Renforcer la sécurité de SEI

Par défaut, lorsque vous effectuez une installation, vous avez un navigateur Web qui envoie des requêtes au Site Web IIS (Client Web SEI) (défini par défaut sur HTTP). Juste après, le site web communiquera avec IIS, puis IIS fera de même avec le BI Service et enfin le BI Service avec le Serveur SQL.

À partir de ce point, nous pouvons donc déjà sécuriser IIS (fortement recommandé) et le BI Service (facultatif selon le fait que vous utilisez ou non Excel Add-In).

Par rapport à Excel Add-In, si vous sécurisez le site Web (IIS) et rendez possible un accès externe, ce sera suffisant du moins pour Chrome. Cependant, le processus de connexion pour Excel Add-In implique une connexion directe au BI Service et donc toutes les données (informations financières et informations d'identification) ne seront pas cryptées sur Internet.

Étapes préliminaires

Créer un utilisateur SQL dédié (si nécessaire)

Si, pour une raison quelconque, le client ne souhaite pas donner les identifiants de son "sa", il est possible de créer un utilisateur qui sera dédié à l'utilisation de SEI. L'avantage principal est que contrairement utilisateur "sa" basé sur le système d'authentification de Windows, le mot de passe de l'utilisateur SQL n'a pas besoin d'être changé.

Pour créer un utilisateur SQL :

  1. Dans une base de données, développez le dossier Sécurité et cliquez droit sur le dossier Connexions.
  2. Sélectionnez Nouvelle connexion.
  3. Dans le champ Nom d'Accès, saisissez un nom pour votre utilisateur.

  4. Sélectionnez Authentification SQL Server.

  5. Définissez un mot de passe et spécifiez ou non si vous voulez améliorer la sécurité du mot de passe, puis laissez les autres champs à leur valeur par défaut.
  6. Dans l'onglet Rôles du Serveur, sélectionnez sysadmin.
  7. Dans l'onglet Mappage d'Utilisateur, cochez la ou les bases de données sur lesquelles vous voulez que l'utilisateur ait des rôles spécifiques et choisissez db_datareader, db_datawriter, db_ddladmin parmi ces rôles.
  8. Cliquez sur OK.

 

Sécuriser le dossier du Central Point

Après avoir installé le Central Point, modifiez les autorisations de Partage et de Sécurité pour que seul cet utilisateur puisse y accéder.

  1. Cliquez droit sur le dossier du Central Point et sélectionnez Propriétés.
  2. Dans l'onglet Partage, cliquez sur Partage Avancé...
  3. Dans la fenêtre Partage Avancé, cliquez sur Permissions.

  4. Cliquez sur Ajouter.

  5. Dans le champ Entrez les noms des objets à sélectionner, ajoutez l'administrateur local et cliquez sur OK.
  6. Dans la fenêtre Autorisations pour Central Point, accordez le Contrôle Total à l'administrateur local et cliquez sur Appliquer puis OK.
    Note

    Ce n'est pas obligatoire mais si vous voulez restreindre un peu plus l'accès au dossier Central Point, vous pouvez aussi supprimer l'utilisateur Tout le monde.

  7. Cliquez sur OK pour revenir à la fenêtre Propriétés du Central Point.
  8. Dans l'onglet Sécurité, cliquez sur Modifier.
  9. Cliquez sur Ajouter.
  10. Dans le champ Entrez les noms des objets à sélectionner, ajoutez l'administrateur local et cliquez sur OK.
  11. Dans la fenêtre Autorisations pour Central Point, accordez le Contrôle Total à l'administrateur local et cliquez sur Appliquer puis OK.
    Note

    Ce n'est pas obligatoire mais si vous voulez restreindre un peu plus l'accès au dossier Central Point, vous pouvez aussi supprimer l'utilisateur Tout le monde.

  1. Cliquez sur Appliquer puis OKpour quitter la fenêtre Propriétés du Central Point.

Mettre à jour les BI Services

Puisque vous avez sécurisé le Central Point, vous devez maintenant définir l'utilisateur qui utilisera les trois services (BI Distribution Service, BI Job Service et BI Service).

  1. Appuyez sur la touche Windows + R pour ouvrir la fenêtre Exécuter.
  2. Entrez services.msc et appuyez sur la touche Entrée.
  3. Dans la liste, trouvez les lignes BI Job Service, BI Service, BI Distribution Service et procédez comme suit pour chacune d'elles :
    1. Cliquez droit sur le service et sélectionnez Propriétés.
    2. Dans l'onglet Connexion, sélectionnez Ce compte et cliquez sur Parcourir pour ajouter le compte administrateur local.
    3. Entrez le mot de passe de ce compte et cliquez sur Appliquer puis OK.

