utilisateur telles que le nom d'utilisateur et le mot de passe
Il inclut galement des commandes d'ajout, de suppression et de modification utiliser lors de l'importation du modle modifi dans Password Manager.
Pour gnrer un modle d'habilitation
1. 2. 3. 4.
Cliquez sur Dmarrer > Programmes > Citrix > Consoles de gestion > Access Management Console. Dveloppez le nud Password Manager et slectionnez Configurations utilisateur. Slectionnez une configuration utilisateur. Dans la zone Tches courantes, cliquez sur Gnrer un modle d'habilitation.
162
5. 6.
Dans la bote de dialogue correspondanteGnrer un modle d'habilitation, entrez un nom pour le modle et cliquez sur Enregistrer. Cliquez sur OK pour confirmer la cration d'un modle au format XML.
Le modle obtenu inclut des exemples d'informations de commande et des informations spcifiques sur la configuration utilisateur slectionne. Veuillez consulter la section Modification du modle d'habilitation , page 162.
Modification du modle d'habilitation

Remarque : utilisez un diteur de texte ou un diteur de fichier XML pour modifier le modle gnr. Le modle d'habilitation utilise le langage SPML ( Service Provisioning Markup Language ), qui est une norme XML conue pour l'interchange de donnes. Comme pour le langage XML, veillez que chaque balise ou lment SPML (par exemple, la balise <add>) soit form correctement et soit conforme aux rgles syntaxiques XML. Par exemple, pour supprimer des caractres de commentaire tels que !-- et --, veillez supprimer tout crochet supplmentaire (< ou >) afin d'viter des erreurs lors du traitement du modle d'habilitation. Pour obtenir des informations dtailles sur le langage XML, veuillez consulter le site Web de W3C l'adresse http://www.w3.org/. Veillez supprimer les caractres de commentaire (!-- et --), le cas chant. Le fichier XML du modle d'habilitation vous permet d'utiliser les balises et commandes suivantes. La balise <cpm-provision> , page 163 La balise <user> , page 164 La commande <add> , page 165 La commande <modify> , page 166 La commande <delete> , page 167 La commande <remove> , page 168 La commande <reset> , page 168 La commande <list-credentials> , page 169
163
La balise <cpm-provision>
Notez que vous devez inclure vos balises et commandes dans labalise d'habilitation <cpm-provision> (situe vers la ligne 70 du fichier XML gnr).
<cpm-provision version="1.0" xmlns="http://citrix.com/ Provision/Import"> insrer ici la balise et les commandes <user> </cpm-provision>
Exemple de fichier gnr

Le modle gnr comprend les lments suivants : informations <user> relatives l'utilisateur ayant gnr le modle ; commande <add> pour le nom d'application inclus dans la configuration utilisateur ; commande <modify> accompagne du nom de la dfinition d'application.
Vers la fin du fichier XML figurent des informations propres la configuration utilisateur slectionne, que vous pouvez copier et utiliser dans votre modle. Par exemple :
<user fqdn="DOMAIN\Fred-Admin">     </user>
Par exemple, vous pouvez copier les informations utilisateur situes entre les balises <user> et </user>, en retirer les marques de commentaire, puis les modifier pour chaque utilisateur dont vous souhaitez ajouter les informations d'identification. Remarque : dans l'exemple ci-dessus, <user fqdn="DOMAIN\FredAdmin"> reprsente le domaine et le nom de l'utilisateur ayant gnr le modle. Vous pouvez ajouter des commentaires ces informations ou les supprimer si vous ne souhaitez pas les enregistrer dans le modle.
La balise <user>
Utilisez la balise <user> pour ajouter les informations de domaine et de nom de chaque utilisateur dont vous souhaitez fournir les informations d'identification d'application. Vous devez fournir une balise <user> pour chaque utilisateur habiliter. Chaque balise <user> contient galement les commandes excuter sur le compte de cet utilisateur. La syntaxe de cette commande est la suivante.
<user fqdn="votreDomaine\usrid"> <commande> </user>
o :
votreDomaine IDUtilisateur commande Indique le nom de domaine de l'utilisateur ajouter. Indique le nom d'utilisateur ajouter. Indique une ou plusieurs commandes excuter sur cet utilisateur : <add> <modify> <delete> <remove> <reset> <list-credentials>
165
La commande <add>
La commande <add> vous permet d'ajouter un nom d'utilisateur et mot de passe requis pour les applications incluses dans la configuration utilisateur. La syntaxe de cette commande est la suivante.
<add> <application name="%NOMAPP%">%GUIDAPP%</application> <name>%NOMINFOIDENTIFICATION%</name> <description>DescriptionLongue</description> <hidden-description>description masque %NOMAPP% </hidden-description> <userID>idutilisateur</userID> <password>mot de passe</password> <custom-field index="1" label="%TEXTELGENDE%"> custom-field1 </custom-field> <custom-field index="2" label="%TEXTELGENDE%"> custom-field2 </custom-field> </add>
o :
<application> Obligatoire. L'lment <application> et ses attributs sont en principe gnrs automatiquement la gnration d'un modle. L'attribut name= est facultatif. %NOMAPP% est le nom de la dfinition d'application incluse dans la configuration utilisateur slectionne. %GUIDAPP% est l'identificateur global unique de l'application et doit concorder. <name> Obligatoire. L'lment <name> et ses attributs sont en principe gnrs automatiquement. %NOMINFOIDENTIFICATION% est le nom de l'application incluse dans la dfinition d'application. <description> <hidden-description> <userID> <password> Facultatif. Entrez un texte dcrivant la configuration utilisateur. Facultatif. Entrez le texte de votre choix. Obligatoire. idutilisateur est le nom d'utilisateur ajouter. Obligatoire. mot de passe est le mot de passe de l'utilisateur ajouter.
166
<custom-field>
Obligatoire si un autre champ est requis pour l'authentification (par exemple, champ dans lequel l'utilisateur doit entrer le domaine). Utilisez autant de champs personnaliss que le requiert l'application.
La commande <modify>
La commande <modify> vous permet de modifier un nom d'utilisateur et mot de passe requis pour les applications incluses dans la configuration utilisateur. Important : cette commande requiert les informations d'identification de l'utilisateur. Vous pouvez rcuprer ces informations d'identification l'aide de la commande <list-credentials> avant d'utiliser la commande <modify>. Veuillez consulter la section La commande <list-credentials> , page 169. Incluez uniquement les lments modifier. Pour laisser une valeur inchange, supprimez la ligne correspondante. Par exemple, supprimez l'lment <name> pour conserver le nom de l'application. Pour modifier une valeur, spcifiez la valeur dans le modle. Par exemple, incluez l'lment <name> pour spcifier un nouveau nom d'application. Une valeur est efface en incluant l'lment sans insrer de valeur. Par exemple, utilisez <description></description> pour supprimer la description actuelle.
La syntaxe de cette commande est la suivante.

<modify> <credential-id>%ID-INFOIDENTIFICATION%</credential-id> <name>%NOMINFOIDENTIFICATION%</name> <description>DescriptionLongue</description> <hidden-description>description masque %NOMAPP% </hidden-description> <userID>idutilisateur</userID> <password>mot de passe</password> <custom-field index="1" label="%TEXTELGENDE%"> custom-field1 </custom-field> <custom-field index="2" label="%TEXTELGENDE%"> custom-field2 </custom-field> </modify>
o :
167
<credential-id>
Obligatoire. La valeur de l'identificateur global unique des informations d'identification (%IDINFOIDENTIFICATION%) de l'utilisateur doit correspondre la valeur renvoye par une commande <list-credentials>. Veuillez consulter la section La commande <listcredentials> , page 169. Facultatif. L'lment <name> et ses attributs sont en principe gnrs automatiquement. %NOMINFOIDENTIFICATION% est le nom de l'application incluse dans la dfinition d'application.
<name>
<description> <hidden-description> <userID> <password> <custom-field>
Facultatif. Entrez un texte dcrivant la configuration utilisateur. Facultatif. Entrez le texte de votre choix. Obligatoire. idutilisateur est le nom d'utilisateur modifier. Obligatoire. motdepasse est le mot de passe de l'utilisateur modifier. Obligatoire si un autre champ est requis pour l'authentification (par exemple, champ dans lequel l'utilisateur doit entrer le domaine). Utilisez autant de champs personnaliss que le requiert l'application.
La commande <delete>
La commande <delete> vous permet de supprimer les informations d'identification d'un utilisateur pour une application SSO particulire. Important : cette commande requiert les informations d'identification de l'utilisateur. Vous pouvez rcuprer ces informations d'identification l'aide de la commande <list-credentials> avant d'utiliser la commande <delete>. Veuillez consulter la section La commande <list-credentials> , page 169. La syntaxe de cette commande est la suivante.
<user fqdn="votreDomaine\IDUtilisateur"> <delete> <credential-id>%ID-INFOIDENTIFICATION%</credential-id> </delete> </user>
o :
votreDomaine IDUtilisateur Indique le nom de domaine de l'utilisateur. Indique le nom de l'utilisateur.
168
<credential-id>
Obligatoire. La valeur de l'identificateur global unique des informations d'identification (%IDINFOIDENTIFICATION%) de l'utilisateur doit correspondre la valeur renvoye par une commande <list-credentials>. Veuillez consulter la section La commande <listcredentials> , page 169.
La commande <remove>
Remarque : cette commande est identique la tche Supprimer les donnes utilisateur du magasin central de la Console Password Manager. Veuillez consulter la section Supprimer les informations utilisateur du magasin central , page 123. La commande <remove> vous permet de supprimer des donnes et informations utilisateur du magasin central. Utilisez cette commande lorsqu'un utilisateur quitte dfinitivement votre entreprise. Le magasin local d'informations d'identification de l'ordinateur de l'utilisateur reste intact jusqu' sa suppression par un administrateur ou un oprateur. La syntaxe de cette commande est la suivante.
<user fqdn="votreDomaine\IDUtilisateur"> <remove /> </user>
o :
La commande <reset>
Remarque : cette commande est identique la tche Rinitialiser les donnes utilisateur de la Console Password Manager. Veuillez consulter la section Rinitialisation des donnes utilisateur , page 121. L'Agent traitera chaque commande de rinitialisation son dmarrage ou redmarrage (s'il est excut sur le PC de l'utilisateur). Autrement, l'Agent procdera au traitement de toute autre commande d'habilitation au dmarrage ou redmarrage de l'Agent, lorsque l'utilisateur clique sur le bouton Actualiser du Gestionnaire d'informations d'identification de l'Agent.
169
Si une commande de rinitialisation se trouve dans la file d'attente lorsque l'utilisateur clique sur Actualiser, un message indiquant que les donnes utilisateur ont t rinitialises et invitant l'utilisateur redmarrer l'Agent Password Manager s'affiche. La commande <reset> vous permet de rinitialiser les informations utilisateur de votre magasin central, ce qui a pour effet de renvoyer l'utilisateur slectionn son tat initial. Dans le cas de magasins centraux autres que Active Directory, les dossiers de l'utilisateur sont conservs, mais toutes ses donnes (informations d'identification, questions et rponses d'enregistrement, etc.) sont supprimes. Dans le cas de magasins centraux Active Directory, les donnes de l'utilisateur sont supprimes et l'utilisateur est marqu de l'indicateur de rinitialisation des donnes. La syntaxe de cette commande est la suivante.
<user fqdn="votreDomaine\IDUtilisateur"> <reset /> </user>
o :
La commande <list-credentials>
La commande <list-credentials> vous permet de rcuprer les informations d'identification d'un utilisateur particulier pour chaque application de la configuration utilisateur associe. Les commandes <modify> et <delete> ncessitent d'utiliser l'identificateur global unique des informations d'identification rcupres comme valeur du paramtre %CREDENTIAL-ID%. Veuillez consulter les sections La commande <modify> , page 166 et La commande <delete> , page 167. Le numro d'identification rcupr par cette commande est un identificateur global unique d'informations d'identification (par exemple, 634EE015-10C24ed2-80F5-75CCA9AA5C11). La syntaxe de cette commande est la suivante.
<user fqdn="votreDomaine\IDUtilisateur"> <list-credentials /> </user>
o :
170
votreDomaine IDUtilisateur
Indique le nom de domaine de l'utilisateur ajouter. Indique le nom d'utilisateur ajouter.
Informations d'identification de l'habilitation

Utilisez la Console pour effectuer les tches d'habilitation du fichier XML. Password Manager valide la syntaxe de chaque commande, excute les commandes et ajoute ou modifie les donnes du magasin central.
Pour traiter votre modle d'habilitation
Attention : ne fermez pas l'cran de l'habilitation tant que ce processus n'est pas termin. Cela n'entrane pas la fin du processus. Nanmoins, il devient alors impossible de recueillir quelque information que ce soit ou de suspendre le processus. 1. 2. 3. 4. 5. 6. Cliquez sur Dmarrer > Programmes > Citrix > Consoles de gestion > Access Management Console. Dveloppez le nud Password Manager et slectionnez Configurations utilisateur. Slectionnez une configuration utilisateur ou un groupe d'applications d'une configuration utilisateur. Dans la zone Tches courantes, cliquez sur Excution de l'habilitation. L'assistant d'habilitation s'affiche. Cliquez sur le bouton Suivant. Entrez le nom de votre fichier XML d'habilitation ou cliquez sur le bouton Parcourir pour le rechercher, puis cliquez sur Suivant. Password Manager valide le fichier XML. Si aucune erreur de syntaxe n'est dtecte, un rcapitulatif des modifications possibles est prsent. Vous pouvez enregistrer ce rcapitulatif. Si des erreurs de syntaxe ou autres sont trouves, un journal des erreurs s'affiche. Vous pouvez l'enregistrer, puis cliquer sur Annuler pour fermer l'assistant.
7.
Si aucune erreur n'est trouve, cliquez sur Suivant pour excuter les commandes du fichier.
171
tant donn la modification des informations dans le magasin central, toute erreur rsultant de l'habilitation est affiche. Pour arrter l'habilitation en cours, cliquez sur Abandonner. Lorsque Password Manager atteint la fin de la section de donnes en cours de traitement (par dfaut, les donnes sont traites par groupes de 50 lignes de code), l'habilitation se termine. 8. Cliquez sur le bouton Terminer pour fermer l'assistant. Vous pouvez galement cliquer sur le bouton Enregistrer dans un fichier pour conserver les rsultats de l'habilitation.
Rglage manuel du traitement de l'habilitation

Attention : les informations suivantes dcrivent la modification manuelle des paramtres de registre. Vous devez toujours sauvegarder votre registre avant de le modifier manuellement. Par dfaut, si vous utilisez Password Manager pour l'habilitation, vos informations sont traites par lot de 50 commandes en respectant un temps d'arrt de 100 000 millisecondes. Vous pouvez modifier ces valeurs par dfaut dans les cls de registre suivantes : HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\MetaFrame Password Manager\Console\Provisioning\BatchSize Type : DWORD Valeur par dfaut : 50 HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\MetaFrame Password Manager\Console\Provisioning\ServiceTimeout Type : DWORD Valeur par dfaut en millisecondes : 100000
Kit de dveloppement logiciel (SDK) de l'habilitation

Situ dans le dossier \Support\Provisioning du CD-ROM du produit, le kit de dveloppement logiciel (SDK) de l'habilitation fournit une description des API disponibles aprs installation du module d'habilitation du service Password Manager. Vous pouvez utiliser le SDK et les exemples de code inclus pour crer vos propres clients d'habilitation destins tre utiliss avec Password Manager.
172
Le Bureau dynamique : un environnement de bureau partag destin aux utilisateurs
Remarque : le Bureau dynamique n'est pris en charge que sous Microsoft Windows 2000 Professionnel, Microsoft Windows XP Embedded et Microsoft Windows XP Professionnel, Service Pack 2, 32 bits. Il n'est pas pris en charge par les systmes d'exploitation 64 bits ou tout systme d'exploitation pour serveur. La fonction Bureau dynamique de Citrix Password Manager permet aux utilisateurs de partager leur station de travail de faon sre et efficace. Le Bureau dynamique tend l'environnement Windows standard en permettant aux utilisateurs de : s'authentifier rapidement auprs de Windows l'aide de la bote de dialogue d'ouverture de session interactive GINA ; excuter des applications actives par authentification unique dans le shell interactif de l'utilisateur en utilisant ses informations d'identification Citrix Password Manager ; se dconnecter de la station de travail Bureau dynamique pour que d'autres utilisateurs puissent excuter des applications.
Le Bureau dynamique offre la fois une rotation acclre des utilisateurs et une scurit supplmentaire grce l'accs l'authentification unique de Password Manager. Cette fonctionnalit n'est pas installe par dfaut, vous pouvez la slectionner pendant l'installation de l'Agent. Vous pouvez galement l'ajouter lors d'une mise niveau de vos dploiements. Toutefois, avant de pouvoir implmenter le Bureau dynamique, vous devez le configurer selon les besoins de votre environnement et de votre entreprise. Cette section traite les points suivants : Rcapitulatif des tches du Bureau dynamique , page 174 Processus de dmarrage et de fermeture du Bureau dynamique , page 175
174
Cration d'un compte Bureau dynamique partag , page 178 Conditions requises pour les applications utilises dans le Bureau dynamique , page 180 Dfinition du comportement des applications pour les utilisateurs du Bureau dynamique , page 181 Paramtres de configuration utilisateur du Bureau dynamique , page 190 Installation du Bureau dynamique , page 193 Dsinstallation du Bureau dynamique , page 195 Interaction avec les clients Citrix Presentation Server , page 197 Affichage des profils utilisateur du Bureau dynamique , page 198 Fermeture d'une station de travail du Bureau dynamique , page 199 Absence de prise en charge de la fonction AutoAdminLogon , page 199 Modification du mot de passe du compte partag de Bureau dynamique , page 200 Informations du Bureau dynamique sur le Web , page 201
Rcapitulatif des tches du Bureau dynamique

Toutefois, avant la mise en place de cette fonctionnalit, vous devez : crer un compte Bureau dynamique partag ; crer des configurations utilisateur avec des paramtres de Bureau dynamique spcifiques dfinissant l'exprience de l'utilisateur ; dfinir le comportement du Bureau dynamique au dmarrage et la fermeture, y compris : les applications qui doivent tre lances au dmarrage et les applications qui doivent utiliser les informations d'identification et autorisations du compte utilisateur ou du compte Bureau dynamique partag ; les applications qui sont persistantes et qui doivent tre excutes mme lorsque les utilisateurs se dconnectent (pour permettre la rotation acclre des utilisateurs) et les applications qui doivent tre fermes lorsque l'utilisateur se dconnecte, y compris les scripts et applications de nettoyage facultatifs qui suppriment les informations de l'utilisateur d'une session une autre.
175
Pour configurer et activer le Bureau dynamique, effectuez les tches suivantes :

Tche 1. Crer un compte Bureau dynamique partag accessible chaque station de travail ou machine cliente excutant le Bureau dynamique. 2. Dterminer quelles applications actives par SSO doivent tre excutes dans l'environnement Bureau dynamique. 3. Dterminer quelles applications sont excutes dans le Bureau dynamique et configurez l'environnement utilisateur du Bureau dynamique. 4. Crer ou modifier une configuration utilisateur pour slectionner des options Bureau dynamique. Reportez-vous la section Cration d'un compte Bureau dynamique partag , page 178
Conditions requises pour les applications utilises dans le Bureau dynamique , page 180 Dfinition du comportement des applications pour les utilisateurs du Bureau dynamique , page 181 Fichier Session.xml , page 184 Fichier process.xml , page 187 Paramtres de configuration utilisateur du Bureau dynamique , page 190 Configuration de l'interaction de l'Agent , page 102 Paramtres avancs , page 104 Installation du Bureau dynamique , page 193 Dsinstallation du Bureau dynamique , page 195
5. Installer l'Agent en slectionnant la fonction Bureau dynamique. 6. Dsinstaller le Bureau dynamique si ncessaire.
Processus de dmarrage et de fermeture du Bureau dynamique

Cette section traite les points suivants : vnements de dmarrage et de fermeture du Bureau dynamique , page 175 Rsolution des problmes de dmarrage utilisateur du Bureau dynamique , page 177
vnements de dmarrage et de fermeture du Bureau dynamique

Ce processus dcrit les vnements associs au dmarrage et la fermeture du Bureau dynamique. Lorsque la station de travail ou la machine cliente dmarre, une session est automatiquement ouverte avec le compte partag, ce qui permet une excution en mode de bureau partag.
176
Remarque : le compte partag est ouvert en permanence. Les utilisateurs ne sont pas autoriss le fermer. 1. Un utilisateur du Bureau dynamique ouvre une session sur la machine de travail et entre un nom d'utilisateur et un mot de passe ou utilise un systme d'authentification renforce, telle qu'une carte puce. Aprs authentification, la session du Bureau dynamique dmarre. Password Manager dmarre. L'Agent synchronise ses donnes avec celles du magasin central. Ainsi, l'utilisateur dispose des dfinitions d'application, des stratgies de mot de passe et autres rglages d'Agent les plus rcents. Le systme lit le fichier session.xml et dmarre les applications dfinies pour une excution avec le compte partag ou le compte d'utilisateur du Bureau dynamique. Veuillez consulter la section Fichier Session.xml , page 184. Il peut s'agir d'applications locales ou distantes publies par Presentation Server. L'utilisateur accde aux applications pour effectuer les tches lies sa fonction. L'utilisateur du Bureau dynamique ferme sa session. Remarque : lorsque la machine de travail n'est pas utilise, le Bureau dynamique lance un compteur d'expiration. Dans la Console Password Manager, vous pouvez spcifier un dlai d'expiration pour une machine de travail inactive. Si ce dlai est dpass, le Bureau dynamique verrouille la machine de travail. Aprs un intervalle supplmentaire d'inactivit, le Bureau dynamique met fin la session. Veuillez consulter la section Spcification des options de dlai d'expiration de session du Bureau dynamique , page 191. 6. Le Bureau dynamique laisse les applications ouvertes ou les ferme selon les paramtres dfinis dans process.xml. Pour plus d'informations, veuillez consulter la section Fichier process.xml , page 187. Password Manager est ferm. Tous les scripts de fermeture spcifis dans le fichier session.xml sont excuts. La session du Bureau dynamique est ferme.
2. 3.
4.
5.
7. 8. 9.
177
Rsolution des problmes de dmarrage utilisateur du Bureau dynamique

