Gestion des mots de passe


Notes :
  • Cette documentation s'adresse uniquement aux clients On Premise de Service Manager.
  • En version SaaS, faîtes une demande de changement auprès du support EasyVista pour activer le cryptage des mots de passe Employés ou pour forcer leur réinitialisation.
Definition

L'accès aux ressources et services de Service Manager nécessite une authentification de l'utilisateur. L'accès est sécurisé par la saisie d'un login et est renforcé par la saisie d'un mot de passe crypté permettant à l'utilisateur de prouver son identité.

  • Les mots de passe sont utilisés au niveau de certains fichiers de configuration et de tables d'administration, au niveau des employés et au niveau des modèles d'intégration  - Open url.png voir Nature des mots de passe
  • L'outil EasyCrypt fourni à l'installation de Service Manager doit être utilisé pour crypter les mots de passe.
  • Une politique des mots de passe Employés peut être mise en place pour imposer des règles de saisie des mots de passe  - Open url.png voir Procédure
EndDefinition

Nature des mots de passe

Mots de passe Administration

Mots de passe Employés

  • Ils permettent de vérifier l'identité d'un utilisateur demandant l'accès à une ressource ou un service nécessitant une authentification : Service Manager, l'agent support technique, l'API REST Service Manager, ...
  • Ils sont stockés dans la table AM_EMPLOYEE de la base EVO_DATA.
  • Le cryptage est activé en effectuant un paramétrage dans la table A_COMPANY de la base EVO_ADMIN Open url.png  voir Procédure
  • Une fois le cryptage activé :
    • Tous les nouveaux mots de passe sont automatiquement cryptés.
    • Tous les mots de passe existants doivent être cryptés via EasyCrypt  - Open url.png  voir Procédure de cryptage
       

Mots de passe Modèles d'intégration

  • Ils permettent la connexion aux bases de données interrogées par les modèles d'intégration.
  • Ils sont stockés dans les modèles d'intégration, via les chaînes de connexion aux bases de données.

Remarques

  • La gestion des accès Employés peut s'effectuer via un annuaire d'entreprise LDAP ou un outil de SSO. Dans ce cas :
    • Les mots de passe définis au niveau de l’annuaire LDAP ou de l'outil de SSO sont utilisés en lieu et place de ceux définis dans Service Manager.
    • Seuls les mots de passe des prestataires externes autorisés à accéder à Service Manager doivent être définis via la gestion des accès Employés.
    • Le paramètre divers {ADMIN} Activer la double authentification doit être activé pour vérifier si un utilisateur qui n'existe pas dans l’annuaire LDAP ou l'outil de SSO est défini dans Service Manager.
  • Pour les utilisateurs qui ne sont pas gérés via un annuaire LDAP ou un outil de SSO :
  • Les mots de passe sont toujours saisis en clair par les utilisateurs lorsqu'ils se connectent à Service Manager.
    • Leur mot de passe est crypté de façon transparente lorsqu'ils demandent la connexion à Service Manager
    • L'accès est autorisé si ce mot de passe crypté est identique au mot de passe crypté stocké en base.

Attention

  • Pour des raisons de sécurité et de confidentialité des données, seul l'administrateur doit effectuer la procédure de mise en place du cryptage des mots de passe Employés.
  • Effectuez toujours une sauvegarde de la base EVO_DATA avant de mettre en place le cryptage des mots de passe Employés.
  • Si vous ciblez la mise à jour des mots de passe pour certains utilisateurs, effectuez le forçage de l'expiration manuellement via une requête pour sélectionner uniquement ces utilisateurs.

Liste des fichiers / tables d'administration sécurisés par un mot de passe

Fichier / Table Attribut
smoBackOffice.cfg [POP3 Connect]   |   [SQL Connection]
smoServer.ini Password
smoTranslator.ini Password   |   Owner_Password
EVO_ADMIN.A_COMPANY ADMIN_PWD   |   CONFIG_OWNER_PASSWORD   |   CONFIG_PASSWORD   |   DATAONLINE_OWNER_PASSWORD   |   DATAONLINE_PASSWORD   |   REFERENCE_OWNER_PASSWORD   |   REFERENCE_PASSWORD   |   LDAP_PWD
EVO_ADMIN.A_PARAMETERS BackOffice_Owner_Password   |   BackOffice_Password   |   DOCUMENT_SHARE_PASSWORD   |   FTP_PASSWORD   |   PORTAL_PWD   |   PROCEDURE_OWNER_PASSWORD   |   PROCEDURE_PASSWORD   |   SMTP_PASSWORD   |   SMTPPassword
EVO_DATA.AM_PARAMETER MAPI_PASSWORD
EVO_DATA.SD_MAILBOX User_password

Procédures

Comment mettre en place le cryptage des mots de passe Employés

Note : Uniquement pour le cryptage des mots de passe des utilisateurs qui ne sont pas gérés via un annuaire LDAP ou un outil de SSO 

Attention : Pour des raisons de sécurité et de confidentialité des données, seul l'administrateur doit effectuer cette procédure.

