Skip to main content
ExLibris

Knowledge Assistant

BETA
 
  • Subscribe by RSS
    • Back
    Alma

     

    Ex Libris Knowledge Center
    1. Search site
      Go back to previous article
      2. Sign in
        • Sign in
        • Forgot password
    1. Home
    2. Alma
    3. Product Documentation
    4. Alma Online Help (Français)
    5. Administration
    6. Configuration des fonctions générales
    7. Sécurité

    Sécurité

    1. Last updated
    2. Save as PDF
    3. Share
      1. Share
      2. Tweet
      3. Share
    1. Restreindre l'authentification Alma en fonction de l'intervalle IP
    2. Configuration d'en-tête CSP (content security policy - politique de sécurité du contenu) 
    3. Liste de redirection autorisée lors de la connexion
    4. Éviter le détournement de clic (clickjacking)
    Translatable

    Restreindre l'authentification Alma en fonction de l'intervalle IP

    Pour configurer un groupe IP, vous devez avoir le rôle suivant :
    • Administrateur général du système
    Vous pouvez restreindre l'accès à Alma en fonction de l'adresse IP de l'utilisateur. Deux étapes sont nécessaires pour configurer cette fonctionnalité. D'abord vous créez des groupes d'adresses IP puis vous configurez l'accès de connexion pour ces groupes. Seuls ces groupes IP sont alors autorisés à se connecter à Alma.
    Pour restreindre la connexion par groupes IP :
    1. Sur la page Configuration du groupe IP (Menu de configuration > Général > Sécurité > Configuration de groupe IP), cliquez sur Ajouter un groupe IP. Le panneau Ajouter un groupe IP apparaît.
      add_ip_group_ux.png
      Ajouter un groupe IP
    2. Renseignez les éléments suivants :
      • Code du groupe – Un code pour le groupe IP
      • Nom de groupe – Un nom pour le groupe IP, il peut être modifié ultérieurement
      • Version IP – IPv4 ou IPv6
      • Adresse(s) IP – Une adresse IP spécifique ou une plage IP (deux adresses IP valides séparées par un trait d'union)
    3. Cliquez sur Ajouter une définition d'IP au groupe L'intervalle est ajouté au groupe et apparaît dans la table.
    4. Vous pouvez définir plusieurs intervalles IP pour chaque groupe. Répétez les étapes 2 et 3 si nécessaire. Pour supprimer un intervalle, cliquez sur Supprimer dans la liste des actions possibles sur la ligne.
    5. Lorsque vous avez fini d'ajouter des intervalles IP, cliquez sur Ajouter et fermer. Le groupe IP est ajouté.
      Pour modifier le groupe, cliquez sur Modifier dans la liste des actions possibles sur la ligne. Pour supprimer le groupe, cliquez sur Supprimer dans la liste des actions possibles sur la ligne.
    6. Ouvrez la page Configuration de restriction de connexion (Menu de configuration > Générale > Sécurité > Configuration de restriction de connexion). Notez que les restrictions de connexion sont désactivées jusqu'à ce que vous les activiez sur cette page.
      login_restriction_configuration_ux.png
      Configuration de restriction de connexion
    7. Sélectionnez les groupes IP dans la liste déroulante Groupe IP pour lesquels vous souhaitez autoriser l'accès des adresses IP lors de la connexion, cliquez ensuite sur Ajouter. Vous pouvez cliquer sur Ajouter tous les groupes pour ajouter tous les groupes IP.
      Une fois qu'un groupe IP est sélectionné, il n'est plus possible pour toute autre adresse IP de se connecter.
    8. Sélectionnez un gestionnaire dans la case Gestionnaire de restrictions d'IP (obligatoire). Ce gestionnaire reçoit tous les messages envoyés par les utilisateurs lorsqu'une tentative de connexion est faite depuis une adresse IP soumise à des restrictions.
    9. Cliquez sur Activer les restrictions d'authentification. Pour enregistrer vos changements sans activer ou désactiver les restrictions d'authentification, cliquez sur Enregistrer.
      • Vous devez cliquer sur Activer les restrictions d'authentification pour que les restrictions de connexion IP prennent effet lors de la connexion.
      • Les utilisateurs ayant le rôle Administrateur général du système ne sont sujets à aucune restriction.
      • Pour désactiver les restrictions d'authentification ultérieurement, cliquez sur Désactiver les restrictions d'authentification.
    Si un utilisateur tente de se connecter à Alma via une adresse IP soumise à des restrictions, le message suivant apparaît :
    access_blocked.png
    Accès bloqué
    L'utilisateur peut cliquer sur Contacter l'administrateur pour contacter le Gestionnaire de restrictions d'IP configuré plus haut.
    Pour outrepasser ces restrictions pour un utilisateur spécifique, sélectionnez Désactiver toutes les restrictions d'authentification lors de la modification de l'utilisateur (voir Modifier des utilisateurs).