Lorsqu'un utilisateur se connecte un ordinateur excutant l'Agent Password Manager configur pour le Bureau dynamique, il est possible que les scripts de dmarrage spcifis dans le fichier session.xml soient excuts avant que l'Agent Password Manager ne soit compltement lanc. Au cours du dmarrage, le Bureau dynamique attend 30 secondes que l'Agent dmarre avant de lancer les scripts de dmarrage. Au bout de 30 secondes, les scripts de dmarrage sont excuts, mme si le lancement de l'Agent Password Manager n'est pas compltement termin. Cette situation est plus susceptible de se produire durant la connexion initiale de l'utilisateur (galement appel utilisateur initial), lorsque l'administrateur Password Manager a identifi une liste d'applications qui requirent des informations d'identification ou des rponses des questions de scurit. Dans ce cas, la squence d'vnements est la suivante : 1. L'utilisateur se connecte l'ordinateur ou la machine cliente excutant l'Agent et est invit enregistrer ses informations d'identification pour les applications indiques ou entrer des rponses aux questions de scurit. Pendant que l'utilisateur effectue ces tches, 30 secondes sont coules et les scripts de dmarrage du Bureau dynamique sont excuts. Il est possible qu'une srie de fentres s'affichent et se ferment, selon les applications spcifies dans les scripts de dmarrage du fichier session.xml. Cette situation peut tre frustrante pour l'utilisateur car l'ordinateur active constamment les fentres de scripts de dmarrage. Une fois que les scripts de dmarrage sont termins, un message d'erreur s'affiche. Ce message d'erreur est similaire : Une ou plusieurs erreurs se sont produites. Consultez le journal des vnements pour plus d'informations .
2.
3. 4.
Bien que ce comportement soit frustrant pour l'utilisateur, il n'a aucun effet nfaste sur les donnes de l'utilisateur, l'environnement de travail ni Password Manager. Citrix vous recommande d'indiquer aux utilisateurs de ne pas enregistrer leurs informations d'identification d'ouverture de session ni les rponses aux questions de scurit tant que le message d'erreur ne s'affiche pas. Ils peuvent alors fermer le message d'erreur et procder l'enregistrement. Aprs la fermeture du message d'erreur et l'enregistrement, si une application spcifie dans session.xml n'est pas encore ouverte, indiquez l'utilisateur de se dconnecter, puis de se reconnecter au compte. Cette opration redmarre les scripts de dmarrage du Bureau dynamique et les excute sans interruption tant donn que l'enregistrement est prsent termin et ne retarde pas le processus.
178
Pour plus d'informations sur les scripts de dmarrage et de fermeture, veuillez consulter la section Dfinition du comportement des applications pour les utilisateurs du Bureau dynamique , page 181.
Cration d'un compte Bureau dynamique partag

Vous devez crer un compte partag de Bureau dynamique pour les machines clientes ou les stations de travail sur lesquelles sera excute cette fonctionnalit. Ce compte partag peut tre un compte de domaine ou un compte local sur la machine. Lorsque vous installez le Bureau dynamique sur la machine cliente, vous devez fournir des informations d'identification pour le compte partag. Lorsque la station de travail ou la machine cliente dmarre, une session est automatiquement ouverte avec le compte partag, ce qui permet une excution en mode de bureau partag. Les sessions utilisateur sont excutes par-dessus la session Windows du compte partag. Les utilisateurs ne peuvent pas modifier le compte partag moins que vous ne leur en donniez l'autorisation. Les utilisateurs dmarrent une session du Bureau dynamique en entrant leurs informations d'identification de domaine Windows. Un compte d'utilisateur Windows est appel utilisateur du Bureau dynamique dans l'environnement du Bureau dynamique.
Instructions sur la cration du compte partag de Bureau dynamique

Suivez les instructions suivantes pour crer le compte partag. Vrifiez que le compte n'appartient pas au groupe Administrateurs du domaine ou local. Ce compte partag peut tre un compte local ou de domaine. Tous les privilges disponibles pour le compte partag sont uniquement accessibles aux utilisateurs du Bureau dynamique pour les applications que vous spcifiez. En d'autres termes, vous pouvez dterminer quelles applications sont lances avec les informations d'identification du compte partag du Bureau dynamique et quelles applications sont lances avec les informations d'identification de domaine Windows de l'utilisateur. L'installation du Bureau dynamique entrane la vrification du nom d'utilisateur et du domaine du compte partag. Lorsque vous crez ce compte, assurez-vous que vous slectionnez l'option Le mot de passe nexpire pas. N'utilisez pas des informations d'identification expires. Vrifiez que le compte dispose de droits d'accs limits. Limiter les permissions lutilisation du Bureau dynamique seulement.
179
Indiquez le nom du domaine auquel appartient la machine, au format NetBIOS et non sous forme de nom de domaine complet (FQDN). Si vous utilisez un compte local, indiquez le nom d'hte de la machine. En rgle gnrale, il est prfrable de nommer le compte partag Bureau dynamique . Ainsi, les utilisateurs voient s'afficher un message de fermeture de session au Bureau dynamique lorsqu'ils ferment leur session dans l'environnement Windows 2000. Si vous utilisez un nom obscur, les utilisateurs le voient s'afficher lors de la fermeture de session et peuvent ne pas comprendre. Si vous disposez de plusieurs groupes d'utilisateurs du Bureau dynamique, vous pouvez nommer chaque compte partag en consquence, par exemple : Bureau partag Marketing , Bureau partag Comptabilit , etc.
Organisation des utilisateurs du Bureau dynamique

Si vous envisagez de dployer le Bureau dynamique, il peut tre utile de configurer d'abord l'environnement utilisateur. Par exemple, vous pouvez grouper les utilisateurs du Bureau partag dans une ou plusieurs units organisationnelles ou groupes Active Directory. En outre, vous pouvez organiser les utilisateurs qui utilisent la fois le Bureau dynamique et leur propre station de travail en plusieurs groupes (et dfinir leur priorit). Cette mthode vous permet d'appliquer les paramtres, les dfinitions d'applications, les stratgies de mot de passe et d'autres informations de configuration du Bureau dynamique aux utilisateurs de ces units organisationnelles.
Restrictions des droits des utilisateurs

Une machine du Bureau dynamique est partage par tous les utilisateurs du Bureau dynamique. Il peut donc tre ncessaire de restreindre les autorisations au strict minimum requis pour utiliser les applications spcifies. Par exemple, les utilisateurs du Bureau dynamique ne doivent pas tre en mesure d'arrter la machine. Ce privilge doit tre rserv au groupe des administrateurs.
Bureau dynamique, cartes puce et rcupration de cl

Remarque : slectionnez l'option de protection des donnes de configurations de l'utilisateur Certificat de carte puce si les utilisateurs utilisent des cartes puce dans l'environnement du Bureau dynamique.
180
Si vous dployez le Bureau dynamique dans un environnement o les utilisateurs se connectent l'aide de cartes puce, ne slectionnez pas l'option Saisie du mot de passe prcdent comme seule mthode de rcupration de cl et de protection des donnes pour ces utilisateurs. Les utilisateurs utilisant ce type d'environnement ne peuvent pas entrer l'ancien mot de passe correct et risquent d'tre verrouills hors du systme. Pour viter ce problme, slectionnez l'option de rcupration de cl pour la gestion de cls automatique ou autorisez galement l'authentification base sur des questions. Pour plus d'informations, veuillez consulter les sections : Instructions relatives aux choix d'authentification principale et de protection des informations d'identification multiples, page 52 du Guide dinstallation Citrix Password Manager Cration de configurations utilisateur , page 91 Authentification des utilisateurs et vrification d'identit , page 129 Gestion de l'authentification avec questions , page 135
Conditions requises pour les applications utilises dans le Bureau dynamique

Les applications utilises dans l'environnement Bureau dynamique doivent rpondre aux critres suivants. Les applications ncessitant des informations d'identification doivent tre dfinies en vue d'une utilisation avec Password Manager dans les dfinitions d'applications et les configurations utilisateur. Les applications lances l'aide du compte partag doivent pouvoir tre excutes dans l'environnement interactif Windows. Dans cette situation, les applications (et les utilisateurs du Bureau dynamique) doivent avoir accs aux profils utilisateur, aux partages rseau et aux autres ressources associes au compte partag. Les applications doivent s'arrter normalement lorsqu'elles en reoivent la demande. Le Bureau dynamique met fin aux applications selon des procdures similaires une fermeture de session interactive Windows. Cette fermeture normale est particulirement importante dans l'environnement Bureau dynamique car l'application peut tre utilise plusieurs fois avant l'arrt de la station de travail ou machine cliente. Toute application qui doit enregistrer des donnes sensibles dans le profil utilisateur ou qui doit accder au profil utilisateur pour des rglages doit tre excute avec le compte d'utilisateur du Bureau dynamique. Les
181
applications pouvant partager des informations de configuration peuvent tre excutes avec le compte partag. Les administrateurs peuvent utiliser un script d'arrt de session spcifi dans le fichier session.xml pour s'assurer que les fichiers propres aux utilisateurs sont supprims la fin de chaque session. Veuillez consulter la section Dfinition du comportement des applications pour les utilisateurs du Bureau dynamique , page 181. Important : si vous souhaitez que Password Manager soumette des informations d'identification dans un environnement de Bureau dynamique pour les mulateurs de terminal qui stockent des informations dans la cl HKEY_CURRENT_USER, vous devez excuter ces applications avec le compte d'utilisateur du Bureau dynamique. Indiquez les mulateurs de terminal excuter avec le compte d'utilisateur du Bureau dynamique dans la section ShellExecute du fichier process.xml. Pour excuter un mulateur de terminal au dmarrage de session, dsignez-le dans la section de script de dmarrage du fichier session.xml. Les mulateurs de terminal doivent tre excuts avec le compte d'utilisateur du Bureau dynamique dans le script de dmarrage. Veuillez consulter la section Dfinition du comportement des applications pour les utilisateurs du Bureau dynamique , page 181.
Dfinition du comportement des applications pour les utilisateurs du Bureau dynamique

Password Manager fournit deux fichiers permettant de dfinir le comportement des applications dans un environnement Bureau dynamique : session.xml et process.xml. Cette section traite les points suivants : Avant de commencer , page 182 Fichier Session.xml , page 184 Lancement d'applications l'aide de Session.xml , page 184 Balises du fichier Session.xml , page 185 Exemple : Lancement d'Internet Explorer , page 186 Exemple : Nettoyage d'une session l'aide d'un script , page 187 Fichier process.xml , page 187
182
Remarque : voir aussi la section Processus de dmarrage et de fermeture du Bureau dynamique , page 175.
Avant de commencer
Important : vous ne pouvez pas indiquer la fois qu'un processus doit tre excut comme un compte partag du Bureau dynamique dans le fichier session.xml et qu'il doit tre excut en tant qu'utilisateur de Bureau dynamique (HDU) dans le fichier process.xml. Les entres du fichier session.xml remplacent celles de l'lment <shellexecute_processes> du fichier process.xml. Pour vous connecter au PC, la station de travail ou la machine cliente pour des besoins d'administration (par exemple, pour modifier le fichier process.xml), maintenez la touche Maj enfonce durant le processus de dmarrage de Windows. Pour plus d'informations sur le contournement de l'ouverture de session Windows automatique, veuillez consulter le site Web Microsoft. Les variables d'environnement suivantes ne sont pas prises en charge lors de l'excution des scripts du fichier session.xml, des scripts d'expiration du mot de passe ou de tout autre script, fichier excutable ou fichier de traitement par lots depuis une session utilisateur du Bureau dynamique : APPDATA, HOMEDRIVE, HOMEPATH, HOMESHARE et LOGONSERVER. Si l'une des variables non prises en charge est utilise, le script, l'application ou le fichier excutable risque de ne pas tre excut. Pour viter ce problme, il est prfrable que les applications n'accdent pas aux variables d'environnement non prises en charge pendant la dure d'une session utilisateur du Bureau dynamique. Vous devez expliquer aux utilisateurs qu'ils doivent fermer les applications dsignes comme tant des processus persistants. Par exemple, si un utilisateur lance un processus persistant, cre un fichier puis laisse le fichier ouvert lorsqu'il ferme sa session du Bureau dynamique, le prochain utilisateur qui ouvre une session peut accder au contenu du fichier.
183
Important : les utilisateurs doivent donc toujours fermer les applications dont le contenu est sensible et qui sont dfinies comme des processus persistants, avant de mettre fin leur session du Bureau dynamique. Lorsque vous dfinissez une application comme un processus persistant dans process.xml et comme script de dmarrage dans session.xml, le nombre d'instances de l'application risque d'augmenter si les utilisateurs ne ferment pas les nouvelles instances d'une session du Bureau dynamique. Pour viter cela, limitez le nombre d'instances en crant un script ou une application gnrale qui lance l'application. Vous pouvez galement modifier l'application elle-mme pour garantir qu'une seule instance est excute tout moment. Les applications lances partir d'une invite de commande sont excutes avec le compte partag mme si elles sont spcifies avec le compte d'utilisateur du Bureau dynamique. Pour excuter des applications partir de l'invite de commande avec le compte d'utilisateur du Bureau dynamique, vous devez spcifier l'invite de commande dans la section <shellexecute_processes> du fichier process.xml. De mme, si l'invite de commande est excute avec le compte partag, si l'association de type de fichier (par exemple, *.txt) est dfinie dans la section <shellexecute_processes> du fichier process.xml et si l'utilisateur excute un fichier ayant l'extension .txt, l'application est excute avec le compte d'utilisateur du Bureau dynamique. Les applications persistantes utilisant le format de fichier 8.3 doivent utiliser ce format dans le chemin d'accs de l'excutable spcifi dans le fichier process.xml. Les balises XML et la mise en forme du fichier process.xml prennent en compte la casse, contrairement aux chemins d'accs et aux noms d'excutable. Si vos utilisateurs excutent SAP Logon for Windows (saplogon.exe), ce fichier doit tre excut en tant qu'utilisateur du Bureau dynamique. Dans le fichier process.xml, spcifiez saplogon.exe dans la balise <shellexecute_processes>. Veuillez consulter la section <shellexecute_processes> , page 189.
184
Fichier Session.xml
Remarque : un exemple de fichier session.xml est disponible dans le dossier \Support du CD-ROM de Password Manager. Utilisez le fichier session.xml pour dfinir les applications lancer lors du dmarrage d'une session de Bureau dynamique (script de dmarrage) et la suppression des fichiers ou autres informations rsultant d'une session utilisateur (script d'arrt). Aprs avoir modifi ce fichier selon vos besoins, placez-le sur un point de partage rseau ou un autre emplacement central pour que les stations de travail Bureau dynamique puissent y accder. Spcifiez cet emplacement du fichier session.xml dans la configuration utilisateur (voir Paramtres de configuration utilisateur du Bureau dynamique , page 190 et Paramtres avancs , page 104).
Lancement d'applications l'aide de Session.xml

Tenez compte des considrations suivantes : Les applications dsignes dans le fichier session.xml doivent dj tre installes sur la station de travail. Le Bureau dynamique est un composant de l'Agent Password Manager. Par consquent, l'Agent dmarre automatiquement et n'a pas besoin d'tre dsign dans ce fichier.
D'autres applications spcifies dans le fichier session.xml peuvent tre lances partir du shell du compte partag du Bureau dynamique, invitant les utilisateurs entrer leurs informations d'identification. L'Agent se comporte alors selon les paramtres dfinis dans les configurations utilisateur. Important : enregistrez le fichier session.xml au format UTF-8. Le codage ANSI est accept si tous les caractres sont compris dans la plage de caractres 0 127 (jeu de caractres anglais standard). Si le fichier session.xml contient des caractres spciaux ou trangers, tels que des caractres asiatiques, vous devez l'enregistrer au format UTF-8.
185
Balises du fichier Session.xml

Notez que vous devez inclure les balises souhaites l'intrieur des balises <session_settings> et </session_settings> du fichier.
<startup_scripts>
Cette section du fichier est utilise pour spcifier les applications lancer avec le compte partag du Bureau dynamique et le compte Windows associ l'utilisateur du Bureau dynamique.
<startup_scripts> <script> <account>compte</account> <working_directory>rpertoire</working_directory> <path>options_de_chemin</path> </script> </startup_scripts>
o :
compte Correspond au compte sous lequel l'application est excute. Vous pouvez choisir entre le nom d'utilisateur HDU ou le nom d'utilisateur du compte partag du Bureau dynamique. Indique le rpertoire de travail de l'application. Indique le chemin d'accs complet du fichier excutable de l'application ou du script sur le PC local, ainsi que toutes les options excuter avec l'application. Par exemple : c:\program files\Internet Explorer\iexplore.exe http://www.yahoo.com
rpertoire options_de_chemin
<shutdown_scripts>
Modifiez les applications d'arrt du fichier session.xml pour supprimer toutes les donnes rsultant d'une session utilisateur ferme. En gnral, ces applications suppriment les fichiers de configuration qui pourraient empcher le prochain utilisateur de travailler, les fichiers contenant des informations sensibles tels que les fichiers journaux et les documents stocks sur le systme. Ces applications garantissent que l'environnement du Bureau dynamique est nettoy en vue de la prochaine session utilisateur. Cette partie du fichier est particulirement utile pour la scurit des donnes.
186
Remarque : si besoin est, vous pouvez lancer des programmes administrateur ou des scripts pour nettoyer l'environnement utilisateur lors de la fermeture. Par exemple, vous pouvez crire un script en Visual Basic qui utilise une application tierce pour supprimer les fichiers .ini de chaque utilisateur.
<shutdown_scripts> <script> <account>compte</account> <working_directory>rpertoire</working_directory> <path>options_de_chemin</path> </script> </shutdown_scripts>
o :
compte Correspond au compte sous lequel l'application de fermeture est excute. Vous pouvez choisir entre le nom d'utilisateur HDU ou le nom d'utilisateur du compte partag du Bureau dynamique. Indique le rpertoire de travail de l'application. Indique le chemin d'accs complet du fichier excutable de l'application ou du script sur le PC local, ainsi que toutes les options excuter avec l'application. Par exemple : c:\cleanup.vbs
rpertoire options_de_chemin
Exemple : Lancement d'Internet Explorer

Lancez Internet Explorer avec l'URL de votre Intranet MaSocit.com Dans ce cas, Internet Explorer est excut comme processus associ l'utilisateur du Bureau dynamique. Notez que vous devez inclure les balises souhaites l'intrieur des balises <session_settings> et </session_settings> du fichier.
<startup_scripts> <script> <account>Bureau dynamique</account> <working_directory>c:\program files\ Internet Explorer</working_directory> <path>c:\program files\Internet Explorer\ iexplore.exe http://www.mycompany.com</path> </script> </startup_scripts>
187
Exemple : Nettoyage d'une session l'aide d'un script

Utilisez un script de fermeture Visual Basic pour nettoyer les donnes utilisateur restantes la fin d'une session. Le script session_cleanup.vbs est lanc en tant que compte partag (appel HDSA) et se situe dans C:\.
<shutdown_scripts> <script> <account>HDSA</account> <working_directory>c:\program files\Internet Explorer</ working_directory> <path>c:\session_cleanup.vbs</path> </script> </shutdown_scripts>
Fichier process.xml
Remarque : le fichier process.xml est cr sur chaque station de travail ou machine sur laquelle le Bureau dynamique est install et se situe dans le dossier C:\Program Files\Citrix\MetaFrame Password Manager\HotDesktop. Un exemple de fichier process.xml est disponible dans le dossier \Support du CDROM de Password Manager. Par consquent, tous les changements que vous souhaitez apporter ce fichier doivent tre effectus individuellement sur chaque machine. Toutefois, consultez l'article du support Citrix http://support.citrix.com/ article/CTX110394 pour savoir comment remplacer chaque fichier process.xml utilisateur l'aide d'une stratgie de groupe de machines dans Active Directory. Utilisez le fichier process.xml pour spcifier quelles applications doivent continuer tre excutes lorsqu'un utilisateur du Bureau dynamique se dconnecte. Ces applications sont appeles applications persistantes ou processus persistants. Vous pouvez galement utiliser le fichier process.xml pour spcifier les applications qui doivent s'arrter lorsqu'un utilisateur du Bureau dynamique se dconnecte. Ces applications sont appeles applications ou processus transitoires. Important : enregistrez le fichier process.xml au format UTF-8. Le codage ANSI est accept si tous les caractres sont compris dans la plage de caractres 0 127 (jeu de caractres anglais standard). Si le fichier process.xml contient des caractres spciaux ou trangers, tels que des caractres asiatiques, vous devez l'enregistrer au format UTF-8.
188
Balises du fichier process.xml

Notez que vous devez inclure les balises souhaites l'intrieur des balises <configuration> et </configuration> du fichier.
<persistent_processes>
Cette section du fichier est utilise pour indiquer quelles applications doivent continuer tre excutes une fois qu'un utilisateur du Bureau dynamique a ferm la session. Les applications spcifies restent alors ouvertes lors de la fermeture (ou dconnexion) des sessions Bureau dynamique, mme si celles-ci ont t lances durant la session. Indiquez le chemin d'accs complet du processus persistant pour garantir que seuls les processus appropris restent ouverts la fin de chaque session.
<persistent_processes> <process> <name>options_de_chemin</name> </process> </persistent_processes>
o :
options_de_chemin Indique le chemin d'accs complet du fichier excutable de l'application ou du script sur le PC local, ainsi que toutes les options excuter avec l'application. Par exemple : c:\program files\Internet Explorer\iexplore.exe http://www.yahoo.com
Remarque : aprs l'installation, l'Agent cre automatiquement une entre pour une application persistante appele activator.exe dans le fichier process.xml. L'application activator.exe fournit aux utilisateurs leur indicateur de session Bureau dynamique. Il s'agit une fentre transparente et dplaable que les utilisateurs voient lorsqu'ils ouvrent une session. Elle contient des informations propos des utilisateurs et de leurs sessions telles qu'elles sont dfinies par l'administrateur. Par dfaut, activator.exe est dfinie en tant que processus persistant afin d'viter son redmarrage chaque ouverture et fermeture de session du Bureau dynamique.
189
<transient_processes>
Remarque : aprs l'installation, l'Agent spcifie automatiquement une application transitoire appele shellexecute.exe dans le fichier process.xml. Par dfaut, elle est dfinie en tant que processus transitoire afin d'viter qu'elle ne se ferme chaque fin de session du Bureau dynamique. Cette section du fichier est utilise pour indiquer quelles applications doivent tre arrtes une fois qu'un utilisateur du Bureau dynamique a ferm la session.
<transient_processes> <process> <name>application</name> </process> </transient_processes>
o :
application Indique le nom de l'application ou du processus qui doit s'arrter. Le chemin complet n'est pas requis. Par exemple : pnagent.exe.
<shellexecute_processes>
Remarque : aprs l'installation, l'Agent spcifie automatiquement une application shell excutable appele ssoshell.exe (Agent Password Manager) dans le fichier process.xml. Par dfaut, elle est dfinie comme un processus excuter en tant qu'utilisateur du Bureau dynamique. Cette section du fichier est utilise pour spcifier les types d'applications ou de fichiers qui doivent tre excuts en tant qu'utilisateur du Bureau dynamique. Ce paramtre permet de garantir la scurit des applications excuter l'aide d'informations d'identification des utilisateurs dj connects. Par exemple, si vous spcifiez l'Agent Program Neighborhood, celui-ci est excut avec les informations d'identification de cet utilisateur lors de son dmarrage. Alors que le script de dmarrage du fichier session.xml spcifie les applications lancer lors de l'ouverture d'une session du Bureau dynamique, <shellexecute_processes> indique les applications qui peuvent tre lances par les utilisateurs ayant dj ouvert une session du Bureau dynamique.
190
<shellexecute_processes> <process> <name>application</name> </process> </shellexecute_processes>
o :
application Indique le nom de l'application ou du processus excuter. Le chemin complet n'est pas requis. Par exemple : pnagent.exe.
Remarque : process.xml autorise l'utilisation du caractre gnrique (*) dans les noms de fichiers statiques tels que Notepad.exe. Les caractres gnriques peuvent tre utiliss seuls ou l'intrieur des noms de fichiers. Par exemple, *.txt, pnagent.exe, et *.doc sont des noms d'application valides.
Paramtres de configuration utilisateur du Bureau dynamique

Les paramtres de configuration utilisateur vous permettent de contrler d'autres lments de l'exprience utilisateur du Bureau dynamique.
Paramtre Chemin d'accs du fichier de paramtres de scripts de session Dlai d'expiration du verrouillage Dlai d'expiration de session Activer l'indicateur de session Graphique de l'indicateur de session Reportez-vous la section Pour paramtrer l'emplacement du fichier session.xml , page 191 Spcification des options de dlai d'expiration de session du Bureau dynamique , page 191 Spcification des options de dlai d'expiration de session du Bureau dynamique , page 191 Activation de l'indicateur de session Bureau dynamique , page 192 Utilisation d'un graphique bitmap personnalis comme indicateur de session , page 192
191
Localisation des paramtres du Bureau dynamique dans une configuration utilisateur

Lorsque vous crez une nouvelle configuration utilisateur, ces paramtres sont disponibles dans la section Paramtres avancs de la bote de dialogue Configuration de l'interaction de l'Agent. Lorsque vous modifiez une configuration utilisateur existante, ces paramtres s'affichent dans le volet Bureau dynamique de la bote de dialogue Modifier la configuration utilisateur.
Voir aussi la section Cration de configurations utilisateur , page 91.

