Partager via


Gérer les risques avec une authentification multifacteur supplémentaire pour les applications sensibles

Contenu de ce guide

Ce guide fournit les informations suivantes :

Concepts clés : mécanismes d’authentification dans AD FS

Avantages des mécanismes d’authentification dans AD FS

Les Active Directory Federation Services (AD FS) dans Windows Server 2012 R2 fournissent aux administrateurs informatiques un ensemble plus riche et plus flexible d’outils permettant d’authentifier les utilisateurs qui souhaitent accéder aux ressources d’entreprise. Ils permettent aux administrateurs d’exercer un contrôle flexible sur les méthodes d’authentification principales et supplémentaires, fournissent une expérience de gestion complète pour la configuration des stratégies d’authentification (à la fois par l’interface utilisateur et Windows PowerShell), et améliorent l’expérience des utilisateurs finaux qui accèdent aux applications et services sécurisés par AD FS. Voici quelques-uns des avantages de la sécurisation de vos applications et services avec AD FS dans Windows Server 2012 R2 :

  • Stratégie d’authentification globale : fonction de gestion centrale qui permet à un administrateur informatique de choisir les méthodes d’authentification qui sont utilisées pour authentifier les utilisateurs selon l’emplacement réseau à partir duquel ils accèdent aux ressources protégées. Les administrateurs peuvent ainsi effectuer les opérations suivantes :

    • Imposer l’utilisation de méthodes d’authentification plus sécurisées pour l’accès aux demandes provenant de l’extranet.

    • Activer l’authentification de l’appareil pour l’authentification à deux facteurs transparente. Cette opération permet de lier l’identité de l’utilisateur à l’appareil inscrit qui est utilisé pour accéder à la ressource et d’offrir ainsi une vérification de l’identité composée plus sécurisée avant l’accès aux ressources protégées.

      Notes

      Pour plus d’informations sur l’objet appareil, Device Registration Service, le rattachement à un espace de travail, l’appareil comme authentification à deux facteurs transparente et l’authentification unique, voir Rejoindre un espace de travail à partir d’un appareil pour l’authentification unique et l’authentification transparente à deux facteurs entre les applications d’entreprise.

    • Définir un critère d’authentification multifacteur pour tous les accès extranet ou sous conditions en fonction de l’identité de l’utilisateur, de l’emplacement réseau ou d’un appareil qui permet d’accéder aux ressources protégées.

  • Plus de souplesse dans la configuration des stratégies d’authentification : vous pouvez configurer des stratégies d’authentification personnalisées pour des ressources sécurisées par AD FS avec différentes valeurs commerciales. Par exemple, vous pouvez exiger l’authentification multifacteur pour une application avec un fort impact commercial.

  • Facilité d’utilisation : des outils de gestion simples et intuitifs tels que le composant logiciel enfichable MMC Gestion AD FS basé sur une interface utilisateur graphique et les applets de commande Windows PowerShell permettent aux administrateurs informatiques de configurer des stratégies d’authentification assez facilement. Avec Windows PowerShell, vous pouvez générer des scripts de vos solutions pour une utilisation dans les bonnes proportions et une automatisation des tâches d’administration courantes.

  • Plus de contrôle sur les ressources d’entreprise : dans la mesure où vous pouvez en tant qu’administrateur utiliser les services AD FS pour configurer une stratégie d’authentification qui s’applique à une ressource spécifique, vous avez davantage de contrôle sur la façon dont les ressources d’entreprise sont sécurisées. Les applications ne peuvent pas remplacer les stratégies d’authentification spécifiées par les administrateurs informatiques. Pour les services et applications sensibles, vous pouvez activer le critère d’authentification multifacteur, l’authentification de l’appareil et éventuellement une nouvelle authentification chaque fois que la ressource fait l’objet d’un accès.

  • Prise en charge des fournisseurs d’authentification multifacteur personnalisés : pour les organisations qui bénéficient des méthodes d’authentification multifacteur tierces, les services AD FS offrent la possibilité d’incorporer et d’utiliser ces méthodes d’authentification en toute transparence.

Étendue de l’authentification

Dans AD FS dans Windows Server 2012 R2, vous pouvez spécifier une stratégie d’authentification dans une étendue globale applicable à toutes les applications et services sécurisés par AD FS. Vous pouvez également définir des stratégies d’authentification pour des applications et services spécifiques (approbations de partie de confiance) qui sont sécurisés par AD FS. La spécification d’une stratégie d’authentification pour une application particulière (par approbation de partie de confiance) ne remplace pas la stratégie d’authentification globale. Si la stratégie d’authentification globale ou par approbation de partie de confiance exige l’authentification multifacteur, celle-ci est déclenchée lorsque l’utilisateur essaie de s’authentifier auprès de cette approbation de partie de confiance. La stratégie d’authentification globale est une solution de secours pour les approbations de partie de confiance (applications et services) pour lesquelles aucune stratégie d’authentification spécifique n’est configurée.

