On peut vous aider ?
Cherchez des réponses ou parcourez les rubriques de notre documentation
Flux réseau, Sécurité
Matrices des flux réseaux
Cas avec GTWeb sans réponse par mail
Le module GTWeb est utilisé pour acheminer la réponse depuis le poste des correspondants vers GTServer ou pour la synchronisation des données (récupération de la dernière version des données depuis GTAnswer) ou pour la vérification http ou pour la diffusion http.
Aucune réponse n’est transmise par mail.
| Destination | |||||||
| Ports par défaut | 80 | aucun | 3000 | Suivant SGBD | Suivant SGBD | 25 ou 465 (SMTP) | |
|
GTWeb | Serveur(s) de messagerie pour GTAnswer | GTServer | Base de Données client | Base de Données GT | Serveur de messagerie pour GTServer | |
| GTWeb | TCP/IP (+SSL/TLS) protocole propriétaire pour la couche application (OSI) | ||||||
| GTAnswer en http (ou client Automatisation) |
http ou https Proxy possible (auth basic digest) |
||||||
| GTAnswer en TCP/IP (ou client Automatisation) |
TCP/IP (+SSL/TLS) protocole propriétaire pour la couche application (OSI) | ||||||
| GTServer | via le client .NET de base de données sur le poste GTServer (OLE DB ou client .NET direct) | via le client .NET de base de données sur le poste GTServer (OLE DB ou client .NET direct) | SMTP (+SSL/TLS) |
Cas sans GTWeb avec réponse par mail (connexion de secours)
Le module GTWeb n’est pas utilisé, ni pour la réponse par mail, ni pour la synchronisation, ni pour la vérification http, ni pour la diffusion http (diffusion d’url d’accès aux qstx).
Si le module GTWeb est utilisé pour la synchronisation ou pour le transfert de la réponse par certains correspondants (dans le cas d’environnements non homogène), cette matrice peut être superposée avec la matrice précédente.
| Destination | |||||||
| Ports par défaut | 80 | 25 ou 465 (SMTP)
ou aucun (client messagerie) |
3000 | Suivant SGBD | Suivant SGBD | 25 ou 465 (SMTP)
+ 110 ou 995 (POP) ou 143 ou 995 (IMAP) ou aucun autre (client messagerie) |
|
|
GTWeb | Serveur(s) de messagerie pour GTAnswer | GTServer | Base de Données client | Base de Données GT | Serveur de messagerie pour GTServer | |
| GTAnswer | SMTP (+SSL/TLS)
OU utilisation du client de messagerie Outlook ou Notes (si client utilisé, aucun accès direct par Answer) |
||||||
| GTWeb | |||||||
| GTAnswer (ou client Automatisation) |
TCP/IP (+SSL/TLS) protocole propriétaire pour la couche application (OSI) | ||||||
| GTServer | via le client de BD sur le poste GTServer (OLE DB ou client .NET) | via le client de BD sur le poste GTServer (OLE DB ou client .NET) | SMTP (+SSL/TLS) dans tous les cas
+ POP (+SSL/TLS) |
Sécurisation des flux
Accès entrants vers les modules GT
| Via modules GT | Hors modules GT | |||
| Flux (Src->Dest) | Cryptage flux | Restriction accès | Cryptage | Restriction accès |
| GTAnswer
-> GTWeb Via http |
– HTTPS pour l’url de GTWeb (configuration sur serveur Web) | – Restriction IP autorisées sur serveur Web hébergeant GTWeb
– Reverse proxy avant GTWeb – Restriction par mot de passe sur le script index.php de GTWeb (du type .htaccess, authentification BASIC et DIGEST, la source peut être un fichier texte, un annuaire LDAP, une base de données) |
||
| GTAnswer
-> GTServer Via TCP/IP |
-Certificat serveur par instance (via onglet sécurité de GTAdmin) | – Mots de passe forts pour les utilisateurs GT (via contraintes de mots de passe)
– Vérification des certificats clients (via GTServer et GTAnswer) |
Outils de cryptage de connexion (VPN, etc…) | Restriction IP autorisées sur serveur GTServer |
| GTWeb
-> GTServer |
– Certificat serveur par instance (via onglet sécurité de GTAdmin) | – Mots de passe forts pour les utilisateurs GT (via contraintes de mots de passe)
– Vérification des certificats clients (via GTserver et GTWeb) |
Outils de cryptage de connexion (VPN, etc…) | Restriction IP autorisées sur serveur GTServer |
| Automatisation
-> GTServer |
Idem GTAnswer ->GTServer | – Mots de passe forts pour les utilisateurs GT (via contraintes de mots de passe)
– Vérification des certificats clients (via GTserver et application/script utilisant automatisation) |
Outils de cryptage de connexion (VPN, etc…) | Restriction IP autorisées sur serveur GTServer |
| GTAnswer
-> GTWeb |
– HTTPS pour l’url de GTWeb (configuration sur serveur Web) | – Restriction IP autorisées sur serveur Web hébergeant GTWeb
– Reverse proxy avant GTWeb – Restriction par mot de passe sur le script index.php de GTWeb (du type .htaccess, authentification BASIC et DIGEST, la source peut être un fichier texte, un annuaire LDAP, une base de données) |
||
Notes
- Les modes de sécurisation hors modules GT ne sont donnés qu’à titre indicatif.