Pour paramtrer l'emplacement du fichier session.xml
1.
Dans le champ du chemin d'accs du fichier de paramtres de scripts de session, entrez l'emplacement du fichier session.xml. Cet emplacement peut tre un dossier de rseau partag. Par exemple, si vous placez votre fichier session.xml sur un point de partage rseau tel que \\Citrix\MPM\Share\, tapez ce chemin d'accs ici.
2.
Redmarrez la station de travail Bureau dynamique une fois que vous avez enregistr la configuration utilisateur et install le fichier session.xml.
Spcification des options de dlai d'expiration de session du Bureau dynamique

Les options de dlai d'expiration permettant de dfinir le temps maximum d'inactivit pour une session du Bureau dynamique avant verrouillage de la station de travail ou fermeture de la session. Dlai d'expiration de session Dfinit le dlai d'expiration en minutes d'une session du Bureau dynamique lorsque la station de travail est verrouille. Si ce dlai est dpass, il est mis fin la session et une nouvelle session s'ouvre lorsque le bureau est dverrouill. La valeur par dfaut est cinq minutes. Dlai d'expiration du verrouillage Cette option spcifie en minutes la dure pendant laquelle une session de Bureau dynamique reste active lorsque le poste de travail est inactif. Si ce dlai est dpass, le bureau est verrouill. La valeur par dfaut est 10 minutes.
192
Remarque : dans un environnement Password Manager utilisant la rcupration de cl automatique en combinaison avec le Bureau dynamique, les modifications de mot de passe ralises par l'administrateur ne sont pas communiques l'Agent des utilisateurs concerns possdant une session du Bureau dynamique active. Si ces utilisateurs verrouillent puis dverrouillent leur session, ils peuvent tre invits fournir leur mot de passe prcdent. Les utilisateurs doivent alors fermer la bote de dialogue affiche, puis clore et redmarrer la session du Bureau dynamique pour continuer utiliser l'Agent. Voir aussi la section Bureau dynamique, cartes puce et rcupration de cl , page 179.
Activation de l'indicateur de session Bureau dynamique

Pour aider les utilisateurs identifier rapidement une station de travail excutant le Bureau dynamique, slectionnez l'option Activer l'indicateur de session. Cette option est slectionne par dfaut. L'indicateur de session est une fentre transparente et mobile qui s'affiche lorsque les utilisateurs ouvrent une session. Celui-ci contient le nom, le domaine, la description et l'heure d'ouverture de session d'un utilisateur du Bureau dynamique. Une image bitmap facultative contenant le logo de la socit peut tre ajoute.
Utilisation d'un graphique bitmap personnalis comme indicateur de session

Si vous envisagez d'utiliser une image bitmap personnalise en tant qu'indicateur de session, vous pouvez copier l'image sur chaque station de travail Bureau dynamique et utiliser le chemin d'accs local correspondant ou la placer sur un point de partage rseau accessible toutes ces stations de travail et utiliser un chemin d'accs UNC. Une image bitmap par dfaut, appele Citrix.bmp, est disponible dans le dossier %ProgramFiles%\Citrix\MetaFrame Password Manager\Hot Desktop sur chaque station de travail du Bureau dynamique.
193
Utilisation de lconomiseur d'cran du Bureau dynamique

Pour permettre aux utilisateurs d'identifier facilement les stations de travail excutant le Bureau dynamique, un conomiseur d'cran est inclus avec l'installation du Bureau dynamique. Celui-ci n'est lanc qu'aprs dix minutes d'inactivit de la machine. Remarque : une session verrouille est considre comme tant active. L'conomiseur d'cran est lanc aprs 10 minutes d'inactivit et aprs la fermeture de toutes les sessions utilisateur sur la machine.
Installation du Bureau dynamique

Attention : tous les progiciels qui modifient la chane GINA, tels que les logiciels prenant en charge les priphriques d'authentification, doivent tre installs avant le Bureau dynamique. Pour plus d'informations, veuillez consulter Prservation de la chane GINA lors de l'installation de l'Agent du Guide d'installation Citrix Password Manager. Le Bureau dynamique est un composant facultatif de l'Agent. Veuillez consulter le chapitre Installation et configuration de l'Agent Password Manager du Guide d'installation Citrix Password Manager. Cette section traite les points suivants : Pour installer le Bureau dynamique (installation d'un nouvel Agent) , page 194 Pour installer le Bureau dynamique (installation existante de l'Agent) , page 194 Dsactivation des services Terminal Server pour une installation administrative ou non assiste du Bureau dynamique , page 194
Remarque : le Bureau dynamique n'est pris en charge que sous Microsoft Windows 2000 Professionnel, Microsoft Windows XP Embedded et Microsoft Windows XP Professionnel, Service Pack 2, 32 bits. Il n'est pas pris en charge par les systmes d'exploitation 64 bits ou tout systme d'exploitation pour serveur.
194
Dsactivation des services Terminal Server pour une installation administrative ou non assiste du Bureau dynamique
Les services Terminal Server doivent tre dsactivs pour que le Bureau dynamique soit install correctement. Si vous crez un pack Microsoft Windows Installer (.msi) en vue d'une installation administrative ou non assiste du Bureau dynamique, vous devez dfinir la proprit DISABLE_TERMINAL_SERVICE sur la valeur 1 avant d'installer le Bureau dynamique sur les stations de travail. Veuillez consulter le chapitre Installation et configuration de l'Agent Password Manager du Guide d'installation Citrix Password Manager. Vous pouvez galement crer un fichier de transformation qui dfinit la valeur de la proprit pour les packs automatiquement dploys l'aide d'une stratgie de groupe Active Directory.
Pour installer le Bureau dynamique (installation d'un nouvel Agent)
Veuillez consulter le chapitre Installation et configuration de l'Agent Password Manager du Guide d'installation Citrix Password Manager.
Pour installer le Bureau dynamique (installation existante de l'Agent)
1. 2. 3. 4. 5. 6. 7. 8. 9.
Ouvrez une session en tant qu'administrateur local sur la station de travail. Dans le Panneau de configuration, slectionnez Ajout/Suppression de programmes. Slectionnez Agent Citrix Password Manager et cliquez sur Modifier. Slectionnez Modifier, puis cliquez sur Suivant. Slectionnez Bureau dynamique, puis cliquez sur Suivant. Cliquez sur Oui sur le message de confirmation pour dsactiver les services Terminal Server et le Bureau distance. Spcifiez l'emplacement du magasin central, puis cliquez sur Suivant. Indiquez l'adresse du serveur de service, puis cliquez sur Suivant. Entrez les informations d'identification pour le compte partag du Bureau dynamique et cliquez sur le bouton Suivant. Indiquez le nom du domaine auquel appartient la machine, au format NetBIOS et non sous forme de nom de domaine complet (FQDN).
10.
Cliquez sur le bouton Installer. Vous pouvez cliquer sur le bouton Prcdent si vous dcidez de modifier un rglage ou une slection.
195
11. 12. 13.
Insrez le CD-ROM du produit dans le lecteur pour que le processus d'installation puisse localiser le fichier setup.msi de l'Agent. Cliquez sur le bouton Terminer pour achever l'installation. Cliquez sur le bouton Oui pour redmarrer la machine cliente.
Dsinstallation du Bureau dynamique

Pour supprimer la fonction Bureau dynamique d'une station de travail, suivez la procdure dcrite dans la section Pour dsinstaller le Bureau dynamique , page 195. Il se peut que vous deviez galement effectuer les procdures suivantes une fois la fonction Bureau dynamique dsinstalle : Restauration des services Terminal Server aprs la dsinstallation du Bureau dynamique , page 196 Activation des sessions multiples aprs dsinstallation du Bureau dynamique , page 197
Attention : cette procdure ncessite que vous modifiez le registre. Une utilisation incorrecte de l'diteur du Registre peut occasionner de srieux problmes qui pourraient ncessiter la rinstallation du systme d'exploitation. Citrix ne peut garantir la possibilit de rsoudre les problmes provenant d'une mauvaise utilisation de l'diteur du Registre. L'utilisation de l'diteur du Registre se fait vos propres risques. Faites toujours une copie de sauvegarde du registre systme avant de continuer.
Pour dsinstaller le Bureau dynamique
1.
Pour vous connecter la station de travail ou machine cliente partage afin d'effectuer des tches d'administration, maintenez la touche Maj enfonce pendant le processus de dmarrage de Windows. Ceci vite que le compte Bureau dynamique partag ne soit dconnect et que l'environnement du Bureau dynamique ne soit dmarr. Pour plus d'informations sur le contournement de l'ouverture de session Windows automatique, veuillez consulter le site Web Microsoft. Ouvrez une session en tant qu'administrateur.
2. 3.
Ouvrez le Panneau de configuration, puis slectionnez Ajout/Suppression de programmes. Slectionnez Agent Citrix Password Manager.
196
4. 5. 6. 7. 8.
Cliquez sur Modifier pour supprimer seulement la fonction Bureau dynamique. Dans la page Maintenance de l'application, slectionnez Modifier. Dans la page Slection de composants, slectionnez Bureau dynamique et rendez cette fonction non disponible. Suivez les invites pour slectionner votre type de magasin central et pour confirmer les changements apports l'Agent. Redmarrez la station de travail.
Le Bureau dynamique n'est pas compltement supprim tant que la station de travail n'a pas redmarr. Important : lors de la dsinstallation du logiciel potentiellement responsable de la rupture de la chane GINA, il est important de dsinstallez le logiciel dans l'ordre inverse de son installation sur la machine cliente. Autrement, lordinateur risque de se trouver dans un tat non valide. Ne modifiez pas le registre. Pour plus d'informations, veuillez consulter Prservation de la chane GINA lors de l'installation de l'Agent du Guide d'installation Citrix Password Manager.
Restauration des services Terminal Server aprs la dsinstallation du Bureau dynamique

Attention : cette procdure ncessite que vous modifiez le registre. Une utilisation incorrecte de l'diteur du Registre peut occasionner de srieux problmes qui pourraient ncessiter la rinstallation du systme d'exploitation. Citrix ne peut garantir la possibilit de rsoudre les problmes provenant d'une mauvaise utilisation de l'diteur du Registre. L'utilisation de l'diteur du Registre se fait vos propres risques. Faites toujours une copie de sauvegarde du registre systme avant de continuer. L'installation du Bureau dynamique entrane la dsactivation des services Terminal Server. Procdez comme suit pour activer les services Terminal Server.
Pour activer les services Terminal Server aprs dsinstallation du Bureau dynamique
1. 2.
Ouvrez une session en tant qu'administrateur sur la station de travail. Cliquez sur Dmarrer > Excuter et tapez regedit.
197
3.
Dfinissez la valeur de la cl de registre suivante sur 1 : [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Termi nal Server]TSEnabled=dword:00000001
Activation des sessions multiples aprs dsinstallation du Bureau dynamique

Attention : cette procdure ncessite que vous modifiez le registre. Une utilisation incorrecte de l'diteur du Registre peut occasionner de srieux problmes qui pourraient ncessiter la rinstallation du systme d'exploitation. Citrix ne peut garantir la possibilit de rsoudre les problmes provenant d'une mauvaise utilisation de l'diteur du Registre. L'utilisation de l'diteur du Registre se fait vos propres risques. Faites toujours une copie de sauvegarde du registre systme avant de continuer. Lors de l'installation du Bureau dynamique, le programme d'installation rinitialise la valeur de la cl de registre 0. Procdez comme suit pour activer des sessions multiples.
Pour activer des sessions multiples
1. 2. 3.
Ouvrez une session en tant qu'administrateur sur la station de travail. Cliquez sur Dmarrer > Excuter et tapez regedit. Dfinissez la valeur de la cl de registre suivante sur 1 : [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon] AllowMultipleSessions =dword:00000001
Interaction avec les clients Citrix Presentation Server

Password Manager prend en charge l'utilisation de plusieurs packs de clients Citrix Presentation Server avec le Bureau dynamique. Vous trouverez ci-dessous plusieurs points prendre en considration si vous envisagez d'utiliser le Bureau dynamique avec les clients Presentation Server, tels que l'Agent Program Neighborhood et l'Interface Web. Modifiez le fichier process.xml pour garantir que les clients Presentation Server sont des processus transitoires (dans l'ventualit o ils sont dj excuts l'ouverture de la premire session du Bureau dynamique). Si vous utilisez l'interface SSPI (Security Service Provider Interface), vous devez excuter le client avec le compte d'utilisateur du Bureau dynamique.
198
Vous pouvez galement excuter le client avec le compte d'utilisateur du Bureau dynamique par souci de scurit. Les fichiers ICA (Independent Computing Architecture ) sont stocks dans le profil. Modifiez la section <shellexecute_processes> du fichier process.xml pour garantir que les clients sont excuts avec le compte d'utilisateur du Bureau dynamique lors de leur lancement partir du shell Windows. Modifiez le fichier session.xml en spcifiant un script de dmarrage ou un excutable pour lancer le client lors de l'ouverture de la premire session du Bureau dynamique.
Agent Program Neighborhood

Vous pouvez configurer l'Agent Program Neighborhood afin qu'il utilise l'interface SSPI (Security Support Provider Interface). SSPI permet l'Agent Program Neighborhood de s'authentifier auprs de lordinateur excutant Presentation Server avec les informations d'identification de l'utilisateur du Bureau dynamique. Vous devez vous assurer qu'une relation de confiance existe entre Presentation Server et l'autorit de scurit Windows utilise pour authentifier l'utilisateur du Bureau dynamique. Pour plus dinformations sur la configuration de SSPI pour l'Agent Program Neighborhood, veuillez consulter le Guide de ladministrateur Citrix Presentation Server.
Interface Web de Citrix

L'Agent du Bureau dynamique peut soumettre des informations d'identification via le client de l'Interface Web de Presentation Server. Pour plus d'informations sur la configuration de l'Interface Web, veuillez consulter le Guide de l'administrateur de l'Interface Web.
Affichage des profils utilisateur du Bureau dynamique

Dans un environnement de Bureau dynamique, le shell (explorer.exe) est excut avec le compte partag du Bureau dynamique. Par consquent, il ne dispose pas des droits d'accs lui permettant de naviguer vers le dossier de profil de l'utilisateur du Bureau dynamique.
Pour afficher les profils du Bureau dynamique
1.
Dans la section <shellexecute_processes> du fichier process.xml, incluez Internet Explorer (iexplore.exe) afin qu'il soit excut avec le compte d'utilisateur du Bureau dynamique.
199
2. 3.
Ouvrez une session en tant qu'utilisateur du Bureau dynamique et lancez Internet Explorer. Pour afficher les profils, entrez le chemin d'accs complet du rpertoire des profils d'utilisateur du Bureau dynamique dans la barre d'adresse. Par exemple : C:\Documents and Settings\All Users\Application Data\Citrix\MetaFrame Password Manager
Fermeture d'une station de travail du Bureau dynamique

Les administrateurs tant les seuls autoriss fermer les stations de travail Bureau dynamique, l'option Arrter le systme n'est pas disponible dans le menu Dmarrer de ces stations. Pour fermer une station de travail Bureau dynamique pour des besoins administratifs, appuyez sur CTRL+ALT+SUPPR. Lorsque la bote de dialogue Scurit de Windows s'affiche, cliquez sur Arrter.
Absence de prise en charge de la fonction AutoAdminLogon

Certaines systmes d'authentification tiers peuvent ne pas fonctionner si la fonction AutoAdminLogon est active. Certaines applications tierces dsactivent ou suppriment cette fonction pendant l'installation. Si tel est le cas, vous devez effectuer les oprations suivantes pour dsactiver la fonction AutoAdminLogon du Bureau dynamique : 1. Redmarrez la station de travail ou machine cliente partage, en maintenant la touche Maj enfonce durant le processus de dmarrage. Ceci vite que le compte Bureau dynamique partag ne soit dconnect et que l'environnement du Bureau dynamique ne soit dmarr. Pour plus d'informations sur le contournement de l'ouverture de session Windows automatique, veuillez consulter le site Web Microsoft. 2. 3. Ouvrez une session en tant qu'administrateur. Modifiez le registre en dfinissant les valeurs suivantes pour la cl HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\MetaFrame Password Manager\HotDesktop.
Nom de la valeur AutoAdminLogon Type REG_SZ Donnes 0 pour dsactiver
200
4.
Aprs dfinition des valeurs, redmarrez la station de travail et ouvrez manuellement une session l'aide du compte partag. La page d'ouverture de session du Bureau dynamique apparat et permet aux utilisateurs d'utiliser un systme d'authentification tiers.
Modification du mot de passe du compte partag de Bureau dynamique

un certain stade, il peut tre ncessaire de modifier le mot de passe du compte Bureau dynamique partag. Vous avez entr pour la premire fois les informations d'identification du compte durant l'installation de l'Agent. Pour modifier le mot de passe, procdez comme suit.
Pour modifier le mot de passe du compte partag de Bureau dynamique
1.
Ouvrez une session sur une station de travail sur laquelle le Bureau dynamique est install. Important : n'utilisez pas un compte administrateur ou les informations d'identification du compte Bureau partag dans l'tape 1.
2. 3. 4.
Appuyez sur la combinaison de touches Ctrl+Alt+Suppr. pour afficher la bote de dialogue Scurit de Windows. Cliquez sur Modifier le mot de passe. Tapez ou slectionnez les informations suivantes : nom d'utilisateur du compte Bureau dynamique partag ; nom du domaine ou de l'ordinateur local ; ancien mot de passe ; nouveau mot de passe.
5. 6.
Cliquez sur OK. Cliquez sur Arrter, puis sur Redmarrer dans la bote de dialogue Scurit de Windows pour redmarrer le PC.
201
Informations du Bureau dynamique sur le Web

Pour plus d'informations sur le Bureau dynamique, veuillez consulter l'article suivant de la base de connaissances Citrix : http://support.citrix.com/article/CTX108740, Hot Desktop FAQ http://support.citrix.com/article/CTX108771, Hot Desktop Shared AccountUpdate Tool http://support.citrix.com/article/CTX110394, Replacing Users Process.xml File in Hot Desktop Through a Machine Group Policy
202
10
Oprations
Utilisez ce chapitre comme rfrence si vous rencontrez des problmes avec votre installation de Password Manager ou si vous recherchez des informations supplmentaires propos de composants particuliers. Pour obtenir de meilleurs rsultats, reportez d'autres sections de ce guide pour obtenir les procdures de configuration de Password Manager. Ce chapitre traite les points suivants : Journalisation des vnements de Password Manager , page 203 L'Agent Password Manager ne soumet pas les informations d'identification , page 206 Prise en charge des mulateurs de terminal , page 208 Fichier Mfrmlist.ini , page 206 L'Agent Password Manager ne dmarre pas , page 210 Signature, retrait de signature, renouvellement de signature et vrification des donnes , page 212 Activation et dsactivation du service d'intgrit des donnes dans l'Agent Password Manager , page 217 limination d'objets supprims dans le magasin central , page 217 Dplacement des donnes vers un autre magasin central , page 218 Sauvegarde des fichiers importants , page 221 Sauvegarde des fichiers du service Password Manager , page 221
Journalisation des vnements de Password Manager

L'Agent Password Manager peut journaliser des vnements de l'Agent ou gnrs par l'utilisateur dans le journal des applications de Windows. Ils sont classs selon les catgories informations, avertissements et erreurs.
204
Des vnements relatifs la scurit ncessitant parfois un suivi afin de respecter les rglementations en vigueur sont intercepts et vrifis. Les capacits de journalisation de Password Manager permettent galement d'amliorer la scurit de votre rseau. Si vous utilisez Password Manager dans un environnement Presentation Server, le journal identifie les informations des utilisateurs et des sessions. Toute tentative infructueuse d'ouverture de session est journalise. La journalisation standard est dsactive par dfaut mais vous pouvez activer le journal d'vnements dans la Console aprs cration de la configuration utilisateur. La journalisation des vnements du Bureau dynamique est toujours active. Password Manager journalise des vnements pour les composants suivants : Bureau dynamique (activ par dfaut) Cartes puce Systme de licences Service Password Manager
Le tableau ci-dessous contient certains vnements standard journaliss par Password Manager.
Types d'vnements standard Tentative infructueuse d'ouverture de session (authentification de l'Agent) Journalis lors d'une authentification infructueuse d'un utilisateur auprs de l'Agent Password Manager. chec d'ouverture du magasin d'informations d'identification. Tentative russie d'ouverture de session (authentification de l'Agent) Journalis lors d'une authentification d'un utilisateur auprs de l'Agent et d'une ouverture du magasin central russies. Tentative d'ouverture de session (soumission d'informations d'identification) Journalis lors de tentatives de soumission d'informations d'identification une application externe. Oprations avec des informations d'identification Journalis lors d'oprations sur des informations d'identification, notamment la modification, la rvlation et la vrification d'identit. chec de synchronisation (communication) Journalis lors d'chec de synchronisation avec le magasin central en raison de problmes de communication. chec de synchronisation (autorisations) Journalis lors d'chec de synchronisation avec le magasin central en raison d'informations d'identification incorrectes.
10
Oprations
205
Types d'vnements standard chec de cryptage/dcryptage - Protection des donnes par carte puce Journalis lors d'un chec gnral associ au cryptage ou au dcryptage des donnes de carte puce. chec de cryptage/dcryptage - Protection des donnes par carte puce (carte manquante) Journalis lorsque la carte puce n'est pas disponible. Dmarrage et fermeture de l'Agent Journalis lorsque la carte puce n'est pas disponible. Fichiers .dll manquant ou altrs Journalis lorsqu'un fichier .dll ne peut pas tre charg correctement.
Le tableau ci-dessous contient certains vnements du Bureau dynamique journaliss par Password Manager.
Types d'vnements du Bureau dynamique chec d'ouverture de session du Bureau dynamique Journalis seulement en prsence d'une erreur fatale au dmarrage de la session. Ouverture de session du Bureau dynamique russie Journalis lors de l'ouverture d'une session du Bureau dynamique aprs une authentification d'utilisateur russie. chec de fermeture de session du Bureau dynamique Journalis seulement en prsence d'une erreur fatale la fermeture de session. Fermeture de session du Bureau dynamique russie Journalis lors d'une fermeture de session russie aprs intervention de l'utilisateur ou expiration du dlai d'inactivit d'une session. Activation de la journalisation d'vnements
Pour activer la journalisation d'vnements, suivez les instructions suivantes : 1. 2. 3. Dans la Console, cliquez sur votre configuration utilisateur puis sur Modifier la configuration utilisateur. Parmi les proprits de cette configuration, slectionnez Interaction ct client. Cliquez sur Journaliser les vnements de Citrix Password Manager l'aide de l'Observateur d'vnements Windows.
206
Fichier Mfrmlist.ini
Le fichier Mfrmlist.ini contient une liste d'mulateurs de terminal et les emplacements des fichiers HLLAPI.dll que l'Agent Password Manager surveille. Son emplacement est le suivant : %ProgramFiles%\Citrix\MetaFrame Password Manager\Helper\MFEmu
L'Agent Password Manager ne soumet pas les informations d'identification

