TroutTrout
All docs

Authentifier les utilisateurs avec les écrans d'accès

Exiger des utilisateurs qu'ils se connectent avant de pouvoir accéder aux systèmes protégés.

3 min read · Last updated 2026-05-21

Si vos utilisateurs sont déjà enregistrés auprès d'un fournisseur d'identité existant (protocole OIDC), ils peuvent utiliser cette méthode d'accès pour bénéficier d'une authentification forte aux nœuds locaux.

Prérequis

Les écrans d'accès reposent sur le protocole sécurisé OIDC. Un fournisseur d'identité utilisant ce protocole (Microsoft Entra ID dans ce guide) doit être configuré.

Voici comment synchroniser l'annuaire utilisateurs avec Access Gate : https://www.trout.software/docs/configuration-guides/inventory/synchronize-user-directory-entra-id

Access Gate doit également être configuré avec :

  1. Certificats TLS
  2. L'interface Secure Twin connecte l'Access Gate à votre système d'authentification. Si votre service d'authentification s'exécute sur le LAN (par exemple un serveur OIDC ou LDAP on-premise), cette interface a uniquement besoin d'une accessibilité LAN vers ce serveur. Si vous utilisez un fournisseur d'identité hébergé dans le cloud, l'interface Secure Twin doit disposer d'un accès WAN.
  3. Créez une entrée DNS pointant vers l'adresse IP de l'interface Secure Twin (généralement 100.65.0.6). Cela permet aux utilisateurs d'accéder au formulaire de l'écran d'accès via une URL conviviale, par exemple : https://auth.{your-domain}/access_form?id=123456

Création d'un nouvel écran

Dans le menu Access Screens, utilisez la fonctionnalité Create template pour créer un nouvel écran.

Création d'un écran d'accès sur Access Gate
Création d'un écran d'accès sur Access Gate

Cliquez sur l'entrée nouvellement créée pour accéder à l'éditeur de texte. C'est l'endroit idéal pour rappeler aux utilisateurs les conditions générales (politiques) régissant l'accès à votre réseau.

Exemple de politique sur un écran d'accès
Exemple de politique sur un écran d'accès

Voici les paramètres que vous pouvez contrôler dans un écran d'accès :

  1. le Niveau de sécurité pour lequel cet écran d'accès doit être utilisé.
  2. l'Annuaire qui sera utilisé pour authentifier les utilisateurs.
  3. le Délai d'accès prédéfini — c'est-à-dire au bout de combien de temps l'accès d'un utilisateur doit être révoqué, l'utilisateur devant alors se réauthentifier si nécessaire. Ce dernier point est particulièrement important : il permet d'avoir un réseau qui « revient à son état initial » ou « se durcit » une fois qu'un accès n'est plus nécessaire.

De retour dans la liste des écrans d'accès, copiez l'URL de l'écran d'accès que vous venez de créer. Partagez-la avec les utilisateurs qui doivent s'authentifier auprès d'Access Gate.

Parcours utilisateur

  1. Un utilisateur ouvre son navigateur et accède à https://auth.{your-domain}/access_form?id=123456
  2. L'écran d'accès se charge et l'utilisateur accepte la politique définie pour cet écran.
  3. L'utilisateur est redirigé vers le portail d'authentification Microsoft Entra ID pour s'authentifier.
  4. Une fois approuvé, l'utilisateur est redirigé vers l'URL de rappel https://auth.{your-domain}/access_authorize
Écran de connexion d'Access Gate
Écran de connexion d'Access Gate

L'accès est accordé ou refusé selon le résultat du processus, et une piste d'audit est enregistrée.

Si la demande est approuvée, l'adresse IP de l'utilisateur est automatiquement ajoutée au proxy et autorisée pour la durée spécifiée dans l'écran d'accès. Cette opération s'effectue en arrière-plan. L'utilisateur peut alors reprendre son flux de travail habituel : connexion aux applications, bases de données et autres services, tandis que les règles d'accès de l'enclave sont pleinement appliquées.

Previous
Configurer le chiffrement TLS
Next
Consultation de l'historique des modifications d'une enclave