Implémenter une authentification unique transparente

  • 11 minutes

L’équipe informatique de Contoso cherche un moyen de permettre aux utilisateurs de se servir de l’authentification SSO pour accéder à la fois aux ressources locales et aux ressources situées dans Azure. L’authentification SSO fluide de Microsoft Entra est une technologie qui fonctionne avec la synchronisation de hachage du mot de passe ou l’authentification directe.

De plus, quand l’authentification SSO fluide est activée, les utilisateurs ont rarement besoin de taper leurs noms d’utilisateurs (et jamais leurs mots de passe) pour se connecter à Microsoft Entra ID. Cette fonctionnalité permet aux utilisateurs de Contoso d’accéder facilement à leurs applications cloud sans avoir besoin de composants locaux supplémentaires.

Scénarios pris en charge pour l’authentification directe

L’authentification directe Microsoft Entra permet de garantir que les services qui reposent sur Microsoft Entra ID valident toujours les mots de passe sur une instance AD DS locale.

Capture d’écran de l’Assistant Configuration de Microsoft Entra Connect, page Connexion utilisateur. L’administrateur a sélectionné l’authentification directe et a coché la case Activer l’authentification unique.

Vous pouvez configurer l’authentification directe Microsoft Entra à l’aide de Microsoft Entra Connect, qui utilise un agent local qui écoute les requêtes externes de validation de mots de passe. Vous pouvez déployer cet agent sur un ou plusieurs serveurs pour fournir une haute disponibilité. Il n’est pas nécessaire de déployer ce serveur sur un réseau de périmètre, car toutes les communications sont uniquement sortantes.

Vous devez joindre un serveur qui exécute l’agent d’authentification directe au domaine AD DS où se trouvent les utilisateurs. Avant de déployer l’authentification directe Microsoft Entra, vous devez savoir quels sont les scénarios d’authentification pris en charge et quels sont ceux qui ne le sont pas.

Vous pouvez utiliser l’authentification directe pour les scénarios d’authentification suivants :

  • Les utilisateurs se connectent à toutes les applications basées sur un navigateur web, prises en charge par Microsoft Entra ID.

  • L’utilisateur se connecte aux applications Office qui prennent en charge l’authentification moderne.

    Notes

    Ces applications Office incluent Office 2019, Office 2016 et Office 2013 avec une authentification moderne.

  • L’utilisateur se connecte aux clients Microsoft Outlook à l’aide de protocoles hérités, par exemple Exchange ActiveSync, SMTP (Simple Mail Transfer Protocol), POP (Post Office Protocol) et IMAP (Internet Message Access Protocol).

  • L’utilisateur se connecte à l’application Skype Entreprise, qui prend en charge l’authentification moderne, notamment les topologies en ligne et hybrides.

  • Jointures de domaine Microsoft Entra pour les appareils Windows 10.

  • Mots de passe d’application pour l’authentification multifacteur.

Scénarios non pris en charge pour l’authentification directe

Bien que l’authentification directe prenne en charge la plupart des scénarios d’authentification usuels, il existe encore certains scénarios dans lesquels vous ne pouvez pas utiliser cette méthode. Ces scénarios sont les suivants :

  • L’utilisateur se connecte aux applications clientes Office héritées, à l’exclusion d’Outlook.

    Notes

    Ces applications clientes héritées incluent Office 2010 et Office 2013 sans authentification moderne.

  • Accédez aux informations de disponibilité et de partage de calendrier dans des environnements hybrides Exchange sur Office 2010 uniquement.

  • L’utilisateur se connecte à des applications clientes Skype Entreprise, sans authentification moderne.

  • L’utilisateur se connecte à Windows PowerShell version 1.0.

  • Détection des utilisateurs avec des informations d’identification volées.

  • Scénarios nécessitant Microsoft Entra Domain Services. Microsoft Entra Domain Services nécessite que les locataires activent la synchronisation de hachage du mot de passe. Ainsi, ces scénarios sont incompatibles avec les locataires qui utilisent uniquement l’authentification directe.

  • Scénarios nécessitant Microsoft Entra Connect Health. L’authentification directe n’est pas intégrée à Microsoft Entra Connect Health.

  • Si vous utilisez le Programme d’inscription des appareils Apple (Apple DEP), qui utilise l’Assistant réglages iOS, vous ne pouvez pas tirer parti de l’authentification moderne, car elle n’est pas prise en charge. Le programme ne peut pas inscrire les appareils Apple DEP dans Intune pour les domaines managés qui utilisent l’authentification directe. Utilisez l’application Portail d’entreprise Intune à la place.

Fonctionnement de l’authentification directe

Avant de déployer l’authentification directe, vous devez comprendre son fonctionnement et en quoi elle diffère de l’authentification AD FS. L’authentification directe n’est pas juste une forme plus simple d’authentification AD FS. Les deux méthodes utilisent l’infrastructure locale pour authentifier les utilisateurs qui accèdent aux ressources telles que Microsoft 365, mais de manière distincte.