Parfois, l'Agent Password Manager ne soumet pas les informations d'identification une application configure. Ce problme est gnralement caus par une erreur de la dfinition application. Cette section contient des conseils pour rsoudre les problmes de dtection d'application. Commencez par effectuer les tches suivantes pour dterminer la raison de l'chec de la soumission d'informations d'identification. Vrifiez tous les paramtres pour identifier les ventuels conflits. Vrifiez que l'Agent Password Manager est configur pour la dtection d'applications. Comparez les dfinitions de l'Agent Password Manager et de la Console Password Manager.
Remarque : Password Manager met votre disposition un large ventail de paramtres pour la cration de dfinitions d'application, de stratgies de mot de passe, de configurations utilisateur et de mthodes de vrification d'identit. Certains rglages impliquent parfois des paramtres conflictuels, ce qui peut notamment conduire des checs de soumission d'informations d'identification aux applications. Pour plus d'informations sur les paramtres, veuillez consulter la section Liste des paramtres de Password Manager , page 225. Si l'Agent Password Manager ne parvient toujours pas soumettre les informations d'identification de l'utilisateur, essayez les techniques de rsolution de problmes suivantes pour les applications Web et les applications d'mulation de terminal.
10
Oprations
207
Applications Web
Crez des dfinitions d'application Web l'aide de l'assistant de dfinition d'application et de l'assistant de dfinition de formulaire. L'assistant de dfinition de formulaire garantit que Password Manager configure une page Web en utilisant l'adresse URL exacte (redirige, casse respecte, etc.). Il permet d'viter galement les erreurs typographiques.
Pour vrifier que l'option de recherche d'URL stricte est utilise correctement
Ce paramtre se trouve dans la page de modification du formulaire d'une application Web dans la Console. 1. 2. 3. 4. Dans la Console, slectionnez l'application afficher. Dans le menu Action, cliquez sur Modifier une dfinition d'application. Cliquez sur Formulaires d'application, slectionnez un formulaire d'application, puis sur Modifier. Cliquez sur Identification du formulaire. ce niveau, vous pouvez activer la recherche d'adresse URL stricte ainsi que la prise en compte de la casse de l'adresse URL. 5. Assurez-vous que les pages utilisent des types de champs HTML. Les dfinitions d'application Web requirent ces types de champs. Les types de champ dfini par l'utilisateur et indfini ne sont pas dtects.
Applications d'mulation de terminal

Crez des dfinitions d'application d'mulation de terminal l'aide de l'assistant de dfinition d'application et de l'assistant de dfinition de formulaire. Lors de l'ajout de la dfinition d'application une configuration utilisateur, veillez activer la prise en charge des mulateurs de terminal. Assurez-vous que l'mulateur est configur dans le fichier Mfrmlist.ini. Le processus Ssomho.exe, qui contrle l'interaction de l'Agent Password Manager avec les mulateurs de terminal, ne reconnat que les mulateurs dfinis dans le fichier Mfrmlist.ini. Si l'mulateur HLLAPI n'y est pas dfini, le processus Ssomho.exe n'essaie pas de communiquer avec l'mulateur. Assurez-vous qu'un nom court de session HLLAPI est spcifi. Le processus Ssomho.exe utilise le nom de session court pour communiquer avec HLLAPI dll. Sans ce nom court, Ssomho.exe est charg mais ne peut pas surveiller l'activit l'cran. Le nom de session court doit
208
tre configur dans l'mulateur de la machine cliente. Pour plus d'informations sur la configuration mulateurs HLLAPI, veuillez consulter la section Configuration de la prise en charge HLLAPI pour les mulateurs tests , page 209. Assurezvous que le processus ssomho.exe est en cours d'excution. Suivez les instructions ci-dessous pour cette vrification : A. B. C. Sur l'ordinateur excutant l'Agent Password Manager, ouvrez le Gestionnaire de tches et slectionnez l'onglet Processus. Cliquez sur l'en-tte Image Name pour trier les processus par nom d'image. Vrifiez la prsence de Ssomho.exe dans la liste.
S'il ne s'y trouve pas, il est possible qu'il ne soit pas en mesure de trouver un fichier HLLAPI.dll qu'il soit ferm prmaturment en raison de problmes tiers lis HLLAPI. Remarque : mme si le processus ssomho.exe apparat, ses communications avec HLLAPI.dll peuvent tre infructueuses. Vrifiez le nom de session court avant de rechercher d'autres solutions. Testez chaque mulateur. Si vous avez install plusieurs mulateurs pris en charge sur un mme systme, ssomho.exe tente de communiquer avec tous. Parfois, un des fichiers HLLAPI.dll peut provoquer une instabilit de ssomho.exe. Testez chaque mulateur hte en supprimant les autres ou en plaant des marques de commentaire devant les entres du fichier mfrmlist.ini et en modifiant leur squence. Cette tape permet de s'assurer que le processus ssomho ne se connecte pas par erreur un autre mulateur que celui faisant l'objet de votre test.
Prise en charge des mulateurs de terminal

Cette section dcrit la configuration Password Manager et ses composants pour l'utilisation d'mulateurs de terminal. Password Manager prend en charge les mulateurs de terminal HLLAPI. Pour activer la prise en charge HLLAPI pour tout mulateur de terminal dans Password Manager, vous devez activer la prise en charge des mulateurs de terminal dans la Console.
10
Oprations
209
Lorsque la prise en charge des mulateurs d'htes ou de mainframe est active, SSOShell dmarre le processus ssomho.exe. Ce processus lit d'abord le fichier Mfrmlist.ini situ l'emplacement %Program Files%\Citrix\MetaFrame Password Manager\Helper\MFEmu, puis recherche tous les mulateurs configurs et tente de charger le fichier DLL HLLAPI affect ce fichier. Le fichier mfrmlist.ini peut tre tendu pour s'adapter des mulateurs HLLAPI supplmentaires. Le processus ssomho.exe recherche dans la cl de registre HKEY_LOCAL_MACHINE\SOFTWARE l'emplacement du fichier DLL HLLAPI sauf instruction contraire du fichier mfrmlist.ini. Certains mulateurs situent l'emplacement dans la cl HKEY_CURRENT_USER. Pour ces mulateurs, spcifiez manuellement l'emplacement du fichier DLL en utilisant un chemin d'accs absolu dans le fichier mfrmlist.ini.
Configuration de la prise en charge HLLAPI pour les mulateurs tests

La configuration de Password Manager pour qu'il fonctionne avec les mulateurs tests est un processus en plusieurs tapes qui ncessite l'installation de l'mulateur, la cration d'une session d'mulateur utiliser avec Password Manager et la configuration dans Password Manager d'une dfinition d'application qui utilise la correspondance de texte afin de reconnatre une session d'mulateur particulire.
Pour configurer la prise en charge d'un mulateur
1. 2. 3. 4.
Installez l'mulateur et redmarrez l'ordinateur. Dmarrez l'mulateur et crez une nouvelle session, en dfinissant l'affichage et la connexion. Dfinissez le nom de session court. Activez la prise en charge de HLLAPI. Remarque : une dfinition d'application d'hte spare est ncessaire pour chaque session qui utilise Password Manager. L'Agent dtecte les sessions en faisant correspondre le texte dans l'cran de l'application d'hte avec le texte de la ligne et de la colonne spcifies de la dfinition d'application. L'Agent Password Manager soumet les informations d'identification en fonction des donnes de ligne et de colonne fournies dans la dfinition d'application. Par consquent, chaque session ncessite sa propre dfinition d'application.
210
5. 6. 7. 8. 9. 10.
Enregistrez puis fermez votre session. Quittez l'mulateur. Crez une dfinition d'application pour l'application d'hte. Ouvrez la Console et vrifiez si la prise en charge des htes et mainframe est active dans les configurations utilisateurs concernes. Excutez l'mulateur et ouvrez une session. Dmarrez ou actualisez l'Agent Password Manager.
Ce dernier reconnat alors l'cran de connexion et affiche un formulaire pour la saisie et l'enregistrement des informations d'identification.
L'Agent Password Manager ne dmarre pas

L'Agent Password Manager doit tre le dernier logiciel modifiant le composant GINA install sur vos machines clientes non Windows Vista. Si l'Agent Password Manager est install mais ne dmarre pas comme prvu, il est possible que la chane GINA soit rompue, en raison d'une installation ou d'une mise jour logicielle aprs modification de la chane GINA Windows par Password Manager. Les packs logiciels prenant en charge l'authentification par carte puce, les clients Novell, Symantec et Presentation Server modifient la chane GINA de Windows.
Mises jour logicielles et chane GINA

Si vous avez dj install Password Manager et que vous envisagez d'installer ou de mettre niveau un logiciel qui modifie la chane GINA de Windows, Citrix recommande de dsinstaller d'abord l'Agent Password Manager. Aprs cette dsinstallation, installez le nouveau logiciel (ou effectuez la mise niveau) puis rinstallez l'Agent Password Manager. Ainsi, le fichier .dll correct est install et enregistr en vue d'une utilisation avec Password Manager.
tapes de rinstallation recommandes

1. 2. 3. 4. Dsinstallez tout logiciel tiers modifiant la chane GINA. Dsinstallez l'Agent. Installez le logiciel tiers. Installez l'Agent.
10
Oprations
211
Si vous avez rcemment mis niveau ou install un logiciel tiers et que vous souponnez une modification de la chane GINA de Windows, vrifiez l'entre de registre Windows et la machine cliente pour vous assurer de la prsence et de l'emplacement des fichiers .dll de la chane GINA propres votre installation. Si les fichiers sont absents de la machine, dsinstallez et rinstallez l'Agent Password Manager. Important : lors de la dsinstallation du logiciel potentiellement responsable de la rupture de la chane GINA, il est important de dsinstallez le logiciel dans l'ordre inverse de son installation sur la machine cliente. Autrement, lordinateur risque de se trouver dans un tat non valide. Ne modifiez pas le registre.
Cration d'un certificat de signature

Le service Password Manager Service gnre des alertes dans le journal d'vnements avant et aprs l'expiration du certificat de signature. Crez un certificat pour mettre fin aux alertes. CtxCreateSigningCert.exe est un outil permettant la cration de ces certificats. Utilisez l'outil de signature (ctxsigndata) pour signer nouveau les donnes du magasin central ( l'aide des cls du nouveau certificat). Veuillez consulter la section Signature, retrait de signature, renouvellement de signature et vrification des donnes , page 212. Il n'est pas ncessaire de crer un certificat de signature aprs avoir configur le service Password Manager sauf dans l'une des situations suivantes : Votre certificat de signature va parvenir ou est parvenu expiration. Vous avez des soupons quant l'intgrit de votre certificat de signature.
Pour crer un certificat, vous devez excuter l'outil CtxCreateSigningCert.exe, disponible dans le dossier %ProgramFiles%\Citrix\MetaFrame Password Manager\Service. l'invite de commande de l'ordinateur excutant le service Password Manager, entrez CtxCreateSigningCert.exe. Entrer le nom de la cl publique, celui de la cl prive et le dlai d'expiration, en mois, du certificat de signature. Le certificat est cr. CtxCreateSigningCert Syntaxe : CtxCreateSigningCert <nom_du_certificat_public> <nom_du_certificat_public> <dlai_expiration_en_mois> Dans cette formule : <nom_du_certificat_public> = nom de fichier utiliser pour le certificat public <nom_du_certificat_priv> = nom de fichier utiliser pour le certificat priv
212
<dlai_expiration_en_mois> = nombre de mois avant l'expiration du certificat Exemple :

ctxcreatesigningcert C:\PublicKeyCert.cert C:\PrivateKeyCert.cert 12
Signature, retrait de signature, renouvellement de signature et vrification des donnes

Utilisez l'outil de signature (ctxsigndata) pour signer les donnes du magasin central, renouveler ou retirer leur signature et pour les vrifier. Cet outil est galement disponible en ligne de commande, dans le rpertoire \Service du CDROM. CtxSignData.exe est galement install sur le serveur hbergeant le service : %ProgramFiles%\Citrix\MetaFrame PasswordManager\Service\SigningTool\CtxSignData.exe. Remarque : l'outil de signature est install avec le module d'intgrit des donnes du service Password Manager. Ce module peut tre install ultrieurement s'il n'a pas t inclus dans l'installation initiale de Password Manager. Le fichier CtxSignData.exe utilise les paramtres suivants : Signature des donnes (-s) , page 213 Renouvellement de la signature de donnes (-r) , page 214 Retrait de la signature des donnes (-u) , page 215 Vrification des donnes (-v) , page 216
Pour dmarrer l'outil de signature des donnes
Entrez CtxSignData.exe l'invite de commande de l'ordinateur excutant le service Password Manager. Vous pouvez utiliser les paramtres suivants : -s, -r, u, -v.
10
Oprations
213
Signature des donnes (-s)

Le paramtre de signature permet d'activer l'intgrit des donnes dans un environnement contenant des donnes non signes. Remarque : si vous disposez d'un environnement Password Manager sans l'intgrit des donnes et que vous dcidez par la suite d'activer le module d'intgrit des donnes, vous devez utiliser l'outil de signature des donnes pour signer les donnes du magasin central. Fournissez le nom de fichier du certificat de signature, l'URI (Uniform Resource Identifier) du Service Password Manager, l'emplacement du magasin central et le type du magasin central (partage rseau NTFS, Active Directory ou dossier partag Novell). Toutes les donnes sont lues et signes l'aide du nouveau certificat de signature. La syntaxe de la commande CtxSignData avec le paramtre -s est la suivante :
CtxSignData [-s chemin_service fichier_certificat emplacement_magasincentral NTFS|NNFS|AD]
o :
-s chemin_service fichier_certificat emplacement_magasincentral Signe les fichiers de donnes dans le magasin central. Chemin d'accs du service Password Manager au format URI. Nom de fichier du certificat utiliser pour la signature ou le renouvellement de signature des donnes. Chemin d'accs UNC (Universal Naming Convention) du partage de fichier ou du DNS (Domain Name System) du contrleur de domaine Active Directory. NTFS|NNFS|AD = type de service d'annuaire du magasin central, o NTFS = partage de fichier Microsoft NTFS NNFS = dossier partag Novell AD = Microsoft Active Directory
NTFS|NNFS|AD
Ci-dessous figurent des exemples de la commande CtxSignData avec le paramtre -s.

ctxsigndata -s mpmserver.masociete.com/MPMService "C:\priv12mos.cert" \\MPMCentralServer\citrixsync$ NTFS ctxsigndata -s mpmserver.masociete.com/MPMService "C:\priv12mos.cert" \\NVLServer1\SYS\citrixsync NNFS ctxsigndata -s mpmserver.masociete.com/MPMService C:\priv12mos.cert" DC1.mycompany.com AD
214
Renouvellement de la signature de donnes (-r)

Utilisez le paramtre de renouvellement de signature de la ligne de commande lorsque le certificat de signature existant approche de la date d'expiration, a dj expir ou lorsque son intgrit est compromise. Fournissez le nom de fichier du certificat de signature, l'URI du service Password Manager, l'emplacement du magasin central et le type du magasin central (partage rseau NTFS, Active Directory ou dossier partag Novell). Toutes les donnes sont lues, vrifies et signes l'aide du nouveau certificat de signature. Aucune modification de paramtre n'est ncessaire dans la Console ou dans l'Agent car l'intgrit des donnes est dj active.
Pour renouveler la signature de donnes altres
1. 2. 3. 4.
Dans la Console Password Manager, recherchez la configuration utilisateur affecte. Ouvrez cette configuration pour vrifier si les donnes peuvent tre lues partir du magasin central. Fermez la configuration utilisateur pour enregistrer les donnes non altres dans le magasin central. Utilisez l'outil de signature (ctxsigndata) pour signer nouveau les donnes du magasin central.
Remarque : si l'altration des donnes semble tre cause par un problme de scurit, Citrix recommande la procdure dcrit ci-dessous pour toutes les configurations utilisateur avant de signer nouveau les donnes avant d'viter de signer par erreur des donnes non protges. La syntaxe de la commande CtxSignData avec le paramtre -r est la suivante :
CtxSignData [-r chemin_service fichier_certificat emplacement_magasincentral NTFS|NNFS|AD]
o :
-r chemin_service fichier_certificat emplacement_magasincentral Renouvelle la signature des fichiers de donnes dans le magasin central (contient le paramtre -v). Chemin d'accs du service Password Manager au format URI. Nom de fichier du certificat utiliser pour la signature ou le renouvellement de signature des donnes. Chemin d'accs UNC (Universal Naming Convention) du partage de fichier ou du DNS (Domain Name System) du contrleur de domaine Active Directory.
10
Oprations
215
NTFS|NNFS|AD
NTFS|NNFS|AD = type de service d'annuaire du magasin central, o NTFS = partage de fichier Microsoft NTFS NNFS = dossier partag Novell AD = Microsoft Active Directory
Ci-dessous figurent des exemples de la commande CtxSignData avec le paramtre -r :

ctxsigndata -r mpmserver.masociete.com/MPMService "C:\priv12mos.cert" \\MPMCentralServer\citrixsync$ NTFS ctxsigndata -r mpmserver.masociete.com/MPMService "C:\priv12mos.cert" \\NVLServer1\SYS\citrixsync NNFS ctxsigndata -r mpmserver.masociete.com/MPMService "C:\priv3mos.cert" DC1.masociete.com AD
Retrait de la signature des donnes (-u)

Utilisez le paramtre de retrait signature de la ligne de commande lorsque dsactivez le module d'intgrit des donnes. Fournissez le nom de fichier du certificat de signature, l'URI du service Password Manager, l'emplacement du magasin central et le type du magasin central (partage rseau NTFS, Active Directory ou dossier partag Novell). Toutes les donnes sont lues sans vrification et les signatures sont supprimes. La syntaxe de la commande CtxSignData avec le paramtre -u est la suivante :
CtxSignData [-u emplacement_magasincentral NTFS|NNFS|AD]
o :
-u emplacement_magasincentral Retire la signature des fichiers de donnes dans le magasin central. Chemin d'accs UNC (Universal Naming Convention) du partage de fichier ou du DNS (Domain Name System) du contrleur de domaine Active Directory. NTFS|NNFS|AD = type de service d'annuaire du magasin central, o NTFS = partage de fichier Microsoft NTFS NNFS = dossier partag Novell AD = Microsoft Active Directory
NTFS|NNFS|AD
216
Ci-dessous figurent des exemples de la commande CtxSignData avec le paramtre -u :

ctxsigndata -u \\MPMCentralServer\citrixsync$ NTFS ctxsigndata -u \\NVLServer1\SYS\citrixsync NNFS ctxsigndata -u DC1.masociete.com AD
Vrification des donnes (-v)

Utilisez le paramtre de ligne de commande pour vrifier que toutes les donnes du magasin central ont t signes et vrifies. Fournissez le nom de fichier du certificat de signature, l'URI du service Password Manager, l'emplacement du magasin central et le type du magasin central (partage rseau NTFS, Active Directory ou dossier partag Novell). Toutes les donnes sont lues, vrifies et signes. La syntaxe de la commande CtxSignData avec le paramtre -v est la suivante :
CtxSignData [-v chemin_service emplacement_magasincentral NTFS|NNFS|AD]
Dans cette formule :

-v chemin_service emplacement_magasincentral Vrifie les signatures des fichiers de donnes dans le magasin central. Chemin d'accs du service Password Manager au format URI. Chemin d'accs UNC (Universal Naming Convention) du partage de fichier ou du DNS (Domain Name System) du contrleur de domaine Active Directory. NTFS|NNFS|AD = type de service d'annuaire du magasin central, o NTFS = partage de fichier Microsoft NTFS NNFS = dossier partag Novell AD = Microsoft Active Directory
NTFS|NNFS|AD
Ci-dessous figurent des exemples de la commande CtxSignData avec le paramtre -v :

ctxsigndata -v mpmserver.masociete.com/MPMService \\MPMCentralServer\citrixsync$ NTFS ctxsigndata -v mpmserver.masociete.com/MPMService \\NVLServer1\SYS\citrixsync NNFS ctxsigndata -v mpmserver.masociete.com/MPMService https:// mpmserver.masociete.com/MPMService DC1.masociete.com AD
10
Oprations
217
Affichage de l'aide (-h)

Utilisez le paramtre de la ligne de commande d'aide pour afficher l'aide correspondant la commande CtxSignData. La syntaxe de la commande CtxSignData avec le paramtre -h est la suivante :
CtxSignData [-h]
Dans cette formule :

-h affiche l'aide
Ci-dessous figure un exemple de la commande CtxSignData avec le paramtre -h :

ctxsigndata -h
Activation et dsactivation du service d'intgrit des donnes dans l'Agent Password Manager
La cl de registre suivante peut tre modifie afin d'activer ou de dsactiver l'intgrit des donnes pour l'Agent Password Manager. HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\MetaFrame Password Manager\Extensions\SyncManager\PerformIntegrityCheck Type : DWORD Donnes : 0=validation de l'intgrit des donnes dsactive 1=validation de l'intgrit des donnes active
limination d'objets supprims dans le magasin central

CtxFileSyncClean.exe supprime tout objet de votre magasin central qui pointe vers des objets qui n'existent plus. Votre environnement contient ainsi les informations les plus rcentes. Excutez CtxFileSyncClean.exe partir du dossier \Tools du CD-ROM du produit.
218
Dplacement des donnes vers un autre magasin central

Remarque : lors de l'importation de donnes d'administration dans la Console Password Manager, seules les nouvelles stratgies de mot de passe cres par un administrateur sont remplaces. Les stratgies par dfaut et de domaine ne sont pas importes et, par consquent, conservent toutes les modifications qui leur auraient t apportes au pralable. Plusieurs raisons peuvent vous conduire effectuer la migration de vos stratgies de mot de passe, modles d'application, dfinitions d'application, questions de scurit et autres types de donnes administratives de Password Manager. Une migration est notamment requise dans les cas suivants : dplacement de l'utilisateur vers un nouveau domaine ; ajout d'un nouveau serveur dans l'environnement Password Manager ; ajout d'un nouveau domaine pour permettre aux utilisateurs d'activer la fonction d'association de comptes de Password Manager ; utilisation de l'association de comptes sur des domaines existants ; dplacement de Password Manager d'un environnement de test vers un environnement de production.
Les tapes associes la migration des donnes administratives sont les mmes quelles qu'en soient les circonstances. Dans tous les cas, vous devez d'abord exporter les donnes administratives partir de leur environnement d'origine, puis les importer dans le nouvel environnement. Gnralement, vous devez rediriger les utilisateurs vers le nouveau magasin central. Toutes ces tches peuvent tre effectues dans la Console Password Manager. Le tableau ci-dessous contient les donnes faisant l'objet ou non d'une migration lorsque vous utilisez la commande Exporter.
Migration Stratgies de mot de passe (sauf pour les stratgies par dfaut et de domaine) Modles d'application Dfinitions d'application Questions de scurit et groupes de questions de scurit utiliss dans le cadre de l'authentification avec questions Pas de migration Configurations utilisateur Dossiers People Groupes d'applications Informations d'identification
Questionnaires
10
Oprations
219
Les configurations utilisateur ne subissent pas automatiquement de migration d'un magasin central vers l'autre. Gnralement, vous devez recrer les configurations utilisateur et rediriger les utilisateurs vers le nouveau magasin central. Lorsque l'Agent Password Manager synchronise ses donnes avec celles du magasin central d'origine, il dtecte la modification des valeurs et copie alors les informations d'identification vers le nouveau magasin central. Important : l'aide de l'Outil de configuration du service, faites pointer le service Password Manager vers le nouveau magasin central.
Migration de donnes vers un nouveau magasin central