Paramétrer le Configurateur du Central Point

Si, par exemple, le client souhaite modifier son SMTP, le mot de passe ou l'utilisateur SQL, cela ne peut se faire que via le Configurateur du Central Poibnt. Vous devez également modifier les permissions du Configurateur du Central  Point, autrement il ne pourra pas écrire sur le Central Point pour enregistrer les modifications. Pour ce faire :

  1. Appuyez sur la touche Windows + R pour ouvrir la fenêtre Exécuter.
  2. Entrez inetmgr et appuyez sur la touche Entrée.
  3. Dans le volet de gauche, cliquez sur la petite flèche pour développer la connexion.

  4. Dans l'onglet Pools d'Applications, cliquez droit sur CPConfiguratorPool et sélectionnez Paramètres avancés....

  5. Sous la section Modèle de Processus, cliquez sur le champ Identité et modifiez sa valeur en cliquant sur les trois points.

  6. Dans la fenêtre Identité du Pool d'Applications, sélectionnez Compte personnalisé et cliquez sur Définir...
  7. Dans la fenêtre Définir les Informations d'Identification, entrez le nom d'utilisateur et le mot de passe du compte administrateur local et cliquez sur OK trois fois.
  8. Dans l'onglet Pools d'Applications, cliquez droit sur WebClientPool et sélectionnez Paramètres avancés...
  9. Répétez les étapes 4 à 6.

Installer le certificat

Important

Avant de commencer quoi que ce soit :

  • Assurez-vous de posséder un certificat valide avec une extension .pfx fournie par le client (voir Vérifier la date d'expiration du Certificat pour plus de détails).
  • Assurez-vous que ce certificat a été émis par une Autorité de Certification (si vous avez un certificat auto-signé, Excel Add-in ne fonctionnera pas).
  1. Ouvrez le certificat.
  2. Dans la fenêtre Assistant d'Importation du Certificat, sélectionnez Ordinateur Local (pour être disponible pour l'ensemble du serveur et pas seulement pour un utilisateur spécifique).
  3. Cliquez deux fois sur Suivant.

  4. Dans le champ Mot de Passe, entrez le mot de passe fourni par le client et cochez la case Marquer cette clé comme exportable. Cela vous permettra de sauvegarder et de transporter vos clés ultérieurement .

    Astuce

    En cochant cette case, vous pouvez réutiliser cette clé pour configurer et installer plusieurs serveurs (par exemple, un serveur pour le Web et un autre pour la distribution).

  1. Cliquez deux fois sur Suivant.
  2. Cliquez sur Terminer puis sur OK.

Vérifier la date d'expiration du Certificat

  1. Appuyez sur la touche Windows + R pour ouvrir la fenêtre Exécuter.
  2. Entrez certmgr.msc et appuyez sur la touche Entrée.
  3. Dans le volet de gauche, développez le dossier Personnel et cliquez sur Certificats.
  4. Sur la droite, vérifiez la date du certificat sous la colonne Date d'Expiration.

Déterminer le type de Certificat

Dans la fenêtre Gestionnaire de Certificats (entrez certmgr.msc dans une fenêtre Exécuter et appuyez sur la touche Entrée :

  1. Double-cliquez sur le certificat pour l'ouvrir.
  2. Sous l'onglet Général, à la ligne Délivré à, vérifiez s'il s'agit d'un certificat générique (wildcard) (*.nomdedomaine = applicable à un domaine et à tous ses sous-domaines) ou d'un certificat applicable uniquement à un ou plusieurs noms spécifiques).
  3. Si il s'applique à des noms spécifiques, allez à l'onglet Détails et cliquez sur le champ Autre Nom de l'Objet pour obtenir tous les noms autorisés par le certificat.
    Note

    Notez ces noms dans un bloc-notes car vous en aurez besoin plus tard pour le processus d'installation (voir Installer Sage Enterprise Intelligence).

    Important

    Seuls les noms de la liste sont autorisés à accéder au Configurateur Web du Central Point. Tout autre nom sera bloqué.

  1. Fermez la fenêtre.

Installer SEI en HTTPS

Désinstaller toute version antérieure (si nécessaire)

Si vous avez déjà installé SEI, vous devrez le désinstaller.

