Gestion des mots de passe Microsoft Identity Manager 2016
La gestion des mots de passe pour plusieurs comptes d’utilisateur est l’une des complexités de la gestion d’un environnement d’entreprise avec plusieurs sources de données. Microsoft Identity Manager 2016 (MIM) fournit deux solutions de gestion des mots de passe :
Synchronisation des mots de passe : utilise le service de notification de modification de mot de passe (PCNS) pour capturer les modifications de mot de passe à partir d’Active Directory et les propager vers d’autres sources de données connectées.
Gestion des modifications de mot de passe par l’utilisateur : utilise Windows Management Instrumentation (WMI) par l’intermédiaire des applications de réinitialisation de mot de passe libre-service et des applications web de support technique.
La synchronisation des mots de passe et la gestion des modifications de mot de passe par l’utilisateur vous permet :
De réduire le nombre de mots de passe différents que les utilisateurs doivent mémoriser.
De définir ou modifier simultanément les mots de passe dans les différents comptes d’un utilisateur.
D’autoriser les utilisateurs à modifier leurs mots de passe dans Active Directory et de propager la modification de mot de passe vers d’autres systèmes.
D’éliminer le risque de création d’une banque de mots de passe ou d’informations d’identification supplémentaire.
De synchroniser les mots de passe dans plusieurs sources de données à l’aide d’Active Directory en tant que source d’autorité.
D’effectuer des opérations de gestion des mots de passe en temps réel, indépendamment des opérations MIM.
Extensions de mot de passe
Les agents de gestion pour les serveurs Active Directory prennent en charge les opérations de modification et de définition de mot de passe par défaut. Pour les agents de gestion de fichiers, de bases de données et Extensible Connectivity, qui ne prennent pas en charge les opérations de modification et de définition de mot de passe par défaut, vous pouvez créer une bibliothèque de liens dynamiques (DLL) d’extension de mot de passe .NET. La DLL d’extension de mot de passe .NET est appelée chaque fois qu’un appel de modification ou de définition de mot de passe est effectué pour l’un de ces agents de gestion. Les paramètres d’extension de mot de passe sont configurés pour ces agents de gestion dans Synchronization Service Manager. Pour plus d’informations sur la configuration des extensions de mot de passe, consultez la référence FIM pour les développeurs.
| La gestion des mots de passe est prise en charge par défaut dans les agents de gestion pour : | Quand vous utilisez une extension de mot de passe, la gestion des mots de passe est également prise en charge dans les agents de gestion pour : |
|---|---|
| Active Directory | Fichiers texte de paires attribut-valeur |
| Services ADLDS (Active Directory Lightweight Directory Services) | Fichiers texte délimités |
| IBM Directory Server | Directory Services Markup Language (DSML) |
| Lotus Notes | Extensible Connectivity |
| Novell eDirectory | Fichiers texte de largeur fixe |
| Serveurs d’annuaire Sun et Netscape | Base de données universelle IBM DB2 |
| LDAP Data Interchange Format (LDIF) | |
| Microsoft SQL Server | |
| Oracle Database |
Synchronisation de mot de passe
La synchronisation des mots de passe fonctionne avec le service de notification de modification de mot de passe (PCNS) sur un domaine Active Directory, et permet aux modifications de mot de passe provenant d’Active Directory d’être propagées automatiquement vers d’autres sources de données connectées. Pour cela, MIM s’exécute en tant que serveur d’appel de procédure distante (RPC, Remote Procedure Call) à l’écoute des notifications de modification de mot de passe en provenance d’un contrôleur de domaine Active Directory. Quand la demande de modification de mot de passe est reçue et authentifiée, elle est traitée par MIM et propagée vers les agents de gestion appropriés.
Important
La synchronisation de mot de passe bidirectionnelle n’est pas prise en charge par MIM. La configuration de la synchronisation de mot de passe bidirectionnelle peut créer une boucle qui consommera des ressources de serveur et aura un impact négatif sur Active Directory et MIM.