    Configuration d'en-tête CSP (content security policy - politique de sécurité du contenu) 

    Vous pouvez activer et configurer les directives d'en-tête CSP pour adapter la politique de sécurité à vos applications web. Pour accéder à cette configuration, rendez-vous sur Configuration > Général > Configuration d'en-tête CSP.

    La page de configuration CSP.

    Configuration d'en-tête CSP

    Le panneau d'aperçu en bas affiche les en-têtes et est mis à jour automatiquement quand les paramètres sont modifiés. 

    Les quatre premières directives (frame-ancestors, object-src, worker-src, upgrade-insecure-requests) sont actives par défaut et ne peuvent pas être désactivées. Vous pouvez cependant ajouter des domaines supplémentaires à la liste blanche dans la colonne Liste autorisée - Ajouts.

    Les cinq dernières directives (décrites ci-dessous) sont désactivées par défaut, mais à l'inverse des quatre premières, elles peuvent être activées. Vous pouvez ajouter des domaines supplémentaires à la liste blanche dans la colonne Liste autorisée - Ajouts.

    1. form-action :

      • cette directive restreint les URL qui peuvent être utilisées en tant que cible pour les envois de formulaire (<form action="..." />). Elle aide à empêcher l'envoi des formulaires vers des sites malveillants.

    2. base-uri :

      • cette directive restreint les URL qui peuvent être utilisées dans l'élément <base> d'un document. L'élément <base> spécifie l'URL de base à utiliser pour toutes les URL associées dans un document. Le contrôler peut empêcher les attaquants de modifier l'URL de base et de rediriger les liens vers des sites malveillants.

    3. script-src :

      • cette directive spécifie des sources valides pour JavaScript. Elle aide à atténuer les attaques XSS en autorisant uniquement l'exécution de scripts provenant de sources de confiance sur la page. Par exemple, vous pouvez indiquer que les scripts doivent uniquement être chargés depuis votre propre domaine ou depuis un CDN de confiance.

    4. frame-src :

      • cette directive spécifie les sources valides pour l'intégration de contenu avec <frame>, <iframe>, <object>, <embed> et <applet>. Elle aide à contrôler les sources qui peuvent être intégrées au cadre et ainsi empêcher le détournement de clics et d'autres types d'attaques basées sur le cadre.

    5. connect-src :

      • cette directive restreint les URL que le document peut récupérer à l'aide de mécanismes tels que XMLHttpRequest, Fetch, WebSocket et EventSource. Elle aide à contrôler les endroits où les scripts peuvent envoyer des données, réduisant ainsi le risque de fuites de données.

    6. style-src :

      • la directive HTTP Content-Security-Policy (CSP) style-src spécifie les sources valides pour les feuilles de style.

    7. img-src :

      • la directive HTTP Content-Security-Policy img-src spécifie les sources valides pour les images et les favicons.

    8. font-src :

      • la directive HTTP Content-Security-Policy (CSP) font-src spécifie les sources valides pour les polices chargées à l'aide de @font-face.

    9. child-src :

      • la directive HTTP Content-Security-Policy (CSP) child-src définit les sources valides pour les web workers et les contextes de navigation imbriqués à l'aide d'éléments comme <frame> et <iframe>. Pour les web workers, les demandes non conformes sont traitées comme des erreurs réseau fatales par l'agent utilisateur.