Une stratégie d’authentification globale s’applique à toutes les parties de confiance qui sont sécurisées par AD FS. Vous pouvez configurer les paramètres suivants dans le cadre de la stratégie d’authentification globale :

Les stratégies d’authentification par approbation de partie de confiance s’appliquent en particulier aux tentatives d’accès à cette approbation de partie de confiance (application ou service). Vous pouvez configurer les paramètres suivants dans le cadre de la stratégie d’authentification par approbation de partie de confiance :

  • Nécessité ou non pour les utilisateurs de fournir leurs informations d’identification à chaque connexion

  • Paramètres d’authentification multifacteur selon l’utilisateur/le groupe, l’inscription de l’appareil et les données de l’emplacement de la demande d’accès

Méthodes d’authentification principales et supplémentaires

Avec AD FS dans Windows Server 2012, outre le mécanisme d’authentification principal, les administrateurs peuvent configurer d’autres méthodes d’authentification. Les méthodes d’authentification principales sont intégrées et destinées à valider les identités des utilisateurs. Vous pouvez configurer des facteurs d’authentification supplémentaires pour demander que d’autres informations sur l’identité de l’utilisateur soient fournies et garantir par conséquent une authentification renforcée.

Avec l’authentification principale dans AD FS dans Windows Server 2012 R2, vous avez les options suivantes :

  • Pour les ressources publiées accessibles depuis l’extérieur du réseau d’entreprise, l’authentification par formulaires est sélectionnée par défaut. En outre, vous pouvez également activer l’authentification par certificat (autrement dit, une authentification basée sur une carte à puce ou une authentification par certificat client utilisateur qui fonctionne avec AD DS).

  • Pour les ressources intranet, l’authentification Windows est sélectionnée par défaut. En outre, vous pouvez également activer l’authentification par formulaires et/ou l’authentification par certificat.

En sélectionnant plusieurs méthodes d’authentification, vous permettez aux utilisateurs d’avoir le choix de la méthode pour s’authentifier au niveau de la page de connexion pour votre application ou service.

Vous pouvez également activer l’authentification de l’appareil pour l’authentification à deux facteurs transparente. Cette opération permet de lier l’identité de l’utilisateur à l’appareil inscrit qui est utilisé pour accéder à la ressource et d’offrir ainsi une vérification de l’identité composée plus sécurisée avant l’accès aux ressources protégées.

Notes

Pour plus d’informations sur l’objet appareil, Device Registration Service, le rattachement à un espace de travail, l’appareil comme authentification à deux facteurs transparente et l’authentification unique, voir Rejoindre un espace de travail à partir d’un appareil pour l’authentification unique et l’authentification transparente à deux facteurs entre les applications d’entreprise.

Si vous spécifiez la méthode d’authentification Windows (option par défaut) pour vos ressources intranet, les demandes d’authentification subissent cette méthode en toute transparence sur des navigateurs qui prennent en charge l’authentification Windows.

Notes

L’authentification Windows n’est pas prise en charge sur tous les navigateurs. Le mécanisme d’authentification dans AD FS dans Windows Server 2012 R2 détecte l’agent utilisateur du navigateur de l’utilisateur et utilise un paramètre configurable pour déterminer si cet agent utilisateur prend en charge l’authentification Windows. Les administrateurs peuvent procéder à des ajouts dans cette liste d’agents utilisateurs (via la commande Windows PowerShell Set-AdfsProperties -WIASupportedUserAgents) afin d’indiquer d’autres chaînes de l’agent utilisateur pour les navigateurs qui prennent en charge l’authentification Windows. Si l’agent utilisateur du client ne prend pas en charge l’authentification Windows, la méthode de secours par défaut est l’authentification par formulaires.

Configuration de l’authentification multifacteur

La configuration de l’authentification multifacteur se fait en deux parties dans AD FS dans Windows Server 2012 R2 : spécification des conditions dans lesquelles l’authentification multifacteur est requise et sélection d’une méthode d’authentification supplémentaire. Pour plus d'informations sur les méthodes d'authentification supplémentaires, voir Configurer les méthodes d'authentification supplémentaires pour AD FS.

Paramètres d’authentification multifacteur

Les options suivantes sont disponibles pour les paramètres d’authentification multifacteur (conditions dans lesquelles l’authentification multifacteur doit être requise) :

  • Vous pouvez exiger l’authentification multifacteur pour des utilisateurs et groupes spécifiques dans le domaine Active Directory auquel votre serveur de fédération est rattaché.