Important

Avant de désinstaller, vérifiez le numéro de port du BI Service car il peut différer de celui que nous utiliserons (4504) dans ce processus d'installation (voir Installer Sage Enterprise Intelligence pour plus de détails). Si le numéro de port est différent, vous serez bloqué par le pare-feu. Pour ce faire :

  1. Allez dans C:\Program Files\SEI\Sage Enterprise Intelligence\Service\objserver et ouvrez le fichier BI Service.NetInstaller.exe.config.

  2. Vérifiez le numéro de port dans la balise <baseAddresses> afin de le réutiliser pour l'installation.

  1. Allez dans Panneau de Configuration > Programmes > Programmes et Fonctionnalités.
  2. Sélectionnez Sage Enterprise Intelligence et cliquez sur Désinstaller.
  3. Suivez l'assistant pour supprimer le logiciel.

Lier le Configurateur du Central Point

Important

Avant de faire ces étapes, assurez-vous auprès du client que les liaisons (Configurateur du Central Point et Client Web) ont été effectuées sur son réseau (DNS) (= lien dans le fichier Hosts l'adresse du Nom d'Hôte depuis le certificat du Central Point vers son adresse IP).

  1. Appuyez sur la touche Windows + R pour ouvrir la fenêtre Exécuter.
  2. Entrez inetmgr et appuyez sur la touche Entrée.
  3. Dans le volet de gauche, cliquez sur la petite flèche pour développer la connexion.
  4. Dans l'onglet Sites, cliquez droit sur CPConfigurator et sélectionnez Liaisons...
  5. Dans la fenêtre Liaisons de Sites, cliquez sur Ajouter...
  6. Dans la liste déroulante Type, sélectionnez https.
    Note

    Par défaut, le numéro de port pour la connexion https est 443. Laissez la valeur par défaut.

  1. Dans le champ Nom de l'Hôte, entrez webcp.*nom du domaine du certificat* s'il s'agit d'un certificat générique (wildcard), sinon le Nom d'Hôte doit être le même que l'un des noms dans la liste autorisée (voir Déterminer le type de Certificat pour plus de détails).
  2. Dans la liste déroulante Certificat SSL, sélectionnez le certificat que vous avez installé précédemment et cliquez sur OK.

  3. De retour à la fenêtre Liaisons de Sites, sélectionnez la ligne http et cliquez sur Supprimer.

  4. Cliquez sur OK pour confirmer puis sur Fermer.

 

Lier le Certificat

  1. Appuyez sur la touche Windows + R pour ouvrir la fenêtre Exécuter.
  2. Entrer powershell et appuyer sur la touche Entrée.
  3. Copiez et collez cette commande et appuyez sur la touche Entrée :
    Get-ChildItem -path cert:\LocalMachine\My

  4. Copiez l'Empreinte Numérique de votre certificat (c'est la première ligne) et collez-la sur dans un bloc-notes.

  5. De retour dans la fenêtre PowerShell, copiez et collez cette commande et appuyez sur la touche Entrée :
    netsh http add urlacl url=https://+:4504/ user="EVERYONE"
  6. Copiez et collez cette commande dans un bloc-notes (le même bloc-notes où vous avez mis l'empreinte numérique) :
    netsh http add sslcert ipport=0.0.0.0:4504 certhash=afabc3fe7f3eb1ce420ba02065e57f74652d631 appid={00000000-0000-0000-0000-000000000000}
  7. Remplacer la valeur du certhash ("afabc...31) par l'Empreinte Numérique ('7EC...A9 dans ce cas).
  8. Dans la fenêtre PowerShell, entrez netsh puis appuyez sur la touche Entrée.
  9. Entrez http puis appuyez sur la touche Entrée.

  10. Collez le reste de la ligne de commande ( add sslcert... 0}) et appuyez sur la touche Entrée.

    Note

    Vous devez casser cette ligne de commande comme ceci sinon elle ne fonctionnera pas comme montré dans la capture d'écran ci-dessous.

Installer Sage Enterprise Intelligence

  1. Exécutez l'application SEI - Serveur - Win64.exe et cliquez sur Next.

  2. Pour la question Do you want to specify a user account for the Services, sélectionnez Yes et cliquez sur Next.

  3. Pour le champ BI Service User Account, entrez les identifiants de l'administrateur local et cliquez sur Next.
  4. Dans le champ Path pour la Configuration du Central Point, entrez l'adresse où se trouve le dossier du Central Point.
  5. Dans le champ Name, entrez le nom que vous voulez et cliquez sur Next.
  6. Dans le champ BI Server Address, entrez l'un des noms autorisés par le certificat ou spécifiez un nom utilisant le domaine fourni par le certificat si le certificat est de type Générique (Wildcard) (voir Déterminer le type de Certificat pour plus de détails).
  7. Dans le champ Application Port, réutilisez le même port que celui qui était réservé au BI service lors de l'installation précédente (voir Désinstaller toute version antérieure (si nécessaire)
    Note

    Par défaut, le numéro de port est 4504.

