Gérer les risques avec une authentification multifacteur supplémentaire pour les applications sensibles

• Configurer l’environnement lab pour AD FS dans Windows Server 2012 R2

• Guide pas à pas : Gérer les risques avec l’authentification multifacteur supplémentaire pour les applications sensibles

• Configurer des méthodes d’authentification supplémentaires pour AD FS

Contenu de ce guide

Ce guide fournit les informations suivantes :

• Mécanismes d’authentification dans AD FS - description des mécanismes d’authentification disponibles dans les services de fédération Active Directory (AD FS) dans Windows Server 2012 R2

• Vue d’ensemble du scénario : description d’un scénario dans lequel vous utilisez les services de fédération Active Directory (AD FS) pour activer l’authentification multifacteur (MFA) en fonction de l’appartenance de groupe de l’utilisateur.

  Note

  Dans AD FS dans Windows Server 2012 R2, vous pouvez activer l’authentification multifacteur en fonction de l’emplacement réseau, de l’identité de l’appareil et de l’identité utilisateur ou de l’appartenance au groupe.

  Pour obtenir des instructions pas à pas détaillées pour la configuration et la vérification de ce scénario, consultez le Guide pas à pas : Gérer les risques avec l’authentification multifacteur supplémentaire pour les applications sensibles.

Concepts clés - Mécanismes d’authentification dans AD FS

Avantages des mécanismes d’authentification dans AD FS

Les services de fédération Active Directory (AD FS) dans Windows Server 2012 R2 fournissent aux administrateurs informatiques un ensemble plus riche et plus flexible d’outils permettant d’authentifier les utilisateurs qui souhaitent accéder aux ressources d’entreprise. Il permet aux administrateurs de contrôler de manière flexible les méthodes d’authentification principales et supplémentaires, offre une expérience de gestion enrichie pour la configuration des stratégies d’authentification (via l’interface utilisateur et Windows PowerShell) et améliore l’expérience des utilisateurs finaux qui accèdent aux applications et services sécurisés par AD FS. Voici quelques-uns des avantages de la sécurisation de votre application et services avec AD FS dans Windows Server 2012 R2 :

• Stratégie d’authentification globale : fonctionnalité de gestion centralisée, à partir de laquelle un administrateur informatique peut choisir les méthodes d’authentification utilisées pour authentifier les utilisateurs en fonction de l’emplacement réseau à partir duquel ils accèdent aux ressources protégées. Cela permet aux administrateurs d’effectuer les opérations suivantes :

  • Imposez l’utilisation de méthodes d’authentification plus sécurisées pour les demandes d’accès à partir de l’extranet.

  • Activez l’authentification de l’appareil pour une authentification à deux facteurs sans interruption. Cela lie l’identité de l’utilisateur à l’appareil inscrit utilisé pour accéder à la ressource, ce qui offre une vérification d’identité composée plus sécurisée avant l’accès aux ressources protégées.

    Note

    Pour plus d’informations sur l’objet appareil, Device Registration Service, le rattachement à un espace de travail, l’appareil comme authentification à deux facteurs transparente et l’authentification unique, voir Rejoindre un espace de travail à partir d’un appareil pour l’authentification unique et l’authentification transparente à deux facteurs entre les applications d’entreprise.

  • Définissez les conditions d’authentification multifacteur pour tous les accès extranet ou de manière conditionnelle en fonction de l’identité, de l’emplacement réseau ou d’un appareil utilisé pour accéder aux ressources protégées.

• Plus de flexibilité dans la configuration des stratégies d’authentification : vous pouvez configurer des stratégies d’authentification personnalisées pour les ressources sécurisées par AD FS avec des valeurs métier variables. Par exemple, vous pouvez exiger l’authentification multifacteur pour une application avec un fort impact commercial.

• Facilité d’utilisation : outils de gestion simples et intuitifs tels que le composant logiciel enfichable MMC gestion AD FS basé sur l’interface graphique utilisateur et les applets de commande Windows PowerShell permettent aux administrateurs informatiques de configurer des stratégies d’authentification avec une facilité relative. Avec Windows PowerShell, vous pouvez scripter vos solutions à utiliser à grande échelle et automatiser des tâches administratives banales.

