On peut vous aider ?

Cherchez des réponses ou parcourez les rubriques de notre documentation

Voir aussi:

< All Topics
Print

Flux réseau, Sécurité

Matrices des flux réseaux

Cas avec GTWeb sans réponse par mail

Le module GTWeb est utilisé pour acheminer la réponse depuis le poste des correspondants vers GTServer ou pour la synchronisation des données (récupération de la dernière version des données depuis GTAnswer) ou pour la vérification http ou pour la diffusion http.

Aucune réponse n’est transmise par mail.

Destination          
Ports par défaut 80 aucun 3000 Suivant SGBD Suivant SGBD 25  ou 465 (SMTP)
source
GTWeb Serveur(s) de messagerie pour GTAnswer GTServer Base de Données client Base de Données GT Serveur de messagerie pour GTServer
GTWeb     TCP/IP (+SSL/TLS) protocole propriétaire pour la couche application (OSI)      
GTAnswer en http
(ou client Automatisation)
 http ou https
Proxy possible (auth basic digest)
         
GTAnswer en TCP/IP
(ou client Automatisation)
    TCP/IP (+SSL/TLS) protocole propriétaire pour la couche application (OSI)      
GTServer       via le client .NET de base de données sur le poste GTServer (OLE DB ou client .NET direct) via le client .NET de base de données sur le poste GTServer (OLE DB ou client .NET direct) SMTP (+SSL/TLS)

Cas sans GTWeb avec réponse par mail (connexion de secours)

Le module GTWeb n’est pas utilisé, ni pour la réponse par mail, ni pour la synchronisation, ni pour la vérification http, ni pour la diffusion http (diffusion d’url d’accès aux qstx).

Si le module GTWeb est utilisé pour la synchronisation ou pour le transfert de la réponse par certains correspondants (dans le cas d’environnements non homogène), cette matrice peut être superposée avec la matrice précédente.

  Destination          
Ports par défaut 80 25 ou 465 (SMTP)

ou aucun (client messagerie)

3000 Suivant SGBD Suivant SGBD 25  ou 465 (SMTP)

+

110 ou 995 (POP) ou 143 ou 995 (IMAP) ou aucun autre (client messagerie)

 

source
GTWeb Serveur(s) de messagerie pour GTAnswer GTServer Base de Données client Base de Données GT Serveur de messagerie pour GTServer
GTAnswer   SMTP (+SSL/TLS)

OU utilisation du client de messagerie Outlook ou Notes (si client utilisé, aucun accès direct par Answer)

       
GTWeb            
GTAnswer
(ou client Automatisation)
    TCP/IP (+SSL/TLS) protocole propriétaire pour la couche application (OSI)      
GTServer       via le client de BD sur le poste GTServer (OLE DB ou client .NET) via le client de BD sur le poste GTServer (OLE DB ou client .NET) SMTP (+SSL/TLS) dans tous les cas

+

POP (+SSL/TLS)
OU IMAP (+SSL/TLS)
OU passage par le client de messagerie Outlook ou Notes (si client utilisé, seul accès en SMTP par GTServer)

 Sécurisation des flux

Accès entrants vers les modules GT

  Via modules GT Hors modules GT
Flux (Src->Dest) Cryptage flux Restriction accès Cryptage Restriction accès
GTAnswer

->

GTWeb

Via http

    – HTTPS pour l’url de GTWeb (configuration sur serveur Web) – Restriction IP autorisées sur serveur Web hébergeant GTWeb

– Reverse proxy avant GTWeb

– Restriction par mot de passe sur le script index.php de GTWeb (du type .htaccess, authentification BASIC et DIGEST, la source peut être un fichier texte, un annuaire LDAP, une base de données)

GTAnswer

->

GTServer

Via TCP/IP

-Certificat serveur par instance (via onglet sécurité de GTAdmin) – Mots de passe forts pour les utilisateurs GT (via contraintes de mots de passe)

– Vérification des certificats clients (via GTServer et GTAnswer)

Outils de cryptage de connexion (VPN, etc…) Restriction IP autorisées sur serveur GTServer
GTWeb

->

GTServer

– Certificat serveur par instance (via onglet sécurité de GTAdmin) – Mots de passe forts pour les utilisateurs GT (via contraintes de mots de passe)

– Vérification des certificats clients (via GTserver et GTWeb)

Outils de cryptage de connexion (VPN, etc…) Restriction IP autorisées sur serveur GTServer
Automatisation

->

GTServer

Idem GTAnswer ->GTServer – Mots de passe forts pour les utilisateurs GT (via contraintes de mots de passe)

– Vérification des certificats clients (via GTserver et application/script utilisant automatisation)