Prérequis : Sauvegarde de la base EVO_DATA 

Étape 1 : Activation du cryptage des mots de passe Employés

1. Exécutez la requête ci-dessous dans SQL Server Management Studio.

Note : Remplacez {your_account} par le Compte Service Manager sur lequel les mots de passe doivent être cryptés
         exemple  50004 : Base de production ; 50005 : Base sandbox

UPDATE [EVO_ADMIN].[EZV_ADMIN].[A_COMPANY]
SET crypt_pass=1
WHERE company_account={your_account}

2. Redémarrez les services EasyVista dans l'ordre indiqué ci-dessous.

Best Practice icon.png  Utilisez les raccourcis sur le bureau pour redémarrer l’application (start EZV, stop EZV and restart EZV). A défaut, utilisez un gestionnaire de service pour réaliser les séquences décrites ci-dessous.

    Arrêt des services

  • net stop smoScheduler
  • net stop smoAstService
  • net stop smoPrintServer
  • net stop TSmoMonitoringService
  • net stop EasyVistaKernel
  • net stop EasyVistaServer
  • net stop SMO_Server
  • net stop SMOBroker

    Reprise des services

  • net start SMOBroker
  • net start SMO_Server
  • net start EasyVistaServer
  • net start EasyVistaKernel
  • net start TSmoMonitoringService
  • net start smoPrintServer
  • net start smoAstService
  • net start smoScheduler
     

Étape 2 : Cryptage en masse des mots de passe existants

1. Sauvegardez les mots de passe actuels non cryptés dans un fichier CSV.

2. Effectuez le cryptage du fichier CSV en utilisant EasyCrypt.

    Open url.png  voir Procédure Comment utiliser EasyCrypt (Cryptage en masse d'un ensemble de mots de passe à partir d'un fichier CSV)

Tous les mots de passe sont cryptés et enregistrés dans un nouveau fichier CSV.

Étape 3 : Stockage des mots de passe cryptés dans la table am_employee

StoreEmployeeCryptedPasswords

1. Définissez un modèle d'intégration.

  • Utilisez le connecteur d'intégration Employé.
  • Sélectionnez comme source de données le fichier CSV contenant les mots de passe cryptés.
  • Effectuez la correspondance des champs pour les mots de passe et pour le salage si l'option a été activée lors du hashage.

2. Lancez l'intégration.

Tous les mots de passe de la table AM_EMPLOYEE sont remplacés par les mots de passe cryptés.

EndStoreEmployeeCryptedPasswords

Comment définir une politique des mots de passe Employés

Notes

  • Les règles s’appliquent uniquement sur les mots de passe stockés dans la table AM_EMPLOYEE.
  • Uniquement pour les utilisateurs qui ne sont pas gérés via un annuaire LDAP ou un outil de SSO
     

Étape 1 : Lancement de l'assistant dédié

1. Allez sur le menu Administration > Gestion des accès > Employés.

2. Lancez l'assistant Définition des règles sur les mots de passe.

Attention : Cet assistant s'applique automatiquement à tous les utilisateurs, même si une sélection partielle est effectuée dans la liste des employés.

         Password Policies wizard - Off.png

Étape 2 : Saisie des règles d'expiration des mots de passe

1. Cochez la case Activer l'expiration des mots de passe.

Les champs nécessaires à la gestion de l'expiration des mots de passe sont affichés.

2. Définissez les règles d'expiration des mots de passe devant s'appliquer dans votre organisation.

  • Vous voulez forcer les utilisateurs à réinitialiser régulièrement leur mot de passe : renseignez la fréquence de réinitialisation.
  • Vous voulez forcer les utilisateurs à réinitialiser leur mot de passe dès leur prochaine connexion à Service Manager : cochez la case Expiration de tous les mots de passe.
     

Étape 3 : Saisie des règles de saisie des mots de passe

1. Cochez la case {ADMIN} Activer la contrainte sur les mots de passe pour activer la politique des mots de passe.

Les champs nécessaires à la saisie de la contrainte sont affichés.

         Password Policies wizard.png

2. Définissez les règles de saisie des mots de passe devant s'appliquer dans votre organisation.

  • Renseignez la contrainte à partir d'une expression régulière. Par défaut : 6 caractères minimum ({6,}) et tous les caractères autorisés (.).
  • Saisissez le message d'erreur affiché lorsque l'utilisateur ne respecte pas la contrainte de saisie du mot de passe, via le champ Description de la contrainte.