  1. Sélectionnez Secure et cliquez sur Next.

  2. Dans le champ du Web Client Port, laissez-le à 81 (car le port 443 est déjà utilisé par le Configurateur du Central Point).
  3. Pour le champ BI Distribution Configuration, entrez les identifiants l'administrateur local et cliquez sur Suivant.
  4. Cliquez sur Install.
    Note

    Si par hasard, vous recevez l'erreur ci-dessous :

    1. Ouvrez le Gestionnaire des tâches (touches Ctrl+Alt+Suppr) et naviguez à l'onglet Détails.

    2. SélectionnezBI Service.NetInstaller... dans la liste et cliquez sur Fin de tâche.

    3. Cliquez sur Arrêter le processus pour confirmer.

    4. De retour à la boîte de message d'erreur, cliquez sur Retry.

  1. Cliquez sur Finish.

Lier le Client Web

  1. Appuyez sur la touche Windows + R pour ouvrir la fenêtre Exécuter.
  2. Entrez inetmgr et appuyez sur la touche Entrée.
  3. Dans le volet de gauche, cliquez sur la petite flèche pour développer la connexion.
  4. Dans l'onglet Sites, cliquez droit sur Web Client et sélectionnez Liaisons...
  5. Dans la fenêtre Liaisons de Sites, cliquez sur Ajouter...
  6. Dans la liste déroulante Type, sélectionnez https.
  7. Laissez le numéro de port à 443.
  8. Dans le champ Nom de l'Hôte, entrez le nom qui sera utilisé pour obtenir l'accès à SEI (il peut s'agir de SEI.*nom de domaine du certificat* s'il s'agit d'un certificat générique (wildcard), sinon le Nom de l'Hôte doit être le même que l'un des noms dans la liste autorisée (voir Déterminer le type de Certificat pour plus de détails).
  9. Dans la liste déroulante Certificat SSL, sélectionnez le certificat que vous avez installé précédemment et cliquez sur OK.
  10. De retour à la fenêtre Liaisons de Sites, sélectionnez la ligne http et cliquez sur Supprimer.
  11. Cliquez sur OK pour confirmer puis sur Fermer.
  12. Allez dans C:\Program Files\SEI\Sage Enterprise Intelligence\DistributionService\objDistribution\ et ouvrez le fichier DistributionInstaller.exe.config .
  13. Trouvez l'étiquette et la valeur "<add key=WebAppUrl".
    1. Ajouter un s à http.
    2. Changez le numéro de port 81 en 443 et sauvegardez.
  14. Vous devez également mettre à jour vos paramètres de gestion des cookies afin d'effectuer la liaison. Pour plus d'informations sur ce processus, veuillez consulter la page Gestion des Cookies.
Note  

En suivant les étapes décrites ci-dessus, vous empêcherez toute connexion HTTP de fonctionner avec votre Web Client. Par exemple, cela poserait un problème pour les configurations qui utilisent HTTPS pour l'accès externe et HTTP pour l'accès interne.

Mettre à jour Excel Add-in

Au fur et à mesure que vous appliquez certains changements pour sécuriser les services (BI Services, etc.), vous devez mettre à jour Excel Add-in afin de pouvoir le réutiliser.

  1. Dans la zone Connexion, cliquez sur la croix rouge pour supprimer le Central Point sélectionné.

  2. Cliquez sur le signe plus.
  3. Dans la fenêtre Ajouter un Central Point, dans le champ Chemin du Central Point, entrez l'adresse où se trouve le dossier du Central Point.
  4. Dans le champ Adresse du Service, entrez le même nom (adresse) que celui que vous utilisez comme Nom d'Hôte durant la liaison du Client Web (voir Lier le Client Web) et ajoutez :4504 (4504 = le port utilisé pour le BI Service dans ce cas).
  5. Dans le champ URL Web, entrez la même adresse que celle que vous utilisez pour le champ Adresse du Service, mais au lieu de :4504, utilisez :443.
  6. Cliquez sur Ajouter.
  7. Une fois le Central Point ajouté, connectez-vous avec vos identifiants et cliquez sur Connexion.