La Console Password Manager permet d'exporter vos donnes administratives. Lorsque vous exportez les donnes du magasin central d'origine, Password Manager cre un fichier XML contenant vos donnes administratives. Vous devez alors importer les informations du fichier dans votre nouveau magasin central.
Pour exporter les informations d'administration
1.
Dans la Console d'origine, cliquez sur le nud Password Manager puis sur Exporter les informations d'administration. L'assistant d'exportation des donnes d'administration s'affiche. Sur la page Bienvenue, cliquez sur Suivant. Dans la page Slection des donnes, slectionnez les types de donnes exporter et cliquez sur Suivant. Dans la page Indication du fichier, enregistrez les donnes dans un fichier .xml un emplacement accessible depuis l'ordinateur de la nouvelle console et cliquez sur Suivant. Dans la page Exportation des donnes, cliquez sur Terminer. L'assistant d'exportation des donnes d'administration se ferme.
2. 3. 4.
5.
Pour importer des informations d'administration
1.
Installez et dmarrez Password Manager partir du nouvel emplacement, ce qui termine le processus de configuration et d'excution de la dcouverte.
220
2.
Dans la nouvelle Console d'origine, cliquez sur le nud Password Manager, puis sur Importer les donnes d'administration. L'assistant d'importation des donnes d'administration s'affiche. Sur la page Bienvenue, cliquez sur Suivant. Dans la page Indication du fichier, slectionnez le fichier .xml contenant les donnes exportes et cliquez sur Suivant. Vous serez invits entrer une confirmation si le contenu du fichier de donnes et le magasin central ont en commun leur nom ou leur identificateur. Dans de tels cas, utilisez les boutons Oui, Oui pour tout et Non pour remplacer ou viter de remplacer le contenu existant du magasin central.
3. 4.
5.
Dans la page Importation des donnes, cliquez sur Terminer. L'assistant d'importation des donnes d'administration se ferme.
Pour rediriger les utilisateurs vers le nouveau magasin central
1.
Aprs la migration de vos donnes vers le nouveau magasin central, crez de nouvelles configurations utilisateur dans la nouvelle Console. Important : en cas de migration du service Password Manager vers un nouvel ordinateur, vous devez inclure la nouvelle adresse du service dans les configurations utilisateur.
2. 3.
Dans la Console d'origine, slectionnez la configuration utilisateur rediriger vers le magasin central et cliquez sur Rediriger les utilisateurs. Dans la bote de dialogue Redirection des utilisateurs, identifiez le type et l'emplacement du nouveau magasin central et cliquez sur OK. La bote de dialogue est alors ferme et la configuration utilisateur pointe dsormais vers le nouveau magasin central.
Remarque : la commande de redirection des utilisateurs dsactive le paramtre Supprimer le dossier de donnes et les cls de registre de l'utilisateur l'arrt de l'Agent. Ainsi, les agents conservent toutes les donnes dans le magasin local de l'utilisateur, notamment les informations d'identification, paramtres et informations de redirection vers le nouveau magasin central. Ce paramtre doit rester dsactiv dans le nouvel environnement jusqu' modification du registre sur la machine de l'Agent Password Manager de faon pointer vers le nouvel emplacement du magasin central.
10
Oprations
221
Dans certains environnements, les profils utilisateur sont supprims automatiquement par le systme d'exploitation la fermeture de session. Dans ce cas, vous pouvez dsactiver la suppression des profils afin que les agents soient redirigs vers le nouveau magasin central ou vous pouvez configurer la redirection et demander aux utilisateurs d'actualiser leur Agent Password Manager pour forcer une synchronisation. Cette opration entrane la copie des informations d'identification vers le nouveau magasin central. Remarque : lors de la redirection, tous les utilisateurs redirigs doivent avoir ouvert une session. L'actualisation de l'Agent Password Manager a lieu ds que celui-ci fournit les informations d'identification.
Sauvegarde des fichiers importants

Veillez inclure le magasin central et son contenu, les certificats et les cls personnelles et prives dans les procdures standard de sauvegarde de votre socit. Important : vous devez modifier les autorisations d'accs ces fichiers dans Windows si votre magasin central se trouve sur un point de partage rseau NTFS ou dans un dossier partag Novell afin que votre programme de sauvegarde puisse y accder.
Sauvegarde des fichiers du service Password Manager

Les tapes suivantes dcrivent les procdures de sauvegarde et de restauration du service Citrix Password Manager. Remarque : veuillez consulter la section Si vous avez utilis l'outil CtxMoveKeyRecoveryData pour sauvegarder les donnes du service dans le Guide d'installation Citrix Password Manager.
Pour sauvegarder le service
1. 2.
Prenez toujours note des rglages que vous effectuez lors de l'excution de l'Outil de configuration du service. Exportez les donnes du service vers un point de partage scuris ou un disque l'aide du processus CtxMoveServiceData.exe.
222
A. B.
Ouvrez une invite de commande et accdez au dossier C:\Program Files\Citrix\Metaframe Password Manager\Service\Tools. Entrez CtxMoveServiceData.exe export\\server\share\backupfile. Remarque : vous ne devez pas insrer de variables d'environnement dans le chemin d'accs.
C.
Entrez un mot de passe l'invite correspondante. Prenez soin de noter ce dernier. Important : les donnes du service enregistres dans le fichier de sauvegarde seront cryptes l'aide de ce mot de passe. Veillez ne pas perdre le perdre.
D. E.
l'invite de confirmation, entrez de nouveau votre mot de passe. Vrifiez que le fichier de sauvegarde a bien t cr.
Pour restaurer le service
1. 2.
Installez le service partir du support d'installation. Configurez le service l'aide des paramtres appropris, en vous reportant aux notes que vous avez prises avant la sauvegarde. Remarque : si vous utilisez l'intgrit de donnes, veillez configurer l'emplacement du serveur d'intgrit des donnes correctement, que cet emplacement ait t modifi ou non.
3. 4.
Terminez la configuration et attendez que le service dmarre. Une fois le service dmarr, vous pouvez immdiatement l'arrter si vous le souhaitez. Importez les donnes du service partir d'un point de partage scuris ou d'un disque l'aide du processus CtxMoveServiceData.exe. A. B. C. Ouvrez une invite de commande et accdez au dossier C:\Program Files\Citrix\Metaframe Password Manager\Service\tools. Entrez CtxMoveServiceData.exe import <\\server\share\backupfile>. Entrez le mot de passe appropri l'invite correspondante.
10
Oprations
223
D. 5.
Rpondez Oui l'invite d'crasement du fichier AKR.DAT.
Redmarrez le service. Le service peut dsormais tre utilis.
224
11
Liste des paramtres de Password Manager
Activer l'indicateur de session . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Activer la prise en charge des mulateurs de terminal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Activer le graphique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Adresse du serveur de licences. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Afficher l'icne de notification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Afficher le nom de l'ordinateur dans la bulle d'aide de l'icne de notification. . . . . . . . . . . . . . . . . . API de protection des donnes de Microsoft . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Aucune invite aux utilisateurs ; restauration automatique de la protection principale des donnes sur le rseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Autoriser l'utilisateur rvler le mot de passe pour les applications . . . . . . . . . . . . . . . . . . . . . . . . Autoriser la protection des donnes l'aide d'un mot de passe vide . . . . . . . . . . . . . . . . . . . . . . . . . Autoriser les caractres numriques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Autoriser les caractres spciaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Autoriser les majuscules. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Autoriser les minuscules. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Autoriser les utilisateurs actualiser les rglages de l'Agent. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Autoriser les utilisateurs annuler le stockage des informations d'identification lorsqu'une nouvelle application est dtecte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Autoriser les utilisateurs dverrouiller leur compte de domaine . . . . . . . . . . . . . . . . . . . . . . . . . . . Autoriser les utilisateurs placer l'Agent en pause . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Autoriser les utilisateurs rinitialiser leur mot de passe de domaine principal . . . . . . . . . . . . . . . . Autoriser les utilisateurs rvler tous les mots de passe dans le Gestionnaire d'informations d'identification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Certificat de carte puce . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chemin d'accs du fichier de paramtres de scripts de session . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Dfinir les colonnes par dfaut et leur ordre dans le Gestionnaire d'informations d'identification . . Dlai d'expiration de session . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Dlai d'expiration du mot de passe (jours) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Dlai d'expiration du verrouillage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Dlai limite pour les tentatives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Demande de vrification d'identit des utilisateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Demander authentification avant soumission des informations d'identification d'une application . . Dtecter automatiquement les applications et proposer le stockage des informations
239 238 239 240 232 232 243 245 256 242 250 251 250 249 234 233 245 230 245 230 243 239 232 239 254 239 257 243 256
226
d'identification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Dtecter les dfinitions d'application sur le client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Devez-vous rglementer l'accs des administrateurs de comptes aux donnes utilisateur ? . . . . . . . Donnes d'authentification des utilisateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Dure sparant les requtes de nouvelle authentification de l'Agent . . . . . . . . . . . . . . . . . . . . . . . . . Effectuer une vrification de mot de passe lors de la dfinition initiale des informations d'identification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Emplacement de service (Module d'habilitation) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Emplacement de service (Module de gestion des cls) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Exclure des mots de passe les caractres ou groupes de caractres de cette liste . . . . . . . . . . . . . . . Excuter l'habilitation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Excuter le script l'expiration du mot de passe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Expiration du mot de passe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Forcer une nouvelle authentification avant de rvler les mots de passe de l'utilisateur . . . . . . . . . . Fournir le domaine par dfaut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Fournir une adresse du service par dfaut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Frquence de surveillance par l'Agent des modifications dans l'mulateur . . . . . . . . . . . . . . . . . . . . Gnr par le systme ou cr par les utilisateurs eux-mmes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Gnrer et tester des mots de passe uniques conformes la stratgie . . . . . . . . . . . . . . . . . . . . . . . . Gnrer un mot de passe alatoire conforme la stratgie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Gnrer un mot de passe et le soumettre sans afficher l'assistant de modification de mot de passe . Icne de l'application . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Informer l'utilisateur lorsque la synchronisation de l'Agent choue . . . . . . . . . . . . . . . . . . . . . . . . . Journaliser les vnements (Observateur d'vnements Windows) . . . . . . . . . . . . . . . . . . . . . . . . . . Le mot de passe peut dbuter avec un caractre numrique. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le mot de passe peut dbuter avec un caractre spcial. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le mot de passe peut dbuter avec une majuscule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le mot de passe peut dbuter avec une minuscule. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le mot de passe peut se terminer avec une majuscule. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le mot de passe peut se terminer par un caractre numrique. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le mot de passe peut se terminer par un caractre spcial. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le mot de passe peut se terminer par une minuscule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le nouveau mot de passe doit tre diffrent du prcdent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Licences d'utilisateur dsign . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Licences Utilisateurs simultans (dition Enterprise uniquement) . . . . . . . . . . . . . . . . . . . . . . . . . . Limiter le nombre de jours de suivi des informations didentification supprimes . . . . . . . . . . . . . . Liste de caractres spciaux autoriss . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Longueur de mot de passe maximale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Longueur de mot de passe minimale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ne pas autoriser certaines parties du nom d'utilisateur de l'application dans le mot de passe . . . . . . Ne pas autoriser certaines parties du nom d'utilisateur de l'application dans le mot de passe . . . . . . Ne pas autoriser le nom d'utilisateur de l'application dans le mot de passe . . . . . . . . . . . . . . . . . . . . Ne pas autoriser le nom d'utilisateur de l'application dans le mot de passe . . . . . . . . . . . . . . . . . . . . Ne traiter que la premire modification de mot de passe pour cette application . . . . . . . . . . . . . . . . Ne traiter que la premire ouverture de session pour cette application . . . . . . . . . . . . . . . . . . . . . . .
231 237 241 242 231 233 246 245 252 246 248 254 230 236 236 238 257 255 255 258 247 230 233 251 251 250 249 250 251 251 250 254 240 240 234 252 249 249 253 253 252 253 248 247
11
227
Nombre de caractres des portions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Nombre de caractres des portions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Nombre de jours pour la notification avant expiration du mot de passe . . . . . . . . . . . . . . . . . . . . . . Nombre de mots de passe prcdents retenus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Nombre de niveaux de nom de domaine de vrification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Nombre de nouvelles tentatives d'ouverture de session . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Nombre de rptitions possibles d'un caractre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Nombre de rptitions successives possibles d'un caractre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Nombre maximum de caractres numriques autoris. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Nombre maximum de caractres numriques requis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Nombre minimum de caractres numriques requis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Nombre minimum de caractres spciaux requis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Nombre minimum de majuscules requis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Nombre minimum de minuscules requis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Pause de l'Agent avant soumission des informations d'identification . . . . . . . . . . . . . . . . . . . . . . . . Permettre l'Agent de fonctionner mme s'il ne peut pas se reconnecter au magasin central. . . . . . Permettre l'Agent de fonctionner mme s'il ne peut pas se reconnecter au magasin central. . . . . . Permettre aux utilisateurs d'associer des comptes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Permettre aux utilisateurs de garder le mot de passe en mmoire . . . . . . . . . . . . . . . . . . . . . . . . . . . Permettre aux utilisateurs de modifier l'adresse du service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Permettre aux utilisateurs de modifier le domaine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Permettre l'accs aux informations d'identification par le module de synchronisation des informations d'identification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Permettre le code secret de carte puce . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Pour amliorer le processus d'ouverture de session pour les utilisateurs, veuillez slectionner toutes les mthodes de protection des donnes qui s'appliquent . . . . . . . . . . . . . . . . . . Saisie du mot de passe prcdent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Slection d'une mthode : mot de passe prcdent ou questions de scurit . . . . . . . . . . . . . . . . . . . Supprimer le dossier de donnes et les cls de registre l'arrt de l'Agent . . . . . . . . . . . . . . . . . . . . Synchroniser chaque lancement d'applications reconnues ou du Gestionnaire d'informations d'identification par l'utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Tester la conformit d'un mot de passe cr manuellement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Utilisateurs uniquement autoriss choisir un mot de passe gnr par le systme . . . . . . . . . . . . . Utilisateurs uniquement autoriss crer leur propre mot de passe. . . . . . . . . . . . . . . . . . . . . . . . . . Utiliser la notification d'expiration de Citrix Password Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . Utiliser la valeur par dfaut (pour le numro de port du serveur de licences) . . . . . . . . . . . . . . . . . .
253 254 255 254 238 256 249 249 251 252 251 252 250 250 232 235 235 236 237 236 236 235 242 242 244 244 233 234 255 257 257 248 240
228
12
Liste de rfrence des paramtres de Password Manager 4.6
Cette liste rpertorie les paramtres et les conditions par dfaut des paramtres du nud Password Manager de la console Access Management Console, regroups en fonction de leur emplacement dans la console. Pour trouver rapidement un nom de paramtre spcifique, cliquez sur son nom dans la Liste des paramtres de Password Manager . Un lien hypertexte vous permet d'accder directement sa dfinition et sa configuration par dfaut.
Configurations utilisateur
Cette section dcrit les paramtres et les commandes des configurations utilisateur. Toutes les aides la navigation fournies dans cette section sont relatives une configuration utilisateur existante pendant l'excution d'une fonction d'dition. Pour accder la bote de dialogue Modifier la configuration utilisateur, cliquez sur les lments suivants : Consoles de gestion > Access Management Console > Password Manager > Configurations utilisateur > [configuration] > Modifier la configuration utilisateur
Serveur de synchronisation
Ce rglage spcifie le contrleur de domaine auquel lier les utilisateurs lors de la synchronisation au magasin central. ... Configurations utilisateur > [configuration] > Modifier la configuration utilisateur > Serveur de synchronisation
230
Interaction de base de l'agent

Ces commandes permettent de personnaliser le fonctionnement de l'Agent pour la configuration utilisateur en question. C'est l que vous dfinissez l'interface de l'Agent et vos prfrences de synchronisation. ... Configurations utilisateur > [configuration] > Modifier la configuration utilisateur > Interaction de base de l'agent
Autoriser les utilisateurs rvler tous les mots de passe dans le Gestionnaire d'informations d'identification
Ce paramtre dtermine si les utilisateurs peuvent rvler les mots de passe dans le Gestionnaire d'informations d'identification. Lorsque ce paramtre est dsactiv, le bouton Rvler du Gestionnaire d'informations d'identification l'est aussi. Pour limiter la rvlation du mot de passe certaines applications, activez ce paramtre puis utilisez la stratgie de mot de passe correspondante pour autoriser ou non les utilisateurs rvler les mots de passe pour les applications gres par cette stratgie. Valeur par dfaut : dslectionn
Forcer la re-authentification avant de rvler les mots de passe utilisateur

Ce paramtre permet d'obliger les utilisateurs s'authentifier nouveau auprs de Citrix Password Manager avant de rvler un mot de passe. Valeur par dfaut : slectionn
Autoriser les utilisateurs placer l'Agent en pause

Ce paramtre permet d'autoriser les utilisateurs placer temporairement l'agent Citrix Password Manager en pause. S'il est slectionn, les utilisateurs peuvent mettre l'agent en pause mais il n'est pas arrt pour autant. Lorsque l'agent est en pause, Citrix Password Manager ne dtecte pas les applications ncessitant une authentification. Les utilisateurs doivent alors entrer et soumettre leurs informations d'identifications eux-mmes. Valeur par dfaut : slectionn
Informer l'utilisateur lorsque la synchronisation de l'Agent choue

Slectionnez ce paramtre pour signaler les checs de synchronisation de l'Agent aux utilisateurs. Valeur par dfaut : slectionn
12
231
Dtecter automatiquement les applications et proposer le stockage des informations d'identification

Ce paramtre permet d'activer l'affichage par l'Agent d'une invite demandant l'utilisateur s'il souhaite conserver les informations d'identification pour toute nouvelle application. Pour obliger les utilisateurs entrer manuellement toutes leurs informations d'identification dans le Gestionnaire d'informations d'identification, dslectionnez cette option. Lorsque ce paramtre est dslectionn, il remplace l'option Autoriser les utilisateurs annuler le stockage des informations d'identification lorsqu'une nouvelle application est dtecte des paramtres d'interaction du client. Valeur par dfaut : slectionn
Traiter automatiquement les formulaires dfinis lorsque l'Agent les dtecte

Slectionnez cette option pour permettre l'Agent de soumettre automatiquement les informations d'identification mmorises sans que l'utilisateur ait intervenir. Les champs d'informations d'identification dans l'application sont renseigns automatiquement si vous avez activ le paramtre L'Agent soumet ce formulaire automatiquement correspondant dans la dfinition d'application associe cette configuration utilisateur. Valeur par dfaut : slectionne
Dure sparant les requtes de nouvelle authentification de l'Agent

Ce paramtre spcifie la dure sparant les requtes de nouvelle authentification de l'Agent. Lorsque l'intervalle spcifi expire, la station de travail est verrouille et l'utilisateur doit nouveau s'authentifier l'aide de ses informations d'identification principales. Cette option permet de vrifier si l'utilisateur ayant ouvert la session se trouve devant la station de travail. La valeur minimum autorise pour ce paramtre est d'une minute. Valeur par dfaut : 8 heures
Interface utilisateur de l'Agent

Ces commandes permettent de dfinir le contenu la bulle d'aide des icnes, d'afficher ou de masquer l'icne Citrix Password Manager et de dfinir le dlai de soumission des informations d'identification. ... Configurations utilisateur > [configuration] > Modifier la configuration utilisateur > Interface utilisateur de l'Agent
232
Afficher le nom de l'ordinateur dans la bulle d'aide de l'icne de notification

Slectionnez ce paramtre pour afficher le nom de l'ordinateur dans la bulle d'aide de l'icne de notification. Valeur par dfaut : dslectionn
Afficher l'icne de notification

Slectionnez cette commande pour afficher l'icne de notification de Citrix Password Manager lorsque l'Agent est actif. Lorsque cette option est dslectionne, les utilisateurs ne peuvent pas dmarrer ou arrter l'Agent ou accder aux autres options contrles par l'utilisateur. Valeur par dfaut : slectionne
Pause de l'Agent avant soumission des informations d'identification

Slectionnez ce paramtre pour spcifier le dlai de soumission d'informations d'identification de l'Agent aprs dtection d'une application autorise. Dans ce cas, spcifiez la dure (en secondes) de dlai de soumission des informations d'identification. Ce paramtre permet de s'assurer que l'application est prte recevoir les informations didentification. Si ce paramtre est slectionn, l'Agent affiche un indicateur de progression, signalant le traitement en cours, pendant la priode dfinie. Valeur par dfaut : dslectionn
Dfinir les colonnes par dfaut et leur ordre dans le Gestionnaire d'informations d'identification
Ce paramtre permet de dsigner les colonnes affiches dans la vue Dtails du Gestionnaire d'informations d'identification et leur ordre de prsentation. Il n'affecte pas les vues Liste ou Icnes dans le Gestionnaire d'informations d'identification. Valeur par dfaut : Nom de l'application Description Groupe Dernire utilisation Modification Mot de passe URL/module Nom d'utilisateur/ID
12
233
Interaction ct client
Ces paramtres permettent de configurer la vrification de mot de passe, l'observateur d'vnements de l'Agent, la conservation de cls de Registre la fermeture et le stockage d'informations d'identification sur les applications nouvellement dtectes. ... Configurations utilisateur > [configuration] > Modifier la configuration utilisateur > Interaction ct client
Effectuer une vrification de mot de passe lors de la dfinition initiale des informations d'identification
Slectionnez cette commande pour demander aux utilisateurs d'entrer deux fois leur mot de passe en guise de confirmation lors de la dfinition initiale des informations d'identification. Valeur par dfaut : slectionne
Journaliser les vnements (Observateur d'vnements Windows)

Slectionnez cette commande pour activer la journalisation des erreurs et avertissements de l'agent dans le journal d'vnements de Windows. Valeur par dfaut : dslectionne
Supprimer le dossier de donnes et les cls de registre l'arrt de l'Agent

Slectionnez cette commande pour supprimer le dossier de donnes (y compris les informations d'identification cryptes) et les cls de registre de l'utilisateur lors de l'arrt de l'agent. Valeur par dfaut : dslectionne
Autoriser les utilisateurs annuler le stockage des informations d'identification lorsqu'une nouvelle application est dtecte
Ce paramtre permet d'activer l'invite demandant aux utilisateurs s'ils souhaitent stocker leurs informations d'identification chaque fois que l'Agent reconnat une application pour laquelle aucune information n'est stocke. S'il est slectionn, les utilisateurs peuvent stocker leurs informations d'identification dans le Gestionnaire d'informations d'identification tout de suite ou ultrieurement. Si le paramtre Dtecter automatiquement les applications et inviter l'utilisateur stocker les informations d'identification est dslectionn, l'Agent n'invite pas les utilisateurs stocker leurs informations d'identification. Valeur par dfaut : slectionn
234
Limiter le nombre de jours de suivi des informations didentification supprimes