• Contrôle accru des ressources d’entreprise : étant donné que, en tant qu’administrateur, vous pouvez utiliser AD FS pour configurer une stratégie d’authentification qui s’applique à une ressource spécifique, vous avez un meilleur contrôle sur la sécurisation des ressources d’entreprise. Les applications ne peuvent pas remplacer les stratégies d’authentification spécifiées par les administrateurs informatiques. Pour les applications et services sensibles, vous pouvez activer l’exigence MFA, l’authentification de l’appareil et éventuellement une nouvelle authentification chaque fois que la ressource est accessible.

• Prise en charge des fournisseurs MFA personnalisés : pour les organisations qui tirent parti des méthodes MFA tierces, AD FS offre la possibilité d’incorporer et d’utiliser ces méthodes d’authentification en toute transparence.

Étendue de l’authentification

Dans AD FS dans Windows Server 2012 R2, vous pouvez spécifier une stratégie d’authentification dans une étendue globale applicable à toutes les applications et services sécurisés par AD FS. Vous pouvez également définir des stratégies d’authentification pour des applications et des services spécifiques (approbations de partie de confiance) sécurisées par AD FS. La définition d'une stratégie d’authentification pour une application particulière (par confiance d'une partie) ne remplace pas la stratégie d’authentification globale. Si une stratégie d'authentification globale ou spécifique à une partie fiable nécessite une authentification multifacteur, celle-ci sera déclenchée lorsque l'utilisateur essaie de s'authentifier auprès de cette relation de confiance avec la partie fiable. La stratégie d’authentification globale est une solution de secours pour les approbations de partie de confiance (applications et services) pour lesquelles aucune stratégie d’authentification spécifique n’est configurée.

Une stratégie d’authentification globale s’applique à toutes les parties de confiance sécurisées par AD FS. Vous pouvez configurer les paramètres suivants dans le cadre de la stratégie d’authentification globale :

• Méthodes d’authentification à utiliser pour l’authentification principale

• Paramètres et méthodes pour l’authentification multifacteur

• Indique si l’authentification de l’appareil est activée. Pour plus d'informations, voir Join to Workplace from Any Device for SSO and Seamless Second Factor Authentication Across Company Applications.

Les stratégies d’authentification par approbation de partie de confiance s’appliquent en particulier aux tentatives d’accès à cette approbation de partie de confiance (application ou service). Vous pouvez configurer les paramètres suivants dans le cadre de la stratégie d’authentification par partie de confiance :

• Indique si les utilisateurs doivent fournir leurs informations d’identification chaque fois lors de la connexion

• Paramètres MFA basés sur l'utilisateur/groupe, l'inscription de l'appareil et les données de localisation des demandes d'accès

Méthodes d’authentification principales et supplémentaires

Avec AD FS dans Windows Server 2012 R2, en plus du mécanisme d’authentification principal, les administrateurs peuvent configurer des méthodes d’authentification supplémentaires. Les méthodes d’authentification principales sont intégrées et sont destinées à valider les identités des utilisateurs. Vous pouvez configurer des facteurs d’authentification supplémentaires pour demander que des informations supplémentaires sur l’identité de l’utilisateur soient fournies et, par conséquent, garantir une authentification plus forte.

Avec l’authentification principale dans AD FS dans Windows Server 2012 R2, vous disposez des options suivantes :

• Pour que les ressources publiées soient accessibles à partir de l’extérieur du réseau d’entreprise, l’authentification par formulaire est sélectionnée par défaut. En outre, vous pouvez également activer l’authentification par certificat (en d’autres termes, l’authentification basée sur les cartes à puce ou l’authentification par certificat client utilisateur qui fonctionne avec AD DS).

• Pour les ressources intranet, l’authentification Windows est sélectionnée par défaut. En outre, vous pouvez également activer les formulaires et/ou l’authentification par certificat.

En sélectionnant plusieurs méthodes d’authentification, vous pouvez permettre à vos utilisateurs d’avoir le choix entre quelle méthode s’authentifier auprès de la page de connexion pour votre application ou service.

Vous pouvez également activer l’authentification de l’appareil pour l’authentification à deux facteurs transparente. Cela lie l’identité de l’utilisateur à l’appareil inscrit utilisé pour accéder à la ressource, ce qui offre une vérification d’identité composée plus sécurisée avant l’accès aux ressources protégées.

Si vous spécifiez la méthode d’authentification Windows (option par défaut) pour vos ressources intranet, les demandes d’authentification subissent cette méthode en toute transparence sur les navigateurs qui prennent en charge l’authentification Windows.