Outils de cryptage de connexion (VPN, etc…) Restriction IP autorisées sur serveur GTServer
GTAnswer

->

GTWeb

    – HTTPS pour l’url de GTWeb (configuration sur serveur Web) – Restriction IP autorisées sur serveur Web hébergeant GTWeb

– Reverse proxy avant GTWeb

– Restriction par mot de passe sur le script index.php de GTWeb (du type .htaccess, authentification BASIC et DIGEST, la source peut être un fichier texte, un annuaire LDAP, une base de données)

Notes

  • Les modes de sécurisation hors modules GT ne sont donnés qu’à titre indicatif.
  • GTServer pour ses clients : La configuration est réalisée via GTServer en installant le certificat, puis en spécifiant dans le client que le type de chiffrement et optionnellement le certificat client si GTServer vérifie les certificats clients

Accès entrants vers les modules hors GT

  Via modules GT Hors modules GT
Flux (Src->Dest) Cryptage flux Restriction accès Cryptage Restriction accès
GTServer

->

Bases de données

    – Certificat serveur et configuration client de base de données – Restriction IP autorisées sur serveur de bases de données

– Mot de passe fort pour compte d’accès à la base de données

– Restrictions du compte GT aux seules bases repository et client

GTServer

->

Serveur de messagerie

– configuration de la connexion au serveur de messagerie   SSL/TLS sur le serveur de messagerie – Restriction IP autorisées sur serveur de messagerie et pour compte mail dédié GTServer
GTAnswer

->

Serveur de messagerie

– configuration de la connexion au serveur de messagerie   SSL/TLS sur le serveur de messagerie – Restriction IP autorisées sur serveur de messagerie si connexion directe au serveur de messagerie par Answer

Notes

  • Les modes de sécurisation hors modules GT ne sont donnés qu’à titre indicatif.

 Authentification à partir du module GTAnswer

2 cas se présentent :

  • Si l’utilisateur dispose d’un compte, alors il utilise l’authentification propriétaire GT
  • Si l’utilisateur ne dispose pas d’un compte, alors il recevra des documents GT (extension .qstx) à remplir. Lors de l’ouverture des documents, 3 modes d’authentification/identification peuvent être utilisés :
    • La validation d’adresse mail (process spécifique GT)
    • L’authentification dans l’Active Directory du correspondant GTAnswer
    • L’authentification http lors de l’accès à GTWeb par GTAnswer

Ces modes d’authentification/identification peuvent être cumulés.

Descriptions

  • La validation d’adresse mail (process spécifique GT) :

Lorsque le questionnaire demande la validation d’adresse mail, GTAnswer va demander au correspondant à configurer son adresse mail et va envoyer un mail à cette adresse avec une pièce jointe d’extension .checkmail (celle-ci contient une information cryptée concernant l’adresse mail et le profil utilisateur source, l’extension .checkmail est associée à GTAnswer lors de l’installation), cette pièce jointe devra être ouverte par le correspondant : de cette façon, GTAnswer s’assure que l’utilisateur Windows a bien accès à l’adresse mail spécifiée dans la configuration GTAnswer.

Des contraintes peuvent être construites dans le questionnaire pour interdire la transmission de la réponse (ou bloquer certaines cellules de saisie) en fonction de l’adresse mail validée et du contenu du questionnaire.

  • L’authentification dans l’Active Directory du correspondant

A l’ouverture d’un questionnaire demandant l’authentification dans l’AD (option de l’action de lancement de campagne), GTAnswer va demander à l’utilisateur d’entrer le mot de passe de la session Windows active (ou le mot de passe du compte Windows associé à l’adresse mail du correspondant initial du questionnaire). Une option permet de vérifier que l’adresse mail associée dans l’AD au compte Windows de la session active soit la même que l’adresse mail du destinataire initial du questionnaire (lors de l’envoi par GTServer).

Des contraintes peuvent être construites dans le questionnaire pour interdire la transmission de la réponse (ou bloquer certaines cellules de saisie) en fonction de l’adresse mail de l’AD (lue dans l’Active Directory pour la session Windows active) et du contenu du questionnaire.

  • L’authentification http lors de l’accès à GTWeb par GTAnswer

L’accès au site Web peut être protégé par une authentification http (définie dans la configuration du site Web, hors modules GT). Les deux modes BASIC et DIGEST sont autorisés pour l’authentification http.

La source de l’authentification peut être un fichier texte, une base de données, un annuaire LDAP ou toute autre source compatible avec votre serveur Web.