Ces commandes permettent de spcifier la dure pendant laquelle le magasin central effectue le suivi des informations d'identification supprimes du Gestionnaire d'informations d'identification. Si elles sont stockes sur plusieurs machines clientes, l'Agent supprime les informations d'identification lors de la synchronisation avec le magasin central dans le dlai imparti. Si elles sont encore stockes sur la machine cliente lorsque le dlai expire, elles sont restaures la synchronisation. Valeur par dfaut : slectionnes / 180 jours
Synchronisation
Ces commandes permettent d'autoriser les utilisateurs actualiser les rglages de l'Agent, de synchroniser la configuration utilisateur, de permettre l'Agent de continuer de fonctionner s'il ne peut pas se connecter au magasin central et de spcifier les intervalles de synchronisation automatique. ... Configurations utilisateur > [configuration] > Modifier la configuration utilisateur > Synchronisation
Autoriser les utilisateurs actualiser les rglages de l'Agent

Slectionnez ce paramtre pour permettre aux utilisateurs d'actualiser les rglages de l'Agent dans le Gestionnaire d'informations d'identification. Lorsque ce paramtre est dsactiv, le bouton Actualiser du Gestionnaire d'informations d'identification l'est aussi. Valeur par dfaut : slectionn
Synchroniser chaque lancement d'applications reconnues ou du Gestionnaire d'informations d'identification par l'utilisateur
Slectionnez ce paramtre pour que l'Agent synchronise les informations de configuration utilisateur ds que l'utilisateur lance une application reconnue ou le Gestionnaire d'informations d'identification. Une synchronisation frquente peut entraner une dgradation des performances sur le client et le serveur, ainsi qu'un accroissement du trafic rseau. Valeur par dfaut : dslectionn
12
235
Permettre l'Agent de fonctionner mme s'il ne peut pas se reconnecter au magasin central
Ce paramtre dtermine si Password Manager continue fonctionner lorsqu'il ne peut pas se connecter au magasin central pour la synchronisation. Lorsqu'il est slectionn, une instance de l'Agent disposant d'une licence continue fonctionner mme en l'absence de connexion. Dans le cas contraire, l'Agent ne fonctionne qu'avec une connexion au magasin central. Valeur par dfaut : slectionn
Dure entre les requtes de synchronisation automatique

Cette commande permet de spcifier la dure entre les tentatives de synchronisation automatique. La synchronisation automatique ne dpend pas de l'activit utilisateur et s'ajoute la synchronisation provoque par certains vnements. Valeur par dfaut : dslectionne / 0minute
Permettre l'accs aux informations d'identification par le module de synchronisation des informations d'identification
Slectionnez ce paramtre pour autoriser les clients distants accder aux informations d'identification via ce service. Ce paramtre contrle l'accs des clients distants aux informations d'identification de l'utilisateur par le biais de ce module. Cette option est utilise par la fonction Association de comptes, qui autorise un utilisateur de l'agent se connecter n'importe quelle application l'aide d'au moins un compte Windows. Valeur par dfaut : dslectionn
Association de comptes
Dans la mesure o les entreprises peuvent utiliser plusieurs domaines Windows, les utilisateurs peuvent galement possder plus d'un compte Windows. Les options d'association de comptes permettent l'Agent d'un utilisateur de se connecter n'importe quelle application l'aide d'un ou plusieurs comptes Windows. Ces commandes permettent aux utilisateurs d'associer leurs informations d'identification dans plusieurs comptes Windows. ... Configurations utilisateur > [configuration] > Modifier la configuration utilisateur > Association de comptes
236
Permettre aux utilisateurs d'associer des comptes

Slectionnez ce paramtre pour permettre aux utilisateurs d'associer plusieurs comptes Windows et de spcifier l'adresse URL et le port d'installation du module de synchronisation des informations d'identification. Cette option ne peut pas tre dfinie lors de la configuration initiale d'une Configuration utilisateur. Ce n'est possible qu'en modifiant une configuration existante. Valeur par dfaut : dslectionn
Fournir une adresse du service par dfaut

Slectionnez ce paramtre pour dfinir l'adresse du service par dfaut et le port du service dans le module de synchronisation des informations d'identification. Aprs avoir dfini les paramtres, vous pouvez slectionner l'option Valider pour confirmer l'adresse et le port du service. Valeur par dfaut : <AdresseDeVotreServeur>/MPMService/ Port du service : 443
Permettre aux utilisateurs de modifier l'adresse du service

Si une adresse de service est dfinie, slectionnez ce paramtre pour permettre l'utilisateur de modifier les rglages dans l'interface de l'Agent. Slectionnez cette option si la synchronisation des informations d'identification est excute sur diffrents ordinateurs et que les utilisateurs doivent pouvoir changer de poste de travail. Valeur par dfaut : dslectionne
Fournir le domaine par dfaut

Slectionnez ce paramtre pour spcifier le domaine par dfaut d'authentification lorsque l'Agent se synchronise au compte Windows qui lui est associ. Si vous le slectionnez, entrez le nom de domaine par dfaut dans l'espace fourni. Si vous n'indiquez pas de domaine, les utilisateurs pourraient avoir des doutes quant aux informations d'identification qu'ils doivent fournir. Valeur par dfaut : dslectionn
Permettre aux utilisateurs de modifier le domaine

Slectionnez ce paramtre pour permettre l'utilisateur de modifier le domaine par dfaut d'authentification lorsque l'Agent se synchronise au compte Windows qui lui est associ. Valeur par dfaut : dslectionn
12
237
Permettre aux utilisateurs de garder le mot de passe en mmoire

Slectionnez ce paramtre pour autoriser les utilisateurs mmoriser leur mot de passe de compte Windows associ dans l'Agent. Valeur par dfaut : dslectionn
Prise en charge d'application

Ces commandes permettent l'Agent de dtecter les dfinitions d'application ct client, d'activer la prise en charge de l'mulateur de terminal et de spcifier le nombre minimum de niveaux de nom de domaine vrifier pour les applications Web. ... Configurations utilisateur > [configuration] > Modifier la configuration utilisateur > Prise en charge d'application
Dtecter les dfinitions d'application sur le client

Slectionnez ce paramtre pour permettre Password Manager de dtecter les applications dfinies avec l'une des valeurs suivantes, en plus des applications dfinies par les administrateurs. Slectionn par dfaut. Quand ce paramtre est slectionn, vous devez choisir l'un des options suivantes. Toutes les applications Dtecte les applications (et y rpond) dfinies par un administrateur ou un utilisateur (dans le Gestionnaire d'informations d'identification) et dfinies dans les paramtres par dfaut lors de l'installation. Applications incluses dans lAgent Password Manager uniquement Dtecte les applications (et y rpond) dfinies par un administrateur et dfinies dans les paramtres par dfaut lors de linstallation. Les utilisateurs ne peuvent pas crer leurs propres dfinitions d'application partir du Gestionnaire d'informations d'identification. Applications dfinies par les utilisateurs dans le Gestionnaire d'informations d'identification Dtecte les applications (et y rpond) dfinies par un administrateur et un utilisateur dans le Gestionnaire d'informations d'identification. L'agent ne reconnat pas celles dfinies dans les paramtres par dfaut l'installation. Valeur par dfaut : toutes les applications
238
Activer la prise en charge des mulateurs de terminal

Ce paramtre permet d'activer la prise en charge des mulateurs de terminal. L'Agent a besoin de la prise en charge d'mulateurs de terminal pour dtecter les applications hte/mainframe. Lorsque ce paramtre est slectionn, l'Agent excute un processus qui dtecte les mulateurs de terminal. Valeur par dfaut : dslectionn
Frquence de surveillance par l'Agent des modifications dans l'mulateur

Ce paramtre spcifie le dlai respecter avant que l'Agent vrifie la prsence de changements dans l'affichage de l'mulateur d'hte. Des valeurs plus faibles peuvent requrir plus de temps d'UC sur le client et augmentent le trafic rseau. Si vous ne slectionnez pas ce paramtre, l'Agent utilise une valeur par dfaut de 3 000 millisecondes. Dans le cas contraire, entrez une dure en millisecondes. Valeur par dfaut : dslectionn
Nombre de niveaux de nom de domaine de correspondance

Ce paramtre spcifie le nombre minimum de niveaux de nom de domaine de correspondance pour les applications Web autorises. Une valeur infrieure ou gale 2 correspond *.domaine1.domainedepremierniveau, une valeur 3 *.domaine2.domaine1.domainedepremierniveau. Les niveaux de nom de domaine suprieurs au nombre spcifi ne sont pas pris en compte. Pour contrler de faon stricte la correspondance d'adresse URL pour les applications Web, dfinissez une recherche plus contraignante dans vos dfinitions d'application. Valeur par dfaut : 99
Bureau dynamique
Ces commandes spcifient : Le chemin d'accs du fichier de paramtres de session dfinissant les scripts excuter au dbut et la fin d'une session de Bureau dynamique. La dure en minutes pendant laquelle une session de Bureau dynamique reste active lorsque le poste de travail est inactif. La dure pendant laquelle une session de Bureau dynamique est excute alors que le bureau est verrouill. La slection dune fentre identifiant la session de Bureau dynamique. Le graphique affich dans l'Indicateur de session de Bureau dynamique.
... Configurations utilisateur > [configuration] > Modifier la configuration utilisateur > Bureau dynamique
12
239
Chemin d'accs du fichier de paramtres de scripts de session

Cette commande spcifie le chemin d'accs du fichier de paramtres de session dfinissant les scripts excuter au dbut et la fin d'une session de Bureau dynamique. Le script de dmarrage permet de dmarrer des applications. Le script d'arrt permet d'effectuer des tches de nettoyage telles que la suppression de fichiers. Le fichier utilis doit tre accessible par tous les utilisateurs. Valeur par dfaut : [vide]
Dlai d'expiration du verrouillage

Cette commande spcifie en minutes la dure pendant laquelle une session de Bureau dynamique reste active lorsque le poste de travail est inactif. Si ce dlai est dpass, le bureau est verrouill. Valeur par dfaut : 10 minutes
Dlai d'expiration de session

Cette commande spcifie en minutes la dure pendant laquelle une session de Bureau dynamique s'excute alors que le poste de travail est verrouill. Si ce dlai est dpass, il est mis fin la session et une nouvelle session s'ouvre lorsque le bureau est dverrouill. Valeur par dfaut : 5 minutes
Activer l'indicateur de session

Ce paramtre permet de slectionner une fentre identifiant la session de Bureau dynamique. Lorsqu'il est slectionn, une fentre transparente (qu'il est possible de dplacer) est affiche sur le bureau pendant les sessions de Bureau dynamique. Cette fentre indique le nom de l'utilisateur et le temps coul dans la session active. Valeur par dfaut : slectionn
Activer le graphique
Cette commande spcifie le chemin du fichier graphique affich dans l'Indicateur de session de Bureau dynamique. Le fichier utilis doit tre accessible tous les utilisateurs et enregistr au format bitmap (.bmp) de Windows. Valeur par dfaut : [aucune]
Systme de licences
Ces commandes permettent d'identifier le nom du serveur de licences et son port d'accs, de slectionner le modle de licence et de poursuivre la configuration sans valider les informations de licence. ... Configurations utilisateur > [configuration] > Modifier la configuration utilisateur > Systme de licences
240
Serveur de licences
Vous devez indiquer le nom complet (nomhte.domaine.tld) et le port d'accs associs au serveur de licences. Le numro de port par dfaut est 27000. Valeur par dfaut : [vide] Port par dfaut : 27000
Utiliser la valeur par dfaut (pour le numro de port du serveur de licences)

Slectionnez ce paramtre pour utiliser le port d'accs par dfaut du serveur de licences. Si le serveur de licences coute sur un autre port que son port par dfaut, dsactivez ce paramtre et tapez le port d'accs dans le champ fourni. Valeur par dfaut : slectionn Port par dfaut : 27000
Licences Utilisateur dsign (dition Enterprise et Advanced uniquement)

Cette option est active si vous slectionnez Password Manager Advanced pour l'dition du produit. Vous pouvez galement l'activer si vous slectionnez Password Manager Enterprise pour l'dition du produit. Avec ce type de licences, Password Manager ne peut tre utilis que par des utilisateurs spcifiques, dsigns. Si cette option est slectionne, vous devez spcifier la dure (en jours, heures et minutes) d'affectation de la licence l'utilisateur dsign avant son expiration et la reconnexion de l'Agent au serveur de licences. L'utilisateur garde le contrle de la licence pendant la dure spcifie mme si son ordinateur s'arrte. Valeur par dfaut : slectionne si l'dition est Password Manager Advanced ; indisponible si l'dition est Presentation Server Platinum Valeur de dconnexion par dfaut : 21 jours
Licences Utilisateurs simultans (ditions Enterprise et Platinum uniquement)

Cette option est slectionne automatiquement si vous slectionnez les ditions Password Manager Enterprise ou Presentation Server Platinum pour l'dition du produit. Elle n'est pas disponible si vous slectionnez l'dition Advanced pour le produit. Valeur par dfaut : slectionne si l'dition est Password Manager Enterprise ou Presentation Server Platinum ; non disponible si l'dition est Password Manager Advanced. Valeur de dconnexion par dfaut : 1 heure, 30 minutes si l'option Autoriser l'utilisation de la licence en mode dconnect n'est pas slectionne; 21 jours si la mme option est slectionne.
12
241
Autoriser l'utilisation de la licence en mode dconnect

Cette option n'est disponible que si le paramtre Licences Utilisateurs simultans est slectionn. Slectionnez-la pour spcifier la dure pendant laquelle l'utilisateur peut tre dconnect (hors connexion) avant l'expiration de la licence et son retour dans l'ensemble de licences disponibles. L'utilisateur garde alors le contrle de la licence pendant la dure spcifie mme si son ordinateur s'arrte. La dure par dfaut est de 1 heure 30 minutes ; la valeur recommande est comprise entre 2 et 365 jours. Valeur par dfaut : dslectionne
Continuer sans valider les informations de licence

Ce rglage permet de modifier le processus d'dition sans requrir de nom de serveur de licence et de port d'accs valides. Valeur par dfaut : dslectionn
Mthodes de protection des donnes

Ces paramtres permettent de slectionner les mthodes de protection principale des informations d'identification de vos utilisateurs. ... Configurations utilisateur > [configuration] > Modifier la configuration utilisateur > Mthodes de protection des donnes
Devez-vous rglementer l'accs des administrateurs de comptes aux donnes utilisateur ?

Slectionnez Oui pour interdire l'accs des administrateurs aux informations d'identification des utilisateurs. La slection de cette option entrane la dsactivation des options API de protection des donnes de Microsoft (y compris le DPAPI avec profil dans le menu droulant de source de carte puce) et de l'option Ne pas interroger les utilisateurs, restaurer automatiquement la protection de donnes principale sur le rseau dans les paramtres de protection secondaire des donnes. Avec cette configuration, l'administrateur de comptes ou autres ne peut pas accder aux mots de passe ou aux donnes de l'utilisateur. Ce paramtre permet d'empcher un administrateur de prendre l'identit d'un utilisateur. L'administrateur ne peut pas se connecter sous l'identit de l'utilisateur avec le paramtre par dfaut et ventuellement accder aux donnes situes dans le magasin central local de l'utilisateur. Slectionnez Non pour autoriser l'utilisation de toutes les fonctions d'authentification multiple ici et des mthodes de protection secondaire des donnes dans les paramtres de configuration Protection secondaire des donnes. Valeur par dfaut : Oui
242
Pour amliorer le processus d'ouverture de session pour les utilisateurs, veuillez slectionner toutes les mthodes de protection des donnes qui s'appliquent
Slectionnez cette option pour utiliser les fonctions d'authentification principale accessibles dans les paramtres suivants. Valeur par dfaut : slectionne
Donnes d'authentification des utilisateurs

Ce paramtre n'est disponible que quand le paramtre Pour amliorer le processus d'ouverture de session pour les utilisateurs, veuillez slectionner toutes les mthodes de protection des donnes qui s'appliquent est slectionne. Slectionnez ce paramtre afin d'utiliser un secret d'authentification pour accder aux donnes de l'utilisateur et les protger. Le secret d'authentification peut tre un mot de passe de l'utilisateur ou un priphrique de saisie de code confidentiel install dans votre environnement. Valeur par dfaut : dslectionn
Permettre le code secret de carte puce

Slectionnez cette option pour utiliser un code secret de carte puce en guise de secret de l'utilisateur pour protger les donnes. Elle n'est recommande que si votre entreprise ou votre environnement possde une stratgie de code confidentiel forte . Valeur par dfaut : dslectionne
Autoriser la protection des donnes l'aide d'un mot de passe vide

Ne slectionnez cette option que si les besoins de scurit de votre domaine sont faibles et admettent des mots de passe de domaine vides. Si vous le faites et que l'Agent dtecte que le mot de passe de l'utilisateur est vide, un secret de l'utilisateur est calcul partir de l'ID de l'utilisateur. Si vous ne slectionnez pas cette option, l'Agent ne calcule pas de secret de l'utilisateur ou n'assure pas de protection des donnes l'aide du mot de passe vide. Si vous slectionnez Donnes d'authentification des utilisateurs mais pas Permettre le code secret de carte puce ni Autoriser la protection des donnes l'aide d'un mot de passe vide, un message d'erreur s'affiche lorsque l'utilisateur tente d'ouvrir une session l'aide d'un mot de passe vide et l'Agent est dsactiv. Valeur par dfaut : dslectionne
12
243
API de protection des donnes de Microsoft

Slectionnez cette option si vous utilisez des profils itinrants exploitant un protocole d'authentification de rseau Kerberos pour les utilisateurs. Cette option ne fonctionne que si des profils itinrants sont prsents. Par exemple, slectionnez Donnes d'authentification des utilisateurs ainsi que cette option si vos utilisateurs se servent de mots de passe pour accder leurs ordinateurs et d'un protocole d'authentification de rseau Kerberos pour accder une batterie Citrix Presentation Server. Cette mthode admet galement l'utilisation d'informations d'identification de l'utilisateur et de cartes puce pour l'ouverture de session. Valeur par dfaut : dslectionne
Certificat de carte puce

Cette option permet d'utiliser des cartes cryptographiques autorisant le cryptage et le dcryptage des donnes d'authentification. Citrix vous conseille de slectionner cette option, dans la mesure du possible, si vous utilisez Bureau dynamique avec des cartes puce dans votre environnement. Valeur par dfaut : dslectionne
Utiliser la mme protection des donnes qu'avec Password Manager 4.1 et versions prcdentes
Slectionnez cette option ainsi qu'une mthode dans le menu droulant de source de cl de carte puce pour autoriser l'utilisation d'une seule mthode d'authentification principale et/ou si vous utilisez la version 4.0 ou 4.1 de l'Agent. En outre, si vous avez mis niveau votre magasin central Password Manager de la version 4.1 vers la version 4.6, cette option est slectionne automatiquement. Valeur par dfaut : dslectionne
Protection secondaire des donnes

Ces options vous permettent de spcifier des fonctions de protection secondaire des informations d'identification utiliser avant de dverrouiller les informations d'identification lorsque les utilisateurs modifient leur authentification principale (par exemple, en cas de modification de mot de passe de domaine ou de remplacement d'une carte puce). En outre, elle vous permet de spcifier la restauration automatique des informations d'identification en mettant en uvre le module de gestion des cls. ... Configurations utilisateur > [configuration] > Modifier la configuration utilisateur > Protection secondaire des donnes
Demande de vrification d'identit des utilisateurs

Utilisez cette option pour identifier la mthode utilise pour procder la nouvelle authentification de lutilisateur :
244
Saisie du mot de passe prcdent Slection d'une mthode : mot de passe prcdent ou questions de scurit
Valeur par dfaut : slectionne
Saisie du mot de passe prcdent

Slectionnez cette option pour appliquer le verrouillage des utilisateurs qui oublient leur mot de passe prcdent et leur demander une nouvelle saisie des informations d'identification des applications. Pour prvenir le verrouillage des utilisateurs, ne combinez pas le module de rinitialisation de mot de passe avec uniquement la mthode de vrification d'identit du mot de passe prcdent. lorsque le mot de passe prcdent est la seule mthode disponible pour les utilisateurs, ceux qui l'oublient ne peuvent plus accder au systme. Leurs donnes doivent tre rinitialises ou supprimes du magasin central et de toutes les machines clientes o elles sont stockes. Ils doivent de nouveau entrer leurs informations d'identification pour toutes les applications. Valeur par dfaut : slectionne
Slection d'une mthode : mot de passe prcdent ou questions de scurit

Slectionnez cette option pour que les utilisateurs reoivent une invite en fonction de la mthode de vrification qu'ils ont choisie. En activant cette option, vous activez galement l'option Utiliser la question de vrification d'identit comme dans les versions prcdentes de Password Manager. Valeur par dfaut : dslectionne
Utiliser la mme protection des donnes qu'avec Password Manager 4.1 et versions prcdentes
Slectionnez cette option en cas de mise niveau de la version 4.1 de Password Manager et de slection de l'authentification avec questions ou des questions de vrification d'identit. Valeur par dfaut : dslectionne
12
245
Aucune invite aux utilisateurs ; restauration automatique de la protection principale des donnes sur le rseau
Slectionnez cette option lorsque vous mettez en uvre le module de gestion des cls pour contourner la vrification d'identit et dverrouiller automatiquement les informations d'identification des utilisateurs. Cette mthode est moins sure que les autres mthodes de protection de donnes mais elle est plus pratique pour vos utilisateurs, dans la mesure o les informations d'identification sont rcupres automatiquement. Valeur par dfaut : dslectionne
Fonctions autonomes de compte

Les options disponibles dans cette section ncessitent l'installation du module de gestion des cls. Celui-ci ajoute un bouton la bote de dialogue d'ouverture de session Windows qui permet la rinitialisation des mots passe par les utilisateurs. ... Configurations utilisateur > [configuration] > Modifier la configuration utilisateur > Fonctions autonomes de compte
Autoriser les utilisateurs rinitialiser leur mot de passe de domaine principal

Slectionnez ce paramtre pour autoriser les utilisateurs rinitialiser leur mot de passe principal de domaine sans demander l'intervention de l'administrateur. Valeur par dfaut : dslectionn
Autoriser les utilisateurs dverrouiller leur compte de domaine

Slectionnez ce paramtre pour permettre aux utilisateurs de dverrouiller leur compte de domaine. Valeur par dfaut : dslectionn
Module de gestion des cls

Ces commandes identifient l'emplacement et le port de service du module de gestion des cls. ... Configurations utilisateur > [configuration] > Modifier la configuration utilisateur > Module de gestion des cls
Emplacement de service (Module de gestion des cls)

Ce paramtre permet d'identifier l'adresse et le port du module de gestion des cls. Utilisez le bouton Validation pour vous assurer de la validit des rglages. Valeur par dfaut : [vide] Port du service : 443
246
Module d'habilitation
Le module d'habilitation permet d'importer, de modifier et de supprimer les informations d'identification associes des utilisateurs dans cette configuration utilisateur. Ces pages imposent la spcification de l'emplacement et du port de service du module d'habilitation. ... Configurations utilisateur > [configuration] > Modifier la configuration utilisateur > Module d'habilitation
Excuter l'habilitation
Slectionnez ce paramtre pour utiliser l'habilitation. Valeur par dfaut : dslectionn
Emplacement de service (Module d'habilitation)