Le service PCNS s’exécute sur chaque contrôleur de domaine Active Directory. Les systèmes qui reçoivent les notifications de mot de passe sont appelées « cibles ». Vous devez configurer votre serveur MIM en tant que cible PCNS dans Active Directory pour que des notifications de mot de passe puissent être envoyées. La configuration PCNS doit définir un groupe d’inclusion et, éventuellement, un groupe d’exclusion. Ces groupes servent à limiter le flux de mots de passe sensibles à partir du domaine. Par exemple, pour envoyer les mots de passe pour tous les utilisateurs sauf les mots de passe d’administration, vous pouvez choisir d’utiliser Utilisateurs du domaine comme groupe d’inclusion et Admins du domaine comme groupe d’exclusion. Pour plus d’informations sur la configuration du service de notification de modification de mot de passe, consultez Using Password Synchronization (Utilisation de la synchronisation des mots de passe).
Les composants impliqués dans le processus de synchronisation de mot de passe sont les suivants :
Service de notification de modification de mot de passe (Pcnssvc.exe) : ce service s’exécute sur un contrôleur de domaine. Il est chargé de recevoir les notifications de modification de mot de passe à partir du filtre de mot de passe local, de les mettre en file d’attente pour le serveur cible exécutant MIM, et de remettre les notifications à l’aide de RPC. Le service chiffre le mot de passe et garantit sa sécurité jusqu’à ce qu’il soit remis au serveur cible exécutant MIM.
Nom principal du service (SPN) : le SPN est une propriété de l’objet de compte dans Active Directory utilisée par le protocole Kerberos pour authentifier mutuellement le service PCNS et la cible. Le SPN garantit que le service PCNS s’authentifie auprès du serveur approprié exécutant MIM, et qu’aucun autre service ne peut recevoir les notifications de modification de mot de passe. Le SPN est créé et affecté à l’aide de l’outil setspn.exe. Pour plus d’informations sur la configuration du SPN, consultez Using Password Synchronization (Utilisation de la synchronisation des mots de passe).
Filtre de notification de modification de mot de passe (Pcnsflt.dll) : le filtre de mot de passe sert à obtenir les mots de passe en texte clair à partir d’Active Directory. Ce filtre est chargé par l’autorité de sécurité locale (LSA) sur chaque contrôleur de domaine Windows Server participant à la distribution de mot de passe vers un serveur cible exécutant MIM. Une fois le filtre installé et le contrôleur de domaine redémarré, le filtre commence à recevoir des notifications de modification de mot de passe pour les modifications de mot de passe provenant de ce contrôleur de domaine. Le filtre de notification de mot de passe s’exécute en même temps que d’autres filtres sur le contrôleur de domaine.
Utilitaire de configuration du service de notification de modification de mot de passe (Pcnscfg.exe) : l’utilitaire pcnscfg.exe sert à gérer et à tenir à jour les paramètres de configuration du service de notification de modification de mot de passe stockés dans Active Directory. Ces paramètres de configuration, tels que la définition des serveurs cibles, l’intervalle de nouvelle tentative de mise en file d’attente des mots de passe, et l’activation ou la désactivation d’un serveur cible, sont utilisés pendant l’authentification et l’envoi de notifications de mot de passe au serveur cible exécutant MIM. La configuration du service est stockée dans Active Directory. Ainsi, il suffit de mettre à jour la configuration sur un seul contrôleur de domaine. Active Directory réplique la modification sur tous les autres contrôleurs de domaine.
Serveur RPC sur le serveur MIM : quand la synchronisation de mot de passe est activée, le serveur RPC sur le serveur MIM est démarré, ce qui lui permet de recevoir des notifications à partir du service de notification de modification de mot de passe. RPC sélectionne de manière dynamique une plage de ports à utiliser. Si MIM doit communiquer avec la forêt Active Directory à travers un pare-feu, vous devez ouvrir une plage de ports.
DLL d’extension de mot de passe : la DLL d’extension de mot de passe permet d’implémenter des opérations de définition ou de modification de mot de passe au moyen d’une extension de règles pour tout agent de gestion de bases de données, de fichiers ou Extensible Connectivity. Pour cela, on crée un attribut chiffré, d’exportation uniquement, nommé « export_password », qui n’existe pas dans l’annuaire connecté mais qui est accessible et définissable dans des extensions de règles d’approvisionnement ou peut être utilisé pendant le flux d’attributs d’exportation. Pour plus d’informations sur la configuration des extensions de mot de passe, consultez la référence FIM pour les développeurs.
