Partager via


Configuration de la fermeture de session sécurisée

Publication: novembre 2009

Mis à jour: février 2010

S'applique à: Forefront Threat Management Gateway (TMG)

Pour configurer la fermeture de session sécurisée

  1. Dans l'arborescence de la console de gestion de Forefront TMG, cliquez sur le nœud Stratégie de pare-feu.

  2. Dans le volet d'informations, cliquez sur la règle de publication Web appropriée qui utilise l'authentification par formulaires HTML.

  3. Sous l'onglet Tâches, cliquez sur Modifier la règle sélectionnée.

  4. Sous l'onglet Paramètres de l'application, dans le champ URL de fermeture de session du serveur publié, tapez la chaîne utilisée dans le lien de fermeture de session de la page Web publiée pour indiquer une demande de fermeture de session (par exemple, ?Cmd=logoff ou logoff=1).

  5. Cliquez sur OK.

  6. Sous l'onglet Port d'écoute, cliquez sur Propriétés.

  7. Sous l'onglet Formulaires, cliquez sur Avancé.

  8. Sous Paramètres des cookies, vous pouvez indiquer un nom pour le cookie fourni par Forefront TMG au client une fois l'authentification par formulaires exécutée. Dans la liste déroulante, vous pouvez spécifier le caractère persistant des cookies (ceux-ci continuent d'exister après la fin de la session) sur tous les ordinateurs, sur les ordinateurs privés uniquement ou jamais.

  9. Pour l'option Ignorer l'adresse IP du navigateur pour la validation des cookies, indiquez si vous voulez autoriser l'utilisation par les clients du même cookie depuis des adresses IP différentes. Par exemple, les demandes d'un client unique peuvent sembler provenir d'adresses IP différentes, notamment lorsqu'il existe un programme d'équilibrage de charge entre le client et Forefront TMG.

  10. Sous Paramètres de sécurité du client, sélectionnez :

    • Considérer comme durée d'inactivité maximale, pour définir un délai d'expiration basé sur la durée d'inactivité du client.

    • Considérer comme durée de session maximale, pour définir un délai d'expiration basé sur la durée de la session. Indiquez ensuite les délais d'expiration pour les ordinateurs publics et privés, qui seront utilisés pour établir la durée d'inactivité maximale ou la durée de session maximale.

    • Appliquer le délai d'expiration de la session aux clients qui n'utilisent pas de navigateur, pour appliquer le délai d'expiration de la session aux clients non basés sur des navigateurs (Outlook RPC/HTTP et ActiveSync).

  11. Cliquez sur OK, OK, puis de nouveau sur OK.

  12. Dans le volet d'informations, cliquez sur le bouton Appliquer pour enregistrer et mettre à jour la configuration, puis cliquez sur OK.

noteRemarque :

  • Lorsque Forefront TMG reçoit l'URL de fermeture de session configurée dans une demande d'utilisateur, l'application ferme la session de l'utilisateur, supprime le cookie d'authentification de l'ordinateur client et consigne la révocation du cookie. Forefront TMG présente ensuite la page de fermeture de session à l'utilisateur, ce qui indique la fermeture effective de la session.

  • Les cookies non persistants sont supprimés de l'ordinateur client à la fermeture des fenêtres du navigateur (ce qui met fin au processus du navigateur) ou à la déconnexion de l'utilisateur sur l'ordinateur. Les cookies persistants sont conservés sur l'ordinateur après la fermeture de la fenêtre de navigateur et supprimés uniquement lorsque l'utilisateur se déconnecte de l'ordinateur. Vous pouvez également configurer une durée d'inactivité maximale, de sorte que si un utilisateur quitte un ordinateur en laissant le navigateur ouvert et inactif, le cookie expire automatiquement.

  • Si vous sélectionnez l'utilisation des cookies persistants, vous pouvez spécifier si celle-ci peut intervenir sur les ordinateurs publics ou privés. Lorsqu'il ouvre une session, l'utilisateur indique s'il le fait depuis un ordinateur public ou privé.

  • Sur un ordinateur public, si l'utilisateur ne ferme pas la session, le cookie de la session peut servir à l'utilisateur suivant pour accéder aux sites publiés. La désactivation des cookies persistants pour les ordinateurs publics permet d'éliminer cette menace.

  • Utilisez les cookies persistants pour autoriser l'ouverture de documents depuis Microsoft Windows SharePoint Services sans que les utilisateurs aient besoin de fournir leurs informations d'identification à nouveau. Il est recommandé d'activer les cookies persistants sur les ordinateurs privés uniquement.

  • Comme mesure supplémentaire destinée à minimiser les problèmes de sécurité associés aux cookies, il est recommandé de créer une procédure de fermeture de session qui supprime les cookies et invite les utilisateurs de l'entreprise à fermer leur session chaque fois qu'ils quittent un ordinateur public. La procédure de fermeture de session doit être déclenchée par la sélection d'un lien ou bouton dans une page Web du site de l'entreprise.

  • Lorsqu'une session atteint son délai d'expiration, les clients doivent se reconnecter à celle-ci à l'aide de leurs informations d'identification utilisateur.

  • Lorsque vous configurez un délai d'expiration pour l'authentification par formulaires, il est recommandé d'utiliser un délai inférieur à celui imposé par le serveur publié. Si le délai d'expiration du serveur publié intervient avant celui de Forefront TMG, l'utilisateur peut penser à tort que la session est terminée. Des intrus peuvent utiliser la session qui reste ouverte jusqu'à sa fermeture active par l'utilisateur ou l'expiration du délai défini par Forefront TMG dans les paramètres de formulaire.

Rubriques connexes

Concepts

Publication de serveurs Web sur HTTPS