Ce paramtre permet d'identifier l'adresse et le port du module d'habilitation. Utilisez le bouton Validation pour vous assurer de la validit des rglages. Valeur par dfaut : [vide] Port du service : 443
Dfinitions d'application
Cette section dcrit les paramtres et les commandes de dfinition d'application. Toutes les aides la navigation fournies dans cette section sont relatives une dfinition d'application pendant une fonction d'dition. Pour accder la bote de dialogue Modifier la dfinition d'application, cliquez sur les lments suivants : Consoles de gestion > Access Management Console > Password Manager > Dfinitions d'application > [dfinition] > Modifier la dfinition d'application
Modification du formulaire d'application

Ces commandes dfinissent les rgles relatives la longueur des mots de passe et la rptition de caractres. ... Dfinitions d'application > [dfinition] > Modifier la dfinition d'application > Formulaires d'application > [formulaire dfini] > Modifier > Autres paramtres
12
247
L'Agent soumet ce formulaire automatiquement

Ce paramtre permet de spcifier si le bouton Soumettre est automatiquement activ par l'Agent ou si l'utilisateur doit le faire manuellement. Cochez la case L'Agent soumet ce formulaire automatiquement pour soumettre le formulaire automatiquement, sans intervention de l'utilisateur. Valeur par dfaut : slectionn
Icne d'application
Cette commande permet d'identifier l'icne affiche en regard de l'application dans le Gestionnaire d'informations d'identification. ... Dfinitions d'application > [dfinition] > Modifier la dfinition d'application > Icne d'application
Icne de l'application
Ce paramtre dtermine l'icne d'application affiche en regard du nom de l'application dans le Gestionnaire d'informations d'identification. Deux options sont disponibles : Utiliser une icne par dfaut Utiliser une icne personnalise (entrez son chemin daccs).
Si vous souhaitez utiliser une icne personnalise, utilisez la fonction de navigation pour indiquer le chemin d'accs de son fichier. Le systme identifie n'importe quel fichier d'icne Windows standard. Les variables d'environnement Microsoft Windows sont prises en charge. Valeur par dfaut : Utiliser une icne par dfaut
Dtection avance
Ces commandes permettent l'Agent d'ignorer les formulaires de modification d'informations d'identification ou de mot de passe suivants au cours d'une session d'application lorsque ce type de modification a dj t excut. ... Dfinitions d'application > [dfinition] > Modifier la dfinition d'application > Dtection d'application
Ne traiter que la premire ouverture de session pour cette application

Slectionnez cette commande pour ne traiter que la premire ouverture de session pour cette application et ignorer les demandes d'identification suivantes. Valeur par dfaut : dslectionne
248
Ne traiter que la premire modification de mot de passe pour cette application

Slectionnez cette commande pour ne traiter que la premire modification de mot de passe pour cette application et ignorer les demandes de modification suivantes. Valeur par dfaut : dslectionne

Ces commandes permettent de spcifier les paramtres de cette application en cas d'expiration du mot de passe. La stratgie d'expiration de Citrix Password Manager n'est applique que si elle est slectionne dans la stratgie de mot de passe associe cette application. ... Dfinitions d'application > [dfinition] > Modifier la dfinition d'application > Expiration du mot de passe
Excuter le script l'expiration du mot de passe

Slectionnez ce paramtre et spcifiez le script (et son chemin d'accs) excuter lorsque le mot de passe expire. Veuillez consulter Configuration de l'expiration du mot de passe , page 49, pour obtenir des informations complmentaires. Valeur par dfaut : dslectionn
Utiliser la notification d'expiration de Citrix Password Manager

Slectionnez ce paramtre pour utiliser la notification d'expiration de Citrix Password Manager en cas d'expiration du mot de passe. Veuillez consulter Configuration de l'expiration du mot de passe , page 49, pour obtenir des informations complmentaires. Valeur par dfaut : dslectionn
Stratgies de mot de passe

Cette section dcrit les paramtres et les commandes de stratgie de mot de passe. Toutes les aides la navigation fournies dans cette section sont relatives une stratgie de mot de passe existante pendant l'excution d'une fonction d'dition. Pour accder la bote de dialogue Modifier la stratgie de mot de passe, cliquez sur les lments suivants : Management Consoles > Access Management Console > Password Manager > Stratgies de mot de passe > [stratgie] > Modifier la stratgie de mot de passe
12
249
Rgles de mot de passe de base

Ces commandes dfinissent les rgles relatives la longueur des mots de passe et la rptition de caractres. ... Stratgies de mot de passe > [stratgie] > Modifier la stratgie de mot de passe > Rgles de mot de passe de base
Longueur de mot de passe minimale

Spcifie le nombre minimum de caractres requis dans un mot de passe. Minimum autoris = 0, maximum autoris = 128 Valeur par dfaut : 8
Longueur de mot de passe maximale

Spcifie le nombre maximum de caractres autoriss dans un mot de passe. Minimum autoris = 1, maximum autoris = 128 Valeur par dfaut : 20
Nombre de rptitions possibles d'un caractre

Spcifie le nombre maximum de rptitions possibles d'un caractre dans un mot de passe. Minimum autoris = 1, maximum autoris = 128 Valeur par dfaut : 6
Nombre de rptitions successives possibles d'un caractre

Spcifie le nombre de rptitions successives possibles d'un caractre. Minimum autoris = 1, maximum autoris = 128 Valeur par dfaut : 4
Rgles des caractres alphabtiques

Ces commandes dfinissent les rgles relatives la l'utilisation des lettres dans les mots de passe. ... Stratgies de mot de passe > [stratgie] > Modifier la stratgie de mot de passe > Rgles des caractres alphabtiques
Autoriser les minuscules

Ce rglage dtermine si les mots de passe peuvent contenir des lettres minuscules. Valeur par dfaut : Autoriser les minuscules
Le mot de passe peut dbuter avec une minuscule

Ce rglage dtermine si les mots de passe peuvent commencer par une minuscule. Valeur par dfaut : Le mot de passe peut dbuter avec une minuscule
250
Le mot de passe peut se terminer par une minuscule

Ce rglage dtermine si les mots de passe peuvent se terminer par une minuscule. Valeur par dfaut : Le mot de passe peut se terminer par une minuscule
Nombre minimum de minuscules requis

Spcifie le nombre minimum de minuscules requis dans un mot de passe. Minimum autoris = 0, maximum autoris = 128 Valeur par dfaut : 0
Autoriser les majuscules

Ce rglage dtermine si les mots de passe peuvent contenir des lettres majuscules. Valeur par dfaut : Autoriser les majuscules
Le mot de passe peut dbuter avec une majuscule

Ce rglage dtermine si les mots de passe peuvent commencer par une majuscule. Valeur par dfaut : Le mot de passe peut dbuter avec une majuscule
Le mot de passe peut se terminer avec une majuscule.

Ce rglage dtermine si les mots de passe peuvent se terminer par une majuscule. Valeur par dfaut : Le mot de passe peut se terminer par une majuscule
Nombre minimum de majuscules requis

Spcifie le nombre minimum de majuscules requis dans un mot de passe. Minimum autoris = 0, maximum autoris = 128 Valeur par dfaut : 0
Rgles de caractre numrique

Ces commandes dfinissent les rgles relatives la l'utilisation des chiffres (0-9) dans les mots de passe. ... Stratgies de mot de passe > [stratgie] > Modifier la stratgie de mot de passe > Rgles de caractre numrique
Autoriser les caractres numriques

Ce rglage dtermine si les mots de passe peuvent contenir des caractres numriques. Valeur par dfaut : Autoriser les caractres numriques
12
251
Le mot de passe peut dbuter avec un caractre numrique

Ce rglage dtermine si les mots de passe peuvent commencer par un caractre numrique. Valeur par dfaut : Le mot de passe peut dbuter avec un caractre numrique
Le mot de passe peut se terminer par un caractre numrique

Ce rglage dtermine si les mots de passe peuvent se terminer par un caractre numrique. Valeur par dfaut : Le mot de passe peut se terminer par une minuscule
Nombre minimum de caractres numriques requis

Spcifie le nombre minimum de caractres numriques requis dans un mot de passe. Minimum autoris = 0, maximum autoris = 128 Valeur par dfaut : 0
Nombre maximum de caractres numriques autoris

Spcifie le nombre maximum de caractres numriques autoris dans un mot de passe. Minimum autoris = 1, maximum autoris = 128 Valeur par dfaut : 20
Rgles des caractres spciaux

Ces commandes dfinissent les rgles relatives la l'utilisation des caractres spciaux (ni alphabtiques, ni numriques) dans les mots de passe. ... Stratgies de mot de passe > [stratgie] > Modifier la stratgie de mot de passe > Rgles des caractres spciaux
Autoriser les caractres spciaux

Permet d'autoriser les caractres spciaux (ni alphabtiques, ni numriques) dans les mots de passe. Valeur par dfaut : Autoriser les caractres numriques
Le mot de passe peut dbuter avec un caractre spcial

Ce rglage dtermine si les mots de passe peuvent commencer par une caractre spcial. Valeur par dfaut : Le mot de passe peut dbuter avec un caractre spcial
Le mot de passe peut se terminer par un caractre spcial

Ce rglage dtermine si les mots de passe peuvent se terminer par un caractre spcial. Valeur par dfaut : Le mot de passe peut se terminer avec un caractre spcial
252
Nombre minimum de caractres spciaux requis

Spcifie le nombre minimum de caractres spciaux requis dans un mot de passe. Minimum autoris = 0, maximum autoris = 128 Valeur par dfaut : 0
Nombre maximum de caractres spciaux autoris

Spcifie le nombre maximum de caractres spciaux autoris dans un mot de passe. Minimum autoris = 0, maximum autoris = 128 Valeur par dfaut : 20
Liste de caractres spciaux autoriss

Spcifie les caractres spciaux autoriss dans un mot de passe. Valeur par dfaut : !@#$^&*()_-+=[]\|,?
Rgles d'exclusion
Ces commandes spcifient les caractres et les chanes de caractres qui ne sont pas autoriss dans les mots de passe. ... Stratgies de mot de passe > [stratgie] > Modifier la stratgie de mot de passe > Rgles d'exclusion
Exclure des mots de passe les caractres ou groupes de caractres de cette liste
Slectionnez l'option Modifier la liste pour ouvrir la bote de dialogue Modifier la liste d'exclusion qui permet de spcifier jusqu' 256 caractres ou groupes de caractres non autoriss dans les mots de passe. Tapez un caractre ou groupe de caractres par ligne. Chaque groupe peut contenir jusqu' 32 caractres. Les caractres ou groupes de caractres ne sont pas sensibles la casse. Valeur par dfaut : [vide]
Ne pas autoriser le nom d'utilisateur de l'application dans le mot de passe

Ce rglage dtermine si l'utilisation du nom d'utilisateur de l'application est autorise dans le mot de passe. Dans l'affirmative, activez cette case cocher. Valeur par dfaut : dslectionn
12
253
Ne pas autoriser certaines parties du nom d'utilisateur de l'application dans le mot de passe
Ce rglage dtermine si l'utilisation de certaines parties du nom d'utilisateur de l'application est autorise dans le mot de passe. Cela comprend tous les groupes de caractres possibles issus du nom de l'utilisateur. Ce paramtre est troitement li au paramtre Nombre de caractres des portions. Par exemple, lorsque ce paramtre est slectionn et que le paramtre Nombre de caractres des portions est rgl sur la valeur 4, un mot de passe comprenant un groupe de caractres citr , itri ou trix ne serait pas autoris si le nom d'utilisateur est citrix . Valeur par dfaut : dslectionn
Nombre de caractres des portions

Ce paramtre dfinit le nombre de caractres composant une partie du mot de passe, qui doit tre contrle afin de dterminer si le mot de passe fourni contient une partie du nom d'utilisateur de l'application. Par exemple, lorsque l'option Ne pas autoriser certaines parties du nom d'utilisateur de l'application dans le mot de passe et que ce paramtre est rgl sur la valeur 4, un mot de passe comprenant un groupe de caractres citr , itri ou trix ne serait pas autoris si le nom d'utilisateur est citrix . Valeur par dfaut : 3
Ne pas autoriser le nom d'utilisateur Windows dans le mot de passe

Ce rglage dtermine si l'utilisation du nom d'utilisateur Windows est autorise dans le mot de passe. S'il n'est pas slectionn, le nom d'utilisateur Windows est autoris dans le mot de passe. Valeur par dfaut : dslectionn
Ne pas autoriser certaines parties du nom d'utilisateur Windows dans le mot de passe
Ce rglage dtermine si l'utilisation de certaines parties du nom d'utilisateur Windows est autorise dans le mot de passe. Cela comprend tous les groupes de caractres possibles issus du nom de l'utilisateur. Ce paramtre est troitement li au paramtre Nombre de caractres des portions. Par exemple, lorsque ce paramtre est slectionn et que le paramtre Nombre de caractres des portions est rgl sur la valeur 4, un mot de passe comprenant un groupe de caractres citr , itri ou trix ne serait pas autoris si le nom d'utilisateur est citrix . Valeur par dfaut : parties du mot de passe autorises (case cocher non active)
254
Nombre de caractres des portions

Ce paramtre dfinit le nombre de caractres composant une partie du mot de passe, qui doit tre contrle afin de dterminer si le mot de passe fourni contient une partie du nom d'utilisateur de l'application. Par exemple, lorsque l'option Ne pas autoriser certaines parties du nom d'utilisateur de l'application dans le mot de passe et que ce paramtre est rgl sur la valeur 4, un mot de passe comprenant un groupe de caractres citr , itri ou trix ne serait pas autoris si le nom d'utilisateur est citrix . Valeur par dfaut : 3
Historique et expiration des mots de passe

Ces commandes spcifient si un nouveau mot de passe peut tre une rptition d'un mot de passe prcdent, ainsi que le paramtre d'expiration de mot de passe. ... Stratgies de mot de passe > [stratgie] > Modifier la stratgie de mot de passe > Historique et expiration des mots de passe
Le nouveau mot de passe doit tre diffrent du prcdent

Ce rglage indique si le nouveau mot de passe peut tre identique un mot de passe prcdent. Les mots de passe prcdents doivent tre conservs dans un historique des mots de passe. Valeur par dfaut : Le nouveau mot de passe peut tre identique au prcdent (case cocher non active)
Nombre de mots de passe prcdents retenus

Spcifie le nombre de mots de passe prcdents conservs dans l'historique des mots de passe. Minimum autoris = 1, maximum autoris = 24. Valeur par dfaut : 1

Lorsque cette option est slectionne, les paramtres (Dlai d'expiration du mot de passe (jours) et Nombre de jours pour la notification avant expiration du mot de passe) spcifis ici sont appliqus aux dfinitions d'application associes cette stratgie. La stratgie de Citrix Password Manager fonctionne indpendamment de la stratgie d'expiration de mot de passe existante intgre l'application. Valeur par dfaut : expiration de mot de passe non spcifie (case cocher non active)
Dlai d'expiration du mot de passe (jours)

Spcifie le nombre de jours maximum pendant lequel un mot de passe peut rester inchang. Minimum autoris = 1, maximum autoris = 99999.
12
255
Valeur par dfaut : 42
Nombre de jours pour la notification avant expiration du mot de passe

Spcifie le nombre de jours prcdant l'expiration d'un mot de passe avant que l'utilisateur ne commence recevoir des avertissements d'expiration de mot de passe. Minimum autoris = 0, maximum autoris = 99998. Valeur par dfaut : 14
Test de la stratgie de mot de passe

Ces commandes permettent de tester un mot de passe gnr manuellement afin de vrifier sa conformit la stratgie dfinie, de crer automatiquement un mot de passe conforme et de vrifier que les contraintes dfinies n'empchent pas la cration d'un nombre suffisant de mots de passe pour votre organisation. ... Stratgies de mot de passe > [stratgie] > Modifier la stratgie de mot de passe > Test de la stratgie de mot de passe
Tester la conformit d'un mot de passe cr manuellement

Ce champ permet de tester la conformit d'un mot de passe cr manuellement. Entrez votre mot de passe et cliquez sur Tester. Le mot de passe saisi est compar aux critres tablis. Valeur par dfaut : aucune
Gnrer un mot de passe alatoire conforme la stratgie

Cette commande permet de gnrer un mot de passe conforme aux critres de mot de passe actuellement en vigueur. Cliquez sur Gnrer afin de crer un mot de passe conforme, qui pourra tre copi partir de ce champ (Ctrl-C). Valeur par dfaut : aucune
Gnrer et tester des mots de passe uniques conformes la stratgie

Il est galement possible de dfinir un ensemble de contraintes sur les mots de passe pour accepter un nombre limit de mots de passe possibles. Cette commande permet de gnrer un nombre personnalis de mots de passe conformes afin de dterminer si la stratgie dfinie est assez flexible pour rpondre aux besoins de mots de passe de l'organisation. Cliquez sur Gnrer plusieurs mots de passe pour ouvrir une bote de dialogue de cration d'un certain nombre de mots de passe dfinis par l'utilisateur. Valeur par dfaut : aucune
256
Prfrences d'authentification
Ces commandes permettent de dfinir si l'option Rvler est disponible pour les dfinitions d'application utilisant cette stratgie, de demander une nouvelle authentification de l'utilisateur avant la soumission des informations d'identification d'application, de dfinir le nombre de nouvelles tentatives de connexion et de dfinir le dlai dont dispose l'utilisateur pour s'authentifier aprs l'chec d'une tentative d'authentification. ... Stratgies de mot de passe > [stratgie] > Modifier la stratgie de mot de passe > Prfrences d'authentification
Autoriser l'utilisateur rvler le mot de passe pour les applications

Cette commande permet de dterminer si le bouton Rvler du Gestionnaire d'informations d'identification est disponible pour les applications gres par cette stratgie. Lorsqu'un utilisateur slectionne ce bouton, son mot de passe est affich en clair. Si ce paramtre n'est pas slectionn, les utilisateurs ne peuvent pas rvler leur mot de passe. Valeur par dfaut : le bouton Rvler n'apparat pas (case cocher non active)
Obliger l'utilisateur s'authentifier nouveau avant de soumettre les informations d'identification pour une application
Cette commande permet de demander aux utilisateurs d'entrer leurs informations d'identification principales avant soumission par l'agent de celles destines l'application. Lorsque ce paramtre est slectionn, l'Agent verrouille immdiatement la station de travail ds qu'il reconnat une application gre par ce paramtre. Les utilisateurs doivent entrer leurs informations d'identification principales pour dverrouiller la station de travail. L'Agent transmet ensuite les informations d'identifications l'application. Ce paramtre est utile pour les applications permettant l'accs des informations confidentielles ou sensibles car il oblige les utilisateurs confirmer leur identit avant soumission de leurs informations didentification par l'Agent l'application. Valeur par dfaut : l'utilisateur n'est pas oblig de s'authentifier de nouveau (case cocher non active)
Nombre de nouvelles tentatives d'ouverture de session

Cette commande permet de dfinir le nombre de nouvelles soumissions autoris des informations d'identification une mme application dans le dlai spcifi. Lorsque vous optez pour la valeur minimum de 0, les utilisateurs reoivent immdiatement un message d'erreur la seconde tentative d'authentification dans l'application. Valeur par dfaut : 1
12
257
Dlai limite pour les tentatives

Cette commande permet de spcifier le dlai (en secondes) octroy l'utilisateur pour soumettre ses informations d'identification la mme application aprs l'chec de la premire tentative. Valeur par dfaut : 30 secondes
Assistant de modification de mot de passe

Cette commande permet de dterminer la faon dont l'assistant de modification de mot de passe rpond au formulaire de modification de mot de passe. Vous devez configurer l'une des quatre options possibles : Permettre aux utilisateurs de choisir un mot de passe gnr par le systme ou de crer leur propre mot de passe Autoriser les utilisateurs crer leur propre mot de passe seulement Autoriser les utilisateurs choisir un mot de passe gnr par le systme seulement Gnrer un mot de passe et le soumettre l'application sans afficher l'assistant de modification de mot de passe
... Stratgies de mot de passe > [stratgie] > Modifier la stratgie de mot de passe > Assistant de modification de mot de passe
Gnr par le systme ou cr par les utilisateurs eux-mmes

Slectionnez cette option pour que l'assistant de modification de mot de passe autorise les utilisateurs choisir un mot de passe gnr par le systme ou crer leur propre mot de passe. Valeur par dfaut : slectionne
Utilisateurs uniquement autoriss crer leur propre mot de passe

Slectionnez cette option pour que l'assistant de modification de mot de passe empche les utilisateurs de choisir un mot de passe gnr par le systme et les oblige crer leur propre mot de passe. Valeur par dfaut : dslectionne
Utilisateurs uniquement autoriss choisir un mot de passe gnr par le systme

Slectionnez cette option pour que l'assistant de modification de mot de passe utilise automatiquement un mot de passe gnr par le systme sans autoriser les utilisateurs crer leur propre mot de passe. Valeur par dfaut : dslectionne
258
Gnrer un mot de passe et le soumettre l'application sans afficher l'assistant de modification de mot de passe
Slectionnez cette option pour que l'Agent soumette automatiquement un mot de passe gnr par le systme, sans afficher l'assistant de modification de mot de passe l'utilisateur. L'utilisateur peut voir les champs de l'cran de modification de mot de passe renseigns et le message de l'application indiquant si le mot de passe a t modifi avec succs ou non. Valeur par dfaut : dslectionne
13
Extensions de dfinitions d'applications
Bien que les administrateurs de Password Manager puissent gnralement crer des dfinitions d'applications l'aide de la console Password Manager et de l'Outil de dfinition d'application, certaines applications requirent des considrations spciales ou un processus externe pour dterminer si une application a dmarr ou pour soumettre les informations d'identification de l'utilisateur l'aide de l'Agent. Pour prendre en charge les applications ayant ce type d'exigences, les implmenteurs tiers qui crent les processus devant rpondre ces exigences de traitement externe peuvent utiliser les extensions de dfinition d'application de la console Password Manager ainsi que l'Outil de dfinition d'application pour dfinir de quelle faon et quel moment ces processus doivent tre lancs. Cette annexe dcrit la faon dont ces extensions sont configures. Elle n'explique pas comment dfinir ni crer les processus externes permettant de dterminer si une application a dmarr ou de soumettre les informations d'identification de l'utilisateur l'aide de l'Agent.
Oprations de l'Agent
Il existe deux types diffrents d'extensions de dfinitions d'applications : Extensions d'identification Elles utilisent des processus externes pour dterminer si l'application est un formulaire qui requiert des actions de gestion des informations d'identification de l'utilisateur. Vous pouvez utiliser ces processus externes la place de ou conjointement d'autres algorithmes de dtection de fentres dfinis dans la dfinition du formulaire. Extensions d'actions Elles utilisent des processus externes pour effectuer les actions de gestion des informations d'identification requises. Vous pouvez utiliser ces processus externes la place de ou conjointement d'autres algorithmes de dtection de fentres dfinis dans la dfinition du formulaire.
260
Il est possible de configurer une dfinition de formulaire unique de faon ce qu'elle utilise les extensions de dfinitions d'applications pour effectuer l'une de ces oprations ou les deux.
Extensions d'identification
L'Agent utilise un systme de dtection pour identifier les vnements sur le bureau (tels que l'instanciation d'applications, le chargement d'URL, les avis de fin de chargement de page HTML ou autres vnements similaires). mesure que ces vnements se produisent, l'Agent dtermine si l'application cible requiert une action de gestion des informations d'identification (par exemple, ignorer, ouvrir une session, modifier le mot de passe, etc.). Pour cela, il compare les caractristiques que prsente l'application par rapport aux caractristiques dfinies pour identifier un formulaire de faon unique. Ces caractristiques incluent, au minimum, le titre Windows et le nom du fichier excutable et, le cas chant, d'autres caractristiques de correspondance avance telles que l'utilisation d'un processus externe pour identifier le formulaire (extension d'identification). Lorsqu'un processus d'identification externe est requis, celui-ci est identifi dans la dfinition du formulaire. La dfinition du formulaire inclut des informations sur l'extension d'identification et tous les paramtres associs. Ces informations sont directement associes un paramtre de registre. Une fois que l'Agent a termin le traitement des algorithmes correspondance minimale et avance, les extensions d'identification utilisant un processus externe sont values. Lorsque plusieurs extensions d'identification sont dfinies pour valuer un formulaire, elles sont excutes dans l'ordre dans lequel elles apparaissent dans la page des extensions d'identification (de haut en bas). Pour chaque extension d'identification, l'Agent attend pendant l'intervalle de temps dfini (dans le paramtre de registre) que le processus externe se termine avant d'analyser le code de sortie du processus. Si les processus correspondance minimale, avance et externe se terminent en renvoyant le code zro, l'application cible est considre comme correspondante. Si l'un des processus correspondants renvoie une autre valeur, le processus d'valuation est arrt et l'application est considre comme non correspondante. Si un processus renvoie une valeur ngative, une erreur est consigne dans l'Observateur d'vnements Windows. Les valeurs positives sont consignes dans un fichier journal, si celui-ci est activ. Pour plus d'informations, veuillez consulter la section Activation de la journalisation , page 267.
13
261
Vous pouvez effectuer l'action de gestion des informations d'identification suivante en utilisant une combinaison quelconque d'actions de formulaire, de squences d'actions ou d'extensions d'actions Windows standard (voir Extensions d'actions , page 263). Pour plus d'informations, veuillez consulter les sections Dfinition des actions du formulaire , page 57, ou Utilisation de l'diteur d'action pour dfinir la squence d'actions des formulaires , page 66.
Dfinition des extensions d'identification