    10. default-src :

      • la directive HTTP Content-Security-Policy (CSP) default-src sert de solution de secours pour les autres directives de récupération CSP. Pour chaque directive absente, l'agent utilisateur cherche la directive default-src et utilise cette valeur.

    Liste de redirection autorisée lors de la connexion

    Pour éviter les problèmes de sécurité potentiels (vulnérabilité des redirections ouvertes), vous pouvez créer une liste de sites de confiance.

    Pour créer une liste de sites de confiance :

    1. Vérifiez que le paramètre limit_login_redirects (Configuration > Général > Autres paramètres) est réglé sur true. 

    2. Accédez à Configuration > Général > Liste de redirection autorisée.

    3.  Ajoutez une nouvelle ligne pour chaque domaine de confiance. Le code est uniquement descriptif et n'est pas utilisé par Alma.

    Il n'est pas nécessaire d'ajouter les domaines appartenant à Ex Libris (*.exlibrisgroup.com). 

    Page des domaines de redirection.

    Éviter le détournement de clic (clickjacking)

    Pour contrôler les options d'intégration d'iFrame, vous devez avoir le rôle suivant :
    • Administrateur général du système

    Le clickjacking (ou détournement de clic) est une attaque qui trompe les utilisateurs en leur montrant une page semblant inoffensive, mais qui comprend des commandes réelles de pages sensibles. Ces commandes sont déguisées par l'utilisation de cadres d'arrière-plan qui masquent tout sauf la commande, et l'utilisateur ne peut pas voir qu'il clique réellement sur une fonction sensible sur un autre site web. Les utilisateurs sont ainsi susceptibles de télécharger un malware, de fournir des identifiants de connexion ou des informations sensibles, de transférer de l'argent ou d'acheter des produits en ligne, le tout de manière non intentionnelle.

    Pour éviter le clickjacking via les produits ExLibris, Ex Libris a adopté une technique d'atténuation basée sur une règle. Les institutions peuvent désormais indiquer au navigateur les actions à réaliser si leur site est inclus dans un iframe.

    Modifier cette page peut endommager les intégrations d'interface d'autres produits. En cas de doute sur l'utilisation de cette page, veuillez consulter l'assistance client d'Ex Libris.

    Pour définir les actions à réaliser si votre site est intégré dans un iframe :
    1. Ouvrez le tableau Options d'intégration iFrame (Configuration > Général > Sécurité > Options d'intégration iFrame). 
    2. Pour le produit et le composant souhaités, cliquez sur Personnaliser dans la liste des actions sur la lignex.

      La gestion d'Alma et d'Esploro ne peut pas être ajoutée à un cadre. Cette configuration ne peut pas être modifiée. 

    3. Dans la colonne Action, sélectionnez l'action à réraliser si votre site est intégré dans un iFrame :
      • Tout autoriser (option par défaut) - Autoriser toutes les pages à charge cette page au sein d'un iFrame.
      • Autoriser protégé - Seules les pages de confiance sont autorisées à charger cette page au sein d'un iFrame. Si cette option est sélectionnée, dans la colonne Domains sûrs, indiquez les URL de confiance (le nombre d'URL pouvant être spécifiées n'est pas limité. Pour indiquer plusieurs URL, séparez-les par un espace vide.).
        Nous recommandons d'ajouter les pages de cette manière :https://*.SITEWEBICI.com, par exemple, https://*.amazon.com”.
      • Tout bloquer - Refuser toute tentative d'intégrer la page dans un cadre.
    4. Cliquez sur Enregistrer.
    View article in the Exlibris Knowledge Center
    1. Back to top
      • Widgets
      • Validation des formulaires de migration
    • Was this article helpful?

    Recommended articles

    1. Article type
      Topic
      Content Type
      Documentation
      Language
      Français
      Product
      Alma
    2. Tags
      This page has no tags.
    1. © Copyright 2025 Ex Libris Knowledge Center
    2. Powered by CXone Expert ®
    • Term of Use
    • Privacy Policy
    • Contact Us
    2025 Ex Libris. All rights reserved