Lors de tout accès GTAnswer vers GTWeb (notamment pour la vérification http, la synchronisation ou la transmission de la réponse), l’authentification http sera mise en œuvre. Les informations d’authentification (login et mot de passe) seront demandées à l’utilisateur dans une boîte de dialogue (de la même manière que si l’url était accédée via un navigateur). Au cours de la même session GTAnswer, cette authentification ne sera pas redemandée.

Ce mode d’authentification permet de limiter l’accès à l’ouverture (via l’option Vérification http), à la synchronisation ou au transfert de la réponse.

Ce mode ne permet pas de limiter la transmission de la réponse (ou l’ouverture ou la synchronisation) ou l’accès à certaines cellules de saisie en fonction du contenu du questionnaire et du login pour cette authentification.

 Tableau récapitulatif

Mode Activation Blocage Remarques
Validation d’adresse mail (spécifique Gathering Tools Option du questionnaire Peut bloquer la transmission de la réponse (ou certaines cellules de saisie) en fonction du contenu du questionnaire Plus une identification qu’une authentification

N’empêche pas l’ouverture du questionnaire.

 

Authentification dans l’Active Directory du correspondant Option de l’action de lancement de campagne Bloque l’ouverture du questionnaire

Peut bloquer la transmission de la réponse (ou certaines cellules de saisie) en fonction du contenu du questionnaire.

Requiert l’existence d’un AD.

Requiert que les adresses mails de l’AD soient correctes pour un blocage en fonction du contenu des questionnaires d’une instance

Dans les 2 sous-modes où l’ouverture du questionnaire est limitée aux comptes associés à l’adresse mail du destinataire initial, la transmission du questionnaire à un tiers n’est possible qu’aux personnes pouvant se connecter aux comptes cités précédemment.

Authentification http pour l’accès à GTWeb Configuration du site Web et de l’accès aux script de GTWeb

+ options Vérification http, Synchronisation http, ou Réponse http de l’action de lancement de campagne

Peut bloquer l’ouverture du questionnaire (en utilisant l’option Vérification http) et/ou la synchronisation et/ou la transmission de la réponse http Requiert, hors suite GT, de configurer le site Web pour accéder à un annuaire des personnes autorisées globalement pour l’instance GT.

Ne permet pas de limiter l’accès en fonction du contenu du questionnaire

Aucun mode ne permet d’interdire l’ouverture du questionnaire en fonction des informations d’authentification et d’un contenu dynamique du questionnaire. Seules les informations d’authentification et l’adresse mail initiale du correspondant (utilisé par l’envoi par GTServer) peuvent restreindre l’ouverture dans le cas de l’authentification via l’AD, et dans ce cas, la transmission du questionnaire à une tierce personne ne sera pas possible.

 Rappels sécurisation de GTWeb

Il est fortement conseillé de configurer le serveur Web hébergeant GTWeb pour imposer une connexion sécurisée https. A fortiori si le serveur GTWeb est utilisé pour dialoguer avec des correspondants en dehors du réseau intranet « protégé » de l’entreprise.

L’instance GTServer devra être configurée (via l’onglet « Messagerie » de GTAdmin) avec cette nouvelle url utilisant le protocole https.

Si vous souhaitez sécuriser le transfert de la réponse par GTAnswer, utilisez la réponse http(s), plutôt que la réponse par mail, (à configurer dans l’action de lancement) avec une url GTWeb utilisant le protocole https (dans l’onglet Messagerie de l’instance GTServer via GTAdmin).

L’installation d’un serveur Web supplémentaire utilisé comme reverse proxy pour le serveur Web hébergeant GTWeb pourra être une bonne pratique permettant de filtrer les connexions avant qu’elles ne parviennent au serveur GTWeb, si les correspondants se trouvent en-dehors du réseau intranet de l’entreprise.

Lorsque l’url GTWeb est accessible à un grand nombre, il est impératif que les mots de passe des utilisateurs GT soient des mots de passe forts pour éviter les accès non désirés aux données GTServer.

Restriction d’accès au questionnaire

Le concepteur d’actions peut demander à ce que l’accès aux questionnaires soit restreint par une authentification dans Active Directory (avec vérification ou non de l’adresse mail spécifiée dans l’AD en concordance avec l’adresse mail du destinataire du questionnaire).

Lorsque le module GTAnswer ouvre le questionnaire sur le poste du correspondant, ce dernier devra spécifier login et mot de passe pour s’authentifier dans l’AD, avec vérification ou non de son adresse mail inscrite dans l’AD, suivant les options choisies dans l’action de lancement des questionnaires.

 

Was this article helpful?
0 out Of 5 Stars
5 Stars 0%
4 Stars 0%
3 Stars 0%
2 Stars 0%
1 Stars 0%
How can we improve this article?
How Can We Improve This Article?
Previous Journaux d’exécution : description et préconisations
Table of Contents