Préparation à la synchronisation des mots de passe
Avant de configurer la synchronisation des mots de passe pour votre environnement MIM et Active Directory, vérifiez les points suivants :
MIM est installé conformément aux instructions d’installation.
Les agents de gestion pour les sources de données connectées dont la synchronisation des mots de passe doit être gérée sont déjà créés et les objets sont correctement joints et synchronisés.
Pour configurer la synchronisation des mots de passe
Étendez le schéma Active Directory pour ajouter les classes et attributs nécessaires pour installer et exécuter le service PCNS.
Installez le service PCNS sur chaque contrôleur de domaine.
Configurez le nom principal du service (SPN) dans Active Directory pour le compte de service MIM.
Configurez le service PCNS pour communiquer avec le service MIM cible.
Configurez les agents de gestion pour les sources de données connectées dont la synchronisation des mots de passe doit être gérée.
Activez la synchronisation des mots de passe dans MIM.
Pour plus d’informations sur la configuration de la synchronisation des mots de passe, consultez Using Password Synchronization (Utilisation de la synchronisation des mots de passe).
Options de synchronisation des mots de passe
Le processus de synchronisation d’une demande de modification de mot de passe à partir d’un contrôleur de domaine Active Directory vers d’autres sources de données connectées est illustré dans le diagramme suivant :
L’utilisateur lance la demande de modification de mot de passe en appuyant sur Ctrl+Alt+Suppr. La demande de modification de mot de passe, y compris le nouveau mot de passe, est envoyée au contrôleur de domaine le plus proche.
Le contrôleur de domaine enregistre la demande de modification du mot de passe et informe le filtre de notification de modification de mot de passe (Pcnsflt.dll).
Le filtre de notification de modification de mot de passe transmet la demande au service PCNS.
Le service PCNS vérifie la demande de modification du mot de passe, puis authentifie le nom principal du service (SPN) à l’aide du protocole Kerberos et transfère la demande de modification du mot de passe dans un appel RPC chiffré au serveur cible MIM.
MIM valide le contrôleur de domaine source, puis utilise le nom de domaine pour trouver l’agent de gestion qui gère ce domaine, et utilise les informations de compte d’utilisateur contenues dans la demande de modification du mot de passe pour trouver l’objet correspondant dans l’espace de connecteur.
En utilisant les informations de table de jointure, MIM identifie les agents de gestion qui reçoivent la modification de mot de passe et la leur transmet.
Sécurité de la synchronisation des mots de passe
Les aspects suivants liés à la sécurité de la synchronisation des mots de passe ont été traités :
Authentification à partir de la source de mot de passe : quand la notification de modification du mot de passe est reçue, l’authentification Kerberos est effectuée par MIM et par le contrôleur de domaine source pour s’assurer que l’expéditeur et le destinataire sont valides. Quand il reçoit une notification de modification de mot de passe, MIM vérifie que l’appelant a un compte dans le conteneur Contrôleurs de domaine du domaine auquel il appartient.
Échec de synchronisation des mots de passe avec une source de données cible à cause d’une connexion non sécurisée : si l’agent de gestion a été configuré pour exiger une connexion sécurisée, mais qu’aucune n’est détectée, la synchronisation échoue. La synchronisation se produit quand même si l’agent de gestion a été configuré pour autoriser les connexions non sécurisées. L’option autorisant les connexions non sécurisées doit être activée uniquement après avoir examiné et compris les risques encourus.
Stockage sécurisé des mots de passe : MIM stocke uniquement temporairement les mots de passe chiffrés. Tous les mots de passe reçus par MIM pendant une opération de notification de modification de mot de passe sont chiffrés dès qu’ils entrent dans le processus MIM. Dès qu’ils sont envoyés à la source de données connectée cible, ils sont déchiffrées, et la mémoire stockant le mot de passe est effacée immédiatement. Si l’opération ne parvient pas à écrire dans la source de données connectée cible, le mot de passe chiffré est stocké jusqu’à ce que toutes les nouvelles tentatives aient été effectuées, puis il est effacé de la mémoire.