- GTServer pour ses clients : La configuration est réalisée via GTServer en installant le certificat, puis en spécifiant dans le client que le type de chiffrement et optionnellement le certificat client si GTServer vérifie les certificats clients
Accès entrants vers les modules hors GT
| Via modules GT | Hors modules GT | |||
| Flux (Src->Dest) | Cryptage flux | Restriction accès | Cryptage | Restriction accès |
| GTServer
-> Bases de données |
– Certificat serveur et configuration client de base de données | – Restriction IP autorisées sur serveur de bases de données
– Mot de passe fort pour compte d’accès à la base de données – Restrictions du compte GT aux seules bases repository et client |
||
| GTServer
-> Serveur de messagerie |
– configuration de la connexion au serveur de messagerie | SSL/TLS sur le serveur de messagerie | – Restriction IP autorisées sur serveur de messagerie et pour compte mail dédié GTServer | |
| GTAnswer
-> Serveur de messagerie |
– configuration de la connexion au serveur de messagerie | SSL/TLS sur le serveur de messagerie | – Restriction IP autorisées sur serveur de messagerie si connexion directe au serveur de messagerie par Answer | |
Notes
- Les modes de sécurisation hors modules GT ne sont donnés qu’à titre indicatif.
Authentification à partir du module GTAnswer
2 cas se présentent :
- Si l’utilisateur dispose d’un compte, alors il s’authentifiera à l’aide de la méthode choisir lors du paramétrage de l’instance (authentification LDAP, OIDC ou authentification GT)
- Si l’utilisateur ne dispose pas d’un compte, alors il recevra des documents GT (extension .qstx) à remplir. Lors de l’ouverture des documents, 3 modes d’authentification/identification peuvent être utilisés :
- La validation d’adresse mail (process spécifique GT)
-
- L’authentification dans l’Active Directory du correspondant GTAnswer
- L’authentification http lors de l’accès à GTWeb par GTAnswer
Ces modes d’authentification/identification peuvent être cumulés.
Descriptions
- La validation d’adresse mail (process spécifique GT) :
Lorsque le questionnaire demande la validation d’adresse mail, GTAnswer va demander au correspondant à configurer son adresse mail et va envoyer un mail à cette adresse avec une pièce jointe d’extension .checkmail (celle-ci contient une information cryptée concernant l’adresse mail et le profil utilisateur source, l’extension .checkmail est associée à GTAnswer lors de l’installation), cette pièce jointe devra être ouverte par le correspondant : de cette façon, GTAnswer s’assure que l’utilisateur Windows a bien accès à l’adresse mail spécifiée dans la configuration GTAnswer.
Des contraintes peuvent être construites dans le questionnaire pour interdire la transmission de la réponse (ou bloquer certaines cellules de saisie) en fonction de l’adresse mail validée et du contenu du questionnaire.
- L’authentification dans l’Active Directory du correspondant
A l’ouverture d’un questionnaire demandant l’authentification dans l’AD (option de l’action de lancement de campagne), GTAnswer va demander à l’utilisateur d’entrer le mot de passe de la session Windows active (ou le mot de passe du compte Windows associé à l’adresse mail du correspondant initial du questionnaire). Une option permet de vérifier que l’adresse mail associée dans l’AD au compte Windows de la session active soit la même que l’adresse mail du destinataire initial du questionnaire (lors de l’envoi par GTServer).
Des contraintes peuvent être construites dans le questionnaire pour interdire la transmission de la réponse (ou bloquer certaines cellules de saisie) en fonction de l’adresse mail de l’AD (lue dans l’Active Directory pour la session Windows active) et du contenu du questionnaire.
- L’authentification http lors de l’accès à GTWeb par GTAnswer
L’accès au site Web peut être protégé par une authentification http (définie dans la configuration du site Web, hors modules GT). Les deux modes BASIC et DIGEST sont autorisés pour l’authentification http.
La source de l’authentification peut être un fichier texte, une base de données, un annuaire LDAP ou toute autre source compatible avec votre serveur Web.