  • Vous pouvez exiger l’authentification multifacteur pour des appareils inscrits (rattachés à un espace de travail) ou désinscrits (non rattachés à un espace de travail).

    Windows Server 2012 R2 adopte une approche des appareils modernes centrée sur l'utilisateur où les objets appareils représentent une relation entre utilisateur@appareil et une société. Les objets appareils sont une nouvelle classe dans Active Directory dans Windows Server 2012 R2 qui permettent d'offrir une identité composée lors de l'accès aux applications et services. Un nouveau composant d’AD FS, DRS (Device Registration Service), configure une identité d’appareil dans Active Directory et définit un certificat sur l’appareil du consommateur qui sera utilisé pour représenter l’identité de l’appareil. Vous pouvez ensuite utiliser cette identité d’appareil pour rattacher votre appareil à l’espace de travail, autrement dit pour connecter votre appareil personnel à Active Directory sur votre espace de travail. Lorsque vous rattachez votre appareil personnel à votre espace de travail, il devient un appareil connu et fournit une authentification multifacteur transparente aux applications et ressources protégées. En d’autres termes, une fois qu’un appareil est rattaché à un espace de travail, l’identité de l’utilisateur est liée à cet appareil et peut être utilisée pour une vérification d’identité composée transparente avant l’accès à une ressource protégée.

    Pour plus d'informations sur la jonction à l’espace de travail et la suppression, voir Joindre un espace de travail à partir de n'importe quel appareil en utilisant l'authentification unique et l'authentification de second facteur transparente pour accéder aux applications de l'entreprise.

  • Vous pouvez exiger l’authentification multifacteur lorsque la demande d’accès pour les ressources protégées provient de l’extranet ou de l’intranet.

Vue d’ensemble du scénario

Dans ce scénario, vous activez l’authentification multifacteur en fonction des données d’appartenance au groupe de l’utilisateur pour une application spécifique. Autrement dit, vous allez configurer une stratégie d’authentification sur votre serveur de fédération pour exiger une authentification multifacteur lorsque des utilisateurs qui appartiennent à un certain groupe demandent l’accès à une application spécifique qui est hébergée sur un serveur Web.

Plus spécifiquement, dans ce scénario, vous activez une stratégie d'authentification pour une application de test basée sur des revendications appelée claimapp, où l'utilisateur Active Directory Robert Hatley devra subir une authentification multifacteur car il appartient à un groupe Active Directory nommé Finance.

Les instructions pas à pas permettant de configurer et de vérifier ce scénario sont fournies dans Guide pas à pas : gérer les risques avec une authentification multifacteur supplémentaire pour les applications sensibles. Afin d’effectuer les étapes de cette procédure pas à pas, vous devez configurer un environnement lab et suivre les étapes dans Configuration de l’environnement lab pour AD FS dans Windows Server 2012 R2.

Parmi les autres scénarios d’activation de l’authentification multifacteur dans AD FS figurent les suivants :

  • Activer l’authentification multifacteur si la demande d’accès provient de l’extranet. Vous pouvez remplacer le code présenté dans la section « Configurer la stratégie d’authentification multifacteur » de Guide pas à pas : gérer les risques avec une authentification multifacteur supplémentaire pour les applications sensibles par le code suivant :

    'c:[type == "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", value == "false"] => issue(type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn" );'
    
  • Activer l’authentification multifacteur si la demande d’accès provient d’un appareil non rattaché à un espace de travail. Vous pouvez remplacer le code présenté dans la section « Configurer la stratégie d’authentification multifacteur » de Guide pas à pas : gérer les risques avec une authentification multifacteur supplémentaire pour les applications sensibles par le code suivant :

    'NOT EXISTS([type=="https://schemas.microsoft.com/2012/01/devicecontext/claims/registrationid"]) => issue (type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn");'
    
    
  • Activer l’authentification multifacteur si la demande d’accès provient d’un utilisateur avec un appareil qui est rattaché à un espace de travail, mais non inscrit auprès de cet utilisateur. Vous pouvez remplacer le code présenté dans la section « Configurer la stratégie d’authentification multifacteur » de Guide pas à pas : gérer les risques avec une authentification multifacteur supplémentaire pour les applications sensibles par le code suivant :

    'c:[type=="https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser", value == "false"] => issue (type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn");'
    
    

Voir aussi

Guide pas à pas : gérer les risques avec l’authentification multifacteur supplémentaire pour les applications sensiblesConfiguration de l’environnement lab pour AD FS dans Windows Server 2012 R2