Files d’attente de mots de passe sécurisées : les mots de passe stockés dans les files d’attente de mots de passe PCNS sont chiffrés jusqu’à leur remise.
Scénarios de récupération d’erreurs de synchronisation des mots de passe
Dans l’idéal, chaque fois qu’un utilisateur modifie un mot de passe, le changement est synchronisé sans erreur. Les scénarios suivants décrivent comment MIM récupère suite à des erreurs de synchronisation courantes :
Échec de la notification de mot de passe d’Active Directory vers MIM : cela peut se produire si le réseau est hors service ou si le serveur MIM n’est pas disponible. Le service PCNS laisse la notification de modification de mot de passe en file d’attente localement sur le contrôleur de domaine. Le service PCNS réessaie d’effectuer la notification conformément à sa configuration d’intervalle de nouvelle tentative.
Échec de synchronisation de mot de passe vers une source de données cible : cela peut également se produire si le réseau est hors service ou si la source de données cible n’est pas disponible. La notification de modification de mot de passe est mise en file d’attente et une nouvelle tentative est effectuée conformément à la configuration de nouvelle tentative et d’intervalle avant nouvelle tentative de l’agent de gestion. Tous les mots de passe sont chiffrés pendant qu’ils sont stockés en vue d’une nouvelle tentative, et sont supprimés quand l’opération réussit ou quand le nombre maximal de nouvelles tentatives est atteint.
Activation d’un serveur de secours actif MIM après une panne : en cas de panne du serveur MIM principal, vous pouvez configurer un serveur de secours actif pour la synchronisation des mots de passe, et l’activer sans perdre les modifications de mots de passe. Pour plus d’informations, consultez MIISactivate: Server Activation Tool (MIISactivate : outil d’activation de serveur).
Certaines défaillances sont tellement graves que l’opération échouera quel que soit le nombre de nouvelles tentatives. Dans ce cas, un événement d’erreur est enregistré dans le journal et le processus est arrêté. Les événements suivants ne donnent pas lieu à une nouvelle tentative :
| Événement | Gravité | Description |
|---|---|---|
| 6919 | Information | Une opération de définition de synchronisation des mots de passe n’a pas été effectuée car l’horodatage est obsolète. |
| 6921 | Erreur | L’opération de définition de synchronisation des mots de passe n’a pas été traitée car la gestion des mots de passe n’est pas activée sur l’agent de gestion cible. |
| 6922 | Erreur | L’opération de définition de synchronisation des mots de passe n’a pas été traitée car la gestion des mots de passe n’est pas configurée sur l’agent de gestion cible. |
| 6923 | Avertissement | L’opération de définition de synchronisation des mots de passe n’a pas été traitée car l’objet d’espace de connecteur cible est introuvable dans l’annuaire connecté. |
| 6927 | Erreur | L’opération de définition de synchronisation des mots de passe a échoué car le mot de passe ne répond pas à la stratégie de mot de passe du système cible. |
| 6928 | Erreur | L’opération de définition de synchronisation des mots de passe a échoué car l’extension de mot de passe pour l’agent de gestion cible n’est pas configurée pour prendre en charge les opérations de définition de mot de passe. |
Gestion des modifications de mot de passe utilisateur
MIM fournit deux applications web qui utilisent WMI (Windows Management Instrumentation) pour la réinitialisation des mots de passe. Comme avec la synchronisation des mots de passe, vous activez la gestion des mots de passe quand vous configurez l’agent de gestion dans le Concepteur d’agents de gestion. Pour plus d’informations sur la gestion des mots de passe et WMI, consultez la référence MIM pour les développeurs.
MIM crée lors de l’installation deux groupes de sécurité qui prennent en charge les opérations de gestion des mots de passe :
FIMSyncBrowse : les membres de ce groupe sont autorisés à recueillir des informations sur les comptes d’un utilisateur quand ils effectuent des opérations de recherche avec des requêtes WMI.
FIMSyncPasswordSet : les membres de ce groupe sont autorisés à effectuer des opérations de recherche de compte, de définition de mot de passe et de changement de mot de passe à l’aide des interfaces de gestion de mot de passe avec WMI.