Lors de tout accès GTAnswer vers GTWeb (notamment pour la vérification http, la synchronisation ou la transmission de la réponse), l’authentification http sera mise en œuvre. Les informations d’authentification (login et mot de passe) seront demandées à l’utilisateur dans une boîte de dialogue (de la même manière que si l’url était accédée via un navigateur). Au cours de la même session GTAnswer, cette authentification ne sera pas redemandée.
Ce mode d’authentification permet de limiter l’accès à l’ouverture (via l’option Vérification http), à la synchronisation ou au transfert de la réponse.
Ce mode ne permet pas de limiter la transmission de la réponse (ou l’ouverture ou la synchronisation) ou l’accès à certaines cellules de saisie en fonction du contenu du questionnaire et du login pour cette authentification.
Tableau récapitulatif
| Mode | Activation | Blocage | Remarques |
| Validation d’adresse mail (spécifique Gathering Tools | Option du questionnaire | Peut bloquer la transmission de la réponse (ou certaines cellules de saisie) en fonction du contenu du questionnaire | Plus une identification qu’une authentification
N’empêche pas l’ouverture du questionnaire. |
| Authentification dans l’Active Directory du correspondant | Option de l’action de lancement de campagne | Bloque l’ouverture du questionnaire
Peut bloquer la transmission de la réponse (ou certaines cellules de saisie) en fonction du contenu du questionnaire. |
Requiert l’existence d’un AD.
Requiert que les adresses mails de l’AD soient correctes pour un blocage en fonction du contenu des questionnaires d’une instance Dans les 2 sous-modes où l’ouverture du questionnaire est limitée aux comptes associés à l’adresse mail du destinataire initial, la transmission du questionnaire à un tiers n’est possible qu’aux personnes pouvant se connecter aux comptes cités précédemment. |
| Authentification http pour l’accès à GTWeb | Configuration du site Web et de l’accès aux script de GTWeb
+ options Vérification http, Synchronisation http, ou Réponse http de l’action de lancement de campagne |
Peut bloquer l’ouverture du questionnaire (en utilisant l’option Vérification http) et/ou la synchronisation et/ou la transmission de la réponse http | Requiert, hors suite GT, de configurer le site Web pour accéder à un annuaire des personnes autorisées globalement pour l’instance GT.
Ne permet pas de limiter l’accès en fonction du contenu du questionnaire |
Aucun mode ne permet d’interdire l’ouverture du questionnaire en fonction des informations d’authentification et d’un contenu dynamique du questionnaire. Seules les informations d’authentification et l’adresse mail initiale du correspondant (utilisé par l’envoi par GTServer) peuvent restreindre l’ouverture dans le cas de l’authentification via l’AD, et dans ce cas, la transmission du questionnaire à une tierce personne ne sera pas possible.
Rappels sécurisation de GTWeb
Il est fortement conseillé de configurer le serveur Web hébergeant GTWeb pour imposer une connexion sécurisée https. A fortiori si le serveur GTWeb est utilisé pour dialoguer avec des correspondants en dehors du réseau intranet « protégé » de l’entreprise.
L’instance GTServer devra être configurée (via l’onglet « Messagerie » de GTAdmin) avec cette nouvelle url utilisant le protocole https.
Si vous souhaitez sécuriser le transfert de la réponse par GTAnswer, utilisez la réponse http(s), plutôt que la réponse par mail, (à configurer dans l’action de lancement) avec une url GTWeb utilisant le protocole https (dans l’onglet Messagerie de l’instance GTServer via GTAdmin).
L’installation d’un serveur Web supplémentaire utilisé comme reverse proxy pour le serveur Web hébergeant GTWeb pourra être une bonne pratique permettant de filtrer les connexions avant qu’elles ne parviennent au serveur GTWeb, si les correspondants se trouvent en-dehors du réseau intranet de l’entreprise.
Lorsque l’url GTWeb est accessible à un grand nombre, il est impératif que les mots de passe des utilisateurs GT soient des mots de passe forts pour éviter les accès non désirés aux données GTServer.
Restriction d’accès au questionnaire
Le concepteur d’actions peut demander à ce que l’accès aux questionnaires soit restreint par une authentification dans Active Directory (avec vérification ou non de l’adresse mail spécifiée dans l’AD en concordance avec l’adresse mail du destinataire du questionnaire).
Lorsque le module GTAnswer ouvre le questionnaire sur le poste du correspondant, ce dernier devra spécifier login et mot de passe pour s’authentifier dans l’AD, avec vérification ou non de son adresse mail inscrite dans l’AD, suivant les options choisies dans l’action de lancement des questionnaires.