Les extensions d'identification sont configures l'aide de l'assistant de dfinition de formulaire pendant le processus de dveloppement de dfinitions d'application. Pour plus d'informations, veuillez consulter les sections Prsentation de l'assistant de dfinition d'application , page 46 et Prsentation de l'assistant de dfinition de formulaire , page 50.
Pour dfinir une extension d'identification
1. 2.
Lancez l'assistant de dfinition de formulaire (voir Prsentation de l'assistant de dfinition de formulaire , page 50). Avancez dans le processus de dfinition jusqu' ce que la page Identification du formulaire saffiche (voir Identification du formulaire , page 74). Dans la page Identification du formulaire, cliquez sur Correspondance avance.... Cette action ouvre la bote de dialogue Correspondance avance (voir Utilisation de la correspondance avance pour identifier les formulaires Windows , page 60). Dans la bote de dialogue Correspondance avance, slectionnez l'option Extensions didentification. La page Extensions didentification s'affiche. Cette page vous permet d'afficher, de modifier ou d'ajouter des entres d'extensions d'identification. Pour ajouter une extension d'identification, cliquez sur Ajouter. Cette action ouvre la bote de dialogue Ajout d'extension d'identification. La bote de dialogue Ajout d'extension d'identification permet de dfinir les lments suivants :
ID d'extension Description Paramtres L'ID d'extension identifie la valeur NomExtension rechercher dans les paramtres du registre. Description dfinie par l'utilisateur de l'extension d'identification. Toute paire nom/valeur (nom de paramtre/valeur de paramtre) utilise pour transmettre les paramtres dfinis par l'implmenteur au processus externe lanc par cette extension.
3.
4.
5.
262
NomExtension identifie un nom de cl de registre. Ce nom de cl et les valeurs de cl associes dfinissent l'excutable du processus d'identification externe et ses caractristiques d'utilisation. Le nom de cl de registre et les cls associes se situent l'emplacement suivant : [HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\MetaFrame Password Manager\Extension\{NomExtension}] o la valeur NomExtension est identifie par la valeur ID d'extension dfinie dans la bote de dialogue Ajout d'extension d'identification. Sur les plates-formes 64 bits, le nom de cl de registre et les cls associes se situent l'emplacement suivant : [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Citrix\MetaF rame Password Manager\Extension\{NomExtension}] Le tableau suivant dfinit les caractristiques des valeurs de cl.
Cl Type Timeout Type REG_SZ REG_DWORD Donnes Doit tre EXECUTABLE 0 indique d'attendre que l'application se termine. Toute autre valeur indique la priode d'attente en millisecondes. Au terme du dlai d'expiration, terminer le processus (facultatif). TRUE : (valeur par dfaut) terminer le processus. FALSE : (0) ne pas terminer le processus. Executable Arguments REG_EXPAND_SZ REG_SZ Processus excutable et son chemin d'accs complet. Paramtres de l'excutable.
TerminateProcess
BOOL implment en tant que REG_DWORD
La valeur Executable reprsente le chemin d'accs complet du fichier excutable. Les variables d'environnement sont permises. Si l'extension est implmente en tant que script, vous devez utiliser l'interprteur de script pour l'excutable et le nom du script comme partie des arguments. Pour dvelopper des processus externes, vous pouvez utiliser un diteur/langage ou un environnement de dveloppement intgr de votre choix. La valeur Arguments prend en charge les paramtres que l'Agent peut remplacer par des paramtres d'excution ou les paires nom/valeur de paramtre spcifies dans la bote de dialogue Ajout d'extension d'identification. Chaque paramtre remplacer doit contenir un
13
263
dlimiteur$ (signe dollar) en prfixe et suffixe. Par exemple, les arguments de ligne de commande :
/h $_HANDLE$ /s $SAPSERVER$ /t $SAPTYPE$
s'affichent comme suit pour l'excutable :

/h 1275366 /s "Houston, TX" /t 43
Le descripteur Microsoft Windows associ l'application est un paramtre interne pris en charge dfini comme $_HANDLE$. Tous les paramtres internes utilisent $_ comme prfixe afin dviter les conflits de nom. Les paramtres dimplmenteur ne permetttent pas dutiliser des traites de soulignement dans les noms de cls. La priorit de remplacement est dfinie pour conserver les valeurs de paramtre aprs qu'ils ont t crits. La priorit est dfinie comme suit: paramtres internes (ex. $_HANDLE$), suivis des paramtres d'implmenteur, puis des variables d'environnement. Tous les paramtres d'implmenteur autorisent l'utilisation de lettres minuscules et majuscules et de chiffres dans les noms de cls. La casse n'est pas prise en compte dans les noms de cls. Si l'excutable d'identification d'extension requiert que les paramtres soient prsents selon une squence spcifique, la valeur Argument doit prendre en charge la squence requise. La squence dans laquelle les paires nom/valeur de paramtre sont dfinies dans la bote de dialogue Ajout d'extension d'identification peut suivre un ordre quelconque.
Extensions d'actions
Les extensions d'actions utilisent un processus externe pour grer les actions de gestion des informations d'identification de l'utilisateur. Le processus de dfinition d'extension est capable de transmettre les informations d'identification de l'utilisateur l'application externe. Une fois qu'un formulaire de gestion des informations d'identification a t identifi (voir Extensions d'identification , page 260), vous pouvez effectuer l'action de gestion des informations d'identification suivante en utilisant une combinaison quelconque d'actions de formulaires, de squences d'actions ou d'extensions d'actions Windows standard. LAgent prend en charge les mmes fonctions que celles prcdemment dcrites dans la section Extensions d'identification , page 260.
264
L'Agent excute le processus externe et attend pendant l'intervalle de temps spcifi que le processus se termine (si WaitForCompletion est dfini sur TRUE), puis analyse son code de sortie. Si le processus se termine en renvoyant la valeur zro, l'extension a t correctement excute. Toute valeur autre que zro indique une erreur. Si un processus renvoie une valeur ngative, l'erreur est consigne dans l'Observateur d'vnements Windows. Les valeurs positives sont consignes dans un fichier journal, si celui-ci est activ. Pour plus d'informations, veuillez consulter la section Activation de la journalisation , page 267.
Dfinition d'extensions d'actions

Les extensions d'actions sont configures l'aide de l'assistant de dfinition de formulaire pendant le processus de dveloppement de dfinitions d'application. Pour plus d'informations, veuillez consulter les sections Prsentation de l'assistant de dfinition d'application , page 46, et Prsentation de l'assistant de dfinition de formulaire , page 50.
Pour dfinir une extension d'action
1. 2.
Lancez l'assistant de dfinition de formulaire (voir Prsentation de l'assistant de dfinition de formulaire , page 50). Avancez dans le processus de dfinition jusqu' ce que la page Dfinition des actions du formulaire saffiche (voir Dfinition des actions du formulaire , page 57). Dans la page Dfinition des actions du formulaire, cliquez sur diteur daction.... Cette action ouvre la bote de dialogue diteur daction (voir Utilisation de l'diteur d'action pour dfinir la squence d'actions des formulaires , page 66). Dans la bote de dialogue diteur daction..., slectionnez l'option Lancer lextension de laction. Le volet Configuration d'action s'affiche. Ce volet permet d'afficher, de modifier ou d'ajouter des entres Lancer l'extension de l'action la squence d'actions. Pour ajouter une extension d'action la squence d'actions, entrez les informations suivantes, puis cliquez sur Insrer :
ID d'extension Description Paramtres L'ID d'extension identifie la valeur NomExtension rechercher dans les paramtres du registre. Description dfinie par l'utilisateur de l'extension d'action. Toute paire nom/valeur (nom de paramtre/valeur de paramtre) utilise pour transmettre les paramtres dfinis par l'implmenteur au processus externe lanc par cette extension.
3.
4.
5.
13
265
Comme c'est le cas pour les extensions d'identification, NomExtension identifie le nom de la cl de registre. Ce nom de cl et les valeurs de cl associes dfinissent l'excutable de traitement de l'action externe et ses caractristiques d'utilisation. Le nom de cl de registre et les cls associes se situent l'emplacement suivant : [HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\MetaFrame Password Manager\Extension\{NomExtension}] o la valeur NomExtension est identifie par la valeur d'ID dfinie dans le volet Configuration d'action. Sur les plates-formes 64 bits, le nom de cl de registre et les cls associes se situent l'emplacement suivant : [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Citrix\MetaF rame Password Manager\Extension\{NomExtension}] Le tableau suivant dfinit les caractristiques des valeurs de cl.
Cl Type Timeout Type REG_SZ REG_DWORD Donnes Doit tre EXECUTABLE 0 indique d'attendre que l'application se termine. Toute autre valeur indique la priode d'attente en millisecondes. Au terme du dlai d'expiration, terminer le processus (facultatif). TRUE : (valeur par dfaut) terminer le processus. FALSE : (0) ne pas terminer le processus. WaitForCompletion BOOL implment en tant que REG_DWORD L'Agent attend que le processus se termine (facultatif). TRUE : (valeur par dfaut) attendre FALSE : (0) ne pas attendre. Executable Arguments REG_EXPAND_SZ REG_SZ Processus excutable et son chemin d'accs complet. Paramtres de l'excutable.
TerminateProcess
BOOL implment en tant que REG_DWORD
La valeur Executable suit les mmes conventions que pour les extensions d'identification. La valeur Arguments prend en charge les paramtres que l'Agent peut remplacer par des paramtres d'excution ou les paires nom/valeur de paramtre spcifies dans la vue Lancer l'extension de l'action de la
266
fentre diteur d'action. Chaque paramtre remplacer doit contenir un dlimiteur$ (signe dollar) en prfixe et suffixe. Par exemple, les arguments de ligne de commande :
/h $_HANDLE$ /s $SAPSERVER$ /t $SAPTYPE$
s'affichent comme suit pour l'excutable :

/h 1275366 /s "Houston, TX" /t 43
Le descripteur Microsoft Windows associ l'application est un paramtre interne pris en charge dfini comme $_HANDLE$. Tous les paramtres internes utilisent $_ comme prfixe afin dviter les conflits de nom. Les paramtres dimplmenteur ne permetttent pas dutiliser des traites de soulignement dans les noms de cls. Outre le descripteur Windows, les paramtres internes suivants sont galement pris en charge pour la gestion des informations d'identification de l'utilisateur : Nom d'utilisateur ($_USERNAME$) Mot de passe ($_PASSWORD$) Personnalis1 ($_CUSTOM1$) Personnalis2 ($_CUSTOM2$) Ancien mot de passe ($_OLDPASSWORD$)
La priorit de remplacement est dfinie pour conserver les valeurs de paramtre aprs qu'ils ont t crits. La priorit est dfinie comme suit : paramtres internes, suivis des paramtres d'implmenteur, puis des variables d'environnement. Tous les paramtres d'implmenteur autorisent l'utilisation de lettres minuscules et majuscules et de chiffres dans les noms de cls. La casse n'est pas prise en compte dans les noms de cls. Si l'excutable d'identification d'extension requiert que les paramtres soient prsents selon une squence spcifique, la valeur Argument doit prendre en charge la squence requise. La squence dans laquelle les paires nom/valeur de paramtre sont dfinies dans la bote de dialogue Configuration d'action peut tre un ordre quelconque.
13
267
Exigences de l'implmenteur
Les processus externes utiliss pour effectuer des actions de correspondance avances ou de gestion des informations d'identification sont dfinis comme des processus ou des applications qui peuvent tre lancs partir d'une interface de ligne de commande. Tous les arguments obligatoires ou facultatifs des extensions d'identification ou d'action doivent galement pouvoir tre spcifis en ligne l'aide d'une interface de ligne de commande. Pour les extensions d'action, limplmenteur doit prendre en charge les mmes fonctions que la dtection Windows dcrite ci-dessus. Il doit en effet tre en mesure de transmettre les informations didentification Nom d'utilisateur, Mot de passe, Personnalisation1, Personnalisation2 et Ancien mot de passe l'excutable. Pour les extensions d'identification et les extensions d'action, l'implmenteur est responsable des oprations suivantes : dploiement de tous les excutables, modules de support et fichiers permettant de prendre en charge l'extension sur l'Agent ; gestion de tous les modules dploys ; ajout de toutes les entres de registre spcifies sur l'Agent ; maintien du caractre unique des noms d'extension dans leurs domaines.
Le schma de nom d'extension recommand est un schma de nom de domaine inverse (ex. com.citrix.cpm.ext4).
Activation de la journalisation
Pour activer le suivi de dbogage de l'Agent, vous devez effectuer une modification du registre. Le nom de cl de registre et les cls associes se situent l'emplacement suivant : [HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\MetaFrame Password Manager\Log] Le tableau suivant dfinit les caractristiques des valeurs de cl.
Cl Enabled Type REG_DWORD Donnes La valeur par dfaut est 0. 0 : dsactiv. 1 : activ.
268
Cl Filter
Type REG_DWORD
Donnes Masque de bit dterminant ce qui doit tre consign. 0x00000001 : indicateur d'application Windows utilis pour consigner les erreurs d'extensions d'identification. 0x00000004 : mot de passe Windows utilis pour consigner les erreurs d'extensions d'actions.
MaxSizeInBytes
REG_DWORD
Taille maximum du fichier journal, en octets. La valeur maximum thorique peut tre de 4 Go (2^32). Valeur par dfaut : 819200
Les donnes du fichier journal sont consignes dans un fichier sso_<NomUtilisateur>.log situ dans :
C:\Documents and Settings\<NomUtilisateur>\Application Data\Citrix\MetaFrame Password Manager
14
Codes clavier virtuel pour les applications d'hte et les applications Windows
Cette annexe sert de rfrence pour les codes clavier des applications d'hte et Windows, notamment : Codes pour VTabKeyN (Windows) Codes pour VirtualKeyCode (Windows) et VKEY (Windows) Codes clavier virtuel pour les mulateurs de terminal HLLAPI
Codes pour VTabKeyN (Windows)

Utilisez les identifiants suivants pour crer une squence de codes clavier pour Windows.
Code `DELAY=N` `VKEY=N` Description N est la valeur en milli-secondes de la pause. N est le code clavier virtuel transmettre.
Par exemple, pour envoyer les frappes Tab, Fin, Espace, puis une pause de 1,5 secondes, la chane Nom d'utilisateur, la touche Espace, le nom d'utilisateur/ID, la touche Dbut, une pause de 0,35 seconde, la touche Tab puis le mot de passe, utilisez la ligne suivante.
VTabKey1=`VKEY=9``VKEY=35` `DELAY=1500`Nom d'utilisateur`VKEY=32` VTabKey2=`VKEY=36``DELAY=350``VKEY=9`
270
Codes pour VirtualKeyCode (Windows) et VKEY (Windows)

Ces codes permettent l'envoi de frappes clavier des formulaires d'ouverture de session ou de modification de mot de passe lors de la configuration des informations d'identification pour les applications htes.
Touche Pause Code Touche 3 5 6 7 8 9 A B C D E F G H I J K L M N Code Touche 53 54 55 56 57 65 66 67 68 69 70 71 72 73 74 75 76 77 78 V W X Y Z Code Touche 86 87 88 89 90 F5 F6 F7 F8 F9 F10 F11 F12 F13 F14 F15 F16 F17 F18 F19 F20 F21 F22 F23 Code 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134
Retour en arrire 8 Tab Suppr Entre Majuscule Ctrl Alt Verr. Maj. chap. Barre espace Page prcdente Page suivante Fin Dbut Gauche Haut Droite Bas 9 12 13 16 17 18 20 27 32 33 34 35 36 37 38 39 40
Gauche (fentre) 91 Droite (fentre) 0 (du pav numrique) 1 (du pav numrique) 2 (du pav numrique) 3 (du pav numrique) 4 (du pav numrique) 5 (du pav numrique) 6 (du pav numrique) 7 (du pav numrique) 8 (du pav numrique) 9 (du pav numrique) Astrisque (*) Plus (+) 92 96 97 98 99 100 101 102 103 104 105 106 107
14
Codes clavier virtuel pour les applications d'hte et les applications Windows
271
Touche Impression cran Aide 0 1 2 3 4
Code Touche 44 47 48 49 50 51 52 O P Q R S T U
Code Touche 79 80 81 82 83 84 85 Moins (-) Point (.) Barre oblique (/) F1 F2 F3 F4
Code Touche 109 110 111 112 113 114 115 F24 Verr. Num. Arrt dfil. MAJ gauche MAJ droit Ctrl gauche Crtl droit
Code 135 144 145 160 161 162 163
Codes clavier virtuel pour les mulateurs de terminal HLLAPI

Caractre/ commande Alt curseur Retour en arrire @ Alt Champ Champ + Sortie champ Alt curseur Effacer saisie Demande systme Insrer basculement Slection curseur Attention Code Caractre/ commande @$ @< @@ @A @A @@A @+ @A @E @$ @A @F @A @H @A @I @A @J @A @Q Impression locale Rinitialiser Majuscule Copier Marque champ TAB droit Haut Bas Gauche Droite Page prcdente Page suivante Fin Code Caractre/ commande @P @R @S @S @x @S @y @T @U @V @L @Z @u @v @q PF12/F12 PF13/F13 PF14/F14 PF15/F15 PF16/F16 PF17/F17 PF18/F18 PF19F19 PF20/F20 PF21/F21 PF22/F22 PF23/F23 PF24/F24 Code @c @d @e @f @g @h @i @j @k @l @m @n @o
272
Caractre/ commande Impression cran Hxadecimal Touche commande/ fonction Impression (PC) Tabulation gauche/ retour Suppr Supprimer Entre
Code Caractre/ commande @A @T @A @X @A @Y @A @t @B @C @D @E Dbut PF1/F1 PF2/F2 PF3/F3 PF4/F4 PF5/F5 PF6/F6 PF7/F7 PF8/F8 PF9/F9 PF10/F10 PF11/F11
Code Caractre/ commande @0 @1 @2 @3 @4 @5 @6 @7 @8 @9 @a @b PA1 PA2 PA3 PA4 PA5 PA6 PA7 PA8 PA9 PA10
Code @x @y @z @+ @% @& @ @( @) @*
Effacer fin du fichier @F Aide Insrer Nouvelle ligne @H @I @N

Password Manager Administrators Guide

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Password Manager Administrators Guide

Transféré par

Droits d'auteur :

Formats disponibles

Guide de l'administrateur Citrix Password Manager

Table des matires

Table des matires

Guide de l'administrateur Citrix Password Manager

Utilisation et gestion des dfinitions d'application. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

Table des matires

Cration de configurations utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91

Guide de l'administrateur Citrix Password Manager

Authentification des utilisateurs et vrification d'identit . . . . . . . . . . . . . . . . . . . . . . . . . . . 129

Gestion de l'authentification avec questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135

Table des matires

Automatisation de la saisie des informations d'identification l'aide de l'habilitation . . . 159

Guide de l'administrateur Citrix Password Manager

Le Bureau dynamique : un environnement de bureau partag destin aux utilisateurs. . 173

Table des matires

11 Liste des paramtres de Password Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225

Guide de l'administrateur Citrix Password Manager

12 Liste de rfrence des paramtres de Password Manager 4.6 . . . . . . . . . . . . . . . . . . . . . . . 229

13 Extensions de dfinitions d'applications. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .259

Table des matires

Guide de l'administrateur Citrix Password Manager

Composants de Password Manager

Guide de l'administrateur Citrix Password Manager

La Console Password Manager

LAgent Password Manager

Guide de l'administrateur Citrix Password Manager

Le Service Password Manager

Guide de l'administrateur Citrix Password Manager

Gamme de produits Password Manager

Password Manager dition Advanced

Password Manager dition Enterprise

Comparatif entre les deux ditions de Password Manager

Guide de l'administrateur Citrix Password Manager

dition dition Advanced Enterprise X X X X X X X X X X X X X X X X X X X X X X X X X

Nouvelles fonctionnalits de Citrix Password Manager 4.6

Prise en charge de Windows Vista pour l'Agent Password Manager

Amlioration de l'habilitation des informations d'identification

Prise en charge du service de domaines multiples

Rponses masques aux questions de scurit pour authentification avec questions

Disponibilit des fonctions autonomes pendant le verrouillage de l'ordinateur

Informations propos de ce document

Guide de l'administrateur Citrix Password Manager

Commentaires propos de ce document

Police espacement fixe

Convention (points de suspension)

Complment d'informations et aide

Bulletin des mises jour prliminaires

Guide de l'administrateur Citrix Password Manager

Guide de dmarrage du systme de licences Citrix

Guide d'installation Citrix Password Manager

Guide de l'administrateur Citrix Password Manager

Aide en ligne pour les administrateurs et les utilisateurs

Citrix Password Manager Evaluators Guide

Assistance technique et services disponibles

Guide de l'administrateur Citrix Password Manager

Prsentation des stratgies de mot de passe

Guide de l'administrateur Citrix Password Manager

Groupes de partage de mot de passe

Groupes de partage de mot de passe de domaine

Application des stratgies de mot de passe

Guide de l'administrateur Citrix Password Manager

Cration de stratgies de mot de passe : l'assistant de stratgie de mot de passe

Pour dmarrer l'Assistant de stratgie de mot de passe

Dfinition des rgles de mot de passe de base