3. Testez la contrainte sur des mots de passe.

  • Saisissez un mot de passe dans la colonne Chaîne à tester.
  • Cliquez sur Tester la contrainte.
  • Vérifiez que le résultat est égal à 1, indiquant que la chaîne respecte le format de saisie.
  • Effectuez les corrections nécessaires sur la contrainte si le résultat est égal à 0, indiquant qu'une erreur a eu lieu.
     

Étape 4 : Activation de la politique des mots de passe Employés

1. Cliquez sur Terminer.

  • Le paramètre divers {ADMIN} Activer la contrainte sur les mots de passe est mis à jour avec la valeur de l'expression régulière.
  • Les règles de saisie des mots de passe sont effectives dès la prochaine connexion des utilisateurs à Service Manager.
  • Lorsque les mots de passe arrivent à expiration :
    • La date de dernière mise à jour du mot de passe est réinitialisée à blanc dans la table AM_EMPLOYEE (champ PASSWD_LAST_UPDATE_UT).
    • Un e-mail est envoyé à chaque utilisateur avec un nouveau mot de passe temporaire.

Étape 5 : Réinitialisation par les utilisateurs de leur mot de passe arrivant à expiration

1. À expiration des mots de passe, l'invite de ressaisie du mot de passe est affichée sur la mire de login de Service Manager.

2. L'utilisateur doit réinitialiser son mot de passe.

  • L'ancien mot de passe est le mot de passe temporaire reçu par e-mail.
  • L'utilisateur saisit et confirme son nouveau mot de passe en clair, puis clique sur OK.
             Password - New.png
  • La date de dernière mise à jour du mot de passe de l'utilisateur est réactualisée dans la table AM_EMPLOYEE.
  • Le nouveau mot de passe est crypté et est stocké dans la table AM_EMPLOYEE.

Comment attribuer un mot de passe à un utilisateur

Note : Uniquement pour un utilisateur qui n'est pas géré via un annuaire LDAP ou un outil de SSO 

Étape 1 : Sélection de la fiche Employé

1. Allez sur le menu Administration > Gestion des accès > Employés ou sur le menu Annuaire > Employés.

2. Sélectionnez l'utilisateur.

Étape 2 : Saisie du nouveau mot de passe de l'utilisateur

1. Lancez l'assistant Changer le mot de passe.

2. Saisissez, et confirmez, le mot de passe à attribuer à l'utilisateur.

3. Cliquez sur Terminer.

  • Un e-mail est envoyé à l'utilisateur avec son nouveau mot de passe.
  • Le mot de passe est effectif dès la prochaine connexion de l'utilisateur à Service Manager.

Comment modifier son propre mot de passe

Note : Uniquement pour un utilisateur qui n'est pas géré via un annuaire LDAP ou un outil de SSO 

1. Cliquez sur la zone Informations utilisateur Fundamentals - User management zone - Little.png dans le bandeau supérieur.

2. Sélectionnez l'option Password close icon.png Changer mon mot de passe.

3. Saisissez votre ancien mot de passe.

4. Saisissez puis confirmez votre nouveau mot de passe.

5. Déconnectez-vous de Service Manager.

6. Reconnectez-vous en utilisant votre nouveau mot de passe.

Comment demander un nouveau mot de passe en cas d'oubli

Note : Uniquement pour un utilisateur qui n'est pas géré via un annuaire LDAP ou un outil de SSO 

Étape 1 : Demande d'un nouveau mot de passe

1. Cliquez sur le lien Forgot your Password? dans la mire de login de Service Manager.

2. Renseignez votre login ou votre adresse e-mail Service Manager.

3. Cliquez sur Send.

Un mot de passe temporaire est envoyé dans votre messagerie Service Manager.

Étape 2 : Ressaisie d'un nouveau mot de passe

1. Connectez-vous à Service Manager avec le mot de passe temporaire reçu par e-mail.

Note : Si vous utilisez ce mot de passe au-delà de sa période de validité, une mire de login vous invite à le saisir et à le remplacer immédiatement.

2. Saisissez votre nouveau mot de passe.

  • Renseignez votre ancien mot de passe qui est le mot de passe temporaire reçu par e-mail.
  • Saisissez et confirmez votre nouveau mot de passe.
  • Cliquez sur OK.

Votre ancien mot de passe est réinitialisé et n'est plus utilisable.

Tags:
Modifié par Utilisateur inconnu le 2021/03/25 14:33
Créé par Administrator XWiki le 2015/04/15 17:03

Raccourcis

L'actualité mensuelle
•  Newsletter

Tous les changements
•  Service Manager
•  Service Apps
•  Self Help
•  Service Bots

Powered by XWiki ©, EasyVista 2021