Capture d’écran de l’Assistant Configuration de Microsoft Entra Connect, page Configurer. L’Assistant est prêt à configurer les paramètres suivants : installation de l’agent d’authentification Microsoft Entra Connect pour l’authentification directe, activation de l’authentification directe, activation de l’authentification managée dans Azure, activation de l’authentification unique et activation de la synchronisation de hachage du mot de passe. L’administrateur a coché la case Démarrez le processus de synchronisation une fois la configuration terminée.

L’authentification directe utilise un composant appelé Agent d’authentification pour authentifier les utilisateurs. Microsoft Entra Connect installe l’agent d’authentification lors de la configuration.

Une fois l’installation effectuée, l’agent d’authentification s’inscrit lui-même auprès du Microsoft Entra ID du locataire Microsoft 365. Au cours de l’inscription, Microsoft Entra ID attribue à l’agent d’authentification un certificat d’identité numérique unique. Ce certificat (avec une paire de clés) permet de sécuriser la communication avec Microsoft Entra ID. La procédure d’inscription lie également l’agent d’authentification à votre locataire Microsoft Entra.

Remarque

Les demandes d’authentification ne font pas l’objet d’une transmission de type push à l’agent d’authentification. À la place, au cours de son initialisation, l’agent d’authentification se connecte à Microsoft Entra ID via le port 443, un canal HTTPS sécurisé à l’aide de l’authentification mutuelle. Une fois la connexion établie, Microsoft Entra ID fournit à l’agent d’authentification l’accès à la file d’attente Azure Service Bus. À partir de cette file d’attente, l’agent d’authentification récupère et gère les demandes de validation de mot de passe. Il n’existe pas de trafic entrant, il n’est donc pas nécessaire d’installer l’agent d’authentification dans le réseau de périmètre.

Exemple

Quand le service informatique de Contoso active l’authentification directe sur son locataire Microsoft 365 et qu’un utilisateur tente de s’authentifier auprès d’Outlook web App, les étapes suivantes se produisent :

  1. Si l’utilisateur n’est pas déjà connecté, il est redirigé vers la page Connexion de l’utilisateur Microsoft Entra. Dans cette page, l’utilisateur se connecte avec un nom d’utilisateur et un mot de passe. Microsoft Entra ID reçoit la demande de connexion et place le nom d’utilisateur et le mot de passe dans une file d’attente. Le service STS (service d’émission de jeton de sécurité) Microsoft Entra utilise la clé publique de l’agent d’authentification pour chiffrer ces informations d’identification. Le service STS récupère cette clé publique à partir du certificat que l’agent d’authentification reçoit pendant le processus d’inscription.

    Remarque

    Bien que Microsoft Entra ID place temporairement les informations d’identification de l’utilisateur dans la file d’attente Azure Service Bus, elles ne sont jamais stockées dans le cloud.

  2. L’agent d’authentification, qui est connecté en permanence à la file d’attente Azure Service Bus, remarque le changement dans la file d’attente et récupère les informations d’identification chiffrées qui s’y trouvent. Dans la mesure où les informations d’identification sont chiffrées avec la clé publique de l’agent d’authentification, l’agent utilise sa clé privée pour déchiffrer les données.

  3. L’agent d’authentification valide le nom d’utilisateur et le mot de passe par rapport au service d’annuaire AD DS local, à l’aide des API Windows standard. À ce stade, ce mécanisme est similaire à celui utilisé par AD FS. Un nom d’utilisateur peut correspondre au nom d’utilisateur local par défaut, généralement userPrincipalName, ou à un autre attribut configuré dans Microsoft Entra Connect, appelé ID secondaire.

  4. Le service d’annuaire AD DS local évalue la requête et retourne la réponse appropriée à l’agent d’authentification : réussite, échec, mot de passe expiré ou utilisateur verrouillé.

  5. Après avoir reçu la réponse d’AD DS, l’agent d’authentification la renvoie à Microsoft Entra ID.

  6. Microsoft Entra ID évalue la réponse et répond à l'utilisateur de manière appropriée. Par exemple, Microsoft Entra ID connecte immédiatement l’utilisateur ou demande une authentification multifacteur. Si l’utilisateur parvient à se connecter, il peut accéder à l’application.

Remarque

Vous pouvez déployer l’authentification SSO fluide Microsoft Entra avec l’authentification directe pour rendre l’expérience utilisateur optimale durant l’accès aux ressources informatiques à partir d’ordinateurs joints à un domaine. Quand vous déployez cette fonctionnalité, vos utilisateurs peuvent accéder aux ressources cloud sans avoir à se connecter, s’ils sont déjà connectés sur leurs ordinateurs d’entreprise joints à un domaine à l’aide de leurs informations d’identification de domaine.

Documentation supplémentaire

Pour en savoir plus, consultez les documents suivants.