Configuration de l’authentification multifacteur

Il existe deux parties pour configurer l’authentification multifacteur dans AD FS dans Windows Server 2012 R2 : spécifier les conditions dans lesquelles l’authentification multifacteur est requise et sélectionner une méthode d’authentification supplémentaire. Pour plus d’informations sur les méthodes d’authentification supplémentaires, consultez Configurer des méthodes d’authentification supplémentaires pour AD FS.

Paramètres MFA

Voici les options disponibles pour les paramètres d'authentification multifacteur (conditions dans lesquelles exiger l’authentification multifacteur) :

• Vous pouvez exiger l’authentification multifacteur pour des utilisateurs et des groupes spécifiques dans le domaine AD auquel votre serveur de fédération est joint.

• Vous pouvez exiger l’authentification multifacteur pour des appareils inscrits (rattachés à un espace de travail) ou désinscrits (non rattachés à un espace de travail).

  Windows Server 2012 R2 adopte une approche centrée sur l’utilisateur pour les appareils modernes où les objets d’appareil représentent une relation entre user@device et une entreprise. Les objets d’appareil sont une nouvelle classe dans AD dans Windows Server 2012 R2 qui peut être utilisée pour offrir une identité composée lors de l’accès aux applications et services. Un nouveau composant d’AD FS - le service d’inscription d’appareil (DRS) - provisionne une identité d’appareil dans Active Directory et définit un certificat sur l’appareil consommateur qui sera utilisé pour représenter l’identité de l’appareil. Vous pouvez ensuite utiliser cette identité d’appareil pour rattacher votre appareil à l’espace de travail, autrement dit pour connecter votre appareil personnel à Active Directory sur votre espace de travail. Lorsque vous joignez votre appareil personnel à votre espace de travail, il devient un appareil connu et fournira une authentification de second facteur transparente aux ressources et applications protégées. En d’autres termes, une fois qu’un appareil est joint au lieu de travail, l’identité de l’utilisateur est liée à cet appareil et peut être utilisée pour une vérification transparente de l’identité composée avant qu’une ressource protégée soit accessible.

  Pour plus d'informations sur la jonction à l’espace de travail et la suppression, voir Joindre un espace de travail à partir de n'importe quel appareil en utilisant l'authentification unique et l'authentification de second facteur transparente pour accéder aux applications de l'entreprise.

• Vous pouvez exiger l’authentification multifacteur lorsque la demande d’accès pour les ressources protégées provient du extranet ou de l’intranet.

Vue d’ensemble du scénario

Dans ce scénario, vous activez l’authentification multifacteur en fonction des données d’appartenance de groupe de l’utilisateur pour une application spécifique. En d’autres termes, vous allez configurer une stratégie d’authentification sur votre serveur de fédération pour exiger l’authentification multifacteur lorsque les utilisateurs appartenant à un certain groupe demandent l’accès à une application spécifique hébergée sur un serveur web.

Plus précisément, dans ce scénario, vous activez une stratégie d’authentification pour une application de test basée sur les revendications appelée claimapp, dans laquelle un utilisateur AD Robert Hatley sera tenu de subir l’authentification multifacteur, car il appartient à un groupe AD Finance.

Les instructions pas à pas pour configurer et vérifier ce scénario sont fournies dans le Guide pas à pas : Gérer les risques avec l’authentification multifacteur supplémentaire pour les applications sensibles. Pour effectuer les étapes décrites dans cette procédure pas à pas, vous devez configurer un environnement lab et suivre les étapes décrites dans Configurer l’environnement lab pour AD FS dans Windows Server 2012 R2.

D’autres scénarios d’activation de l’authentification multifacteur dans AD FS sont les suivants :

• Activez l’authentification multifacteur si la demande d’accès provient du extranet. Vous pouvez modifier le code présenté dans la section « Configurer la stratégie MFA » du Guide pas à pas : Gérer les risques avec l’authentification multifacteur supplémentaire pour les applications sensibles avec les éléments suivants :

  'c:[type == "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", value == "false"] => issue(type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn" );'
  

• Activez l’authentification multifacteur si la demande d’accès provient d’un appareil non joint au lieu de travail. Vous pouvez modifier le code présenté dans la section « Configurer la stratégie MFA » du Guide pas à pas : Gérer les risques avec l’authentification multifacteur supplémentaire pour les applications sensibles avec les éléments suivants :

  'NOT EXISTS([type=="https://schemas.microsoft.com/2012/01/devicecontext/claims/registrationid"]) => issue (type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn");'
  
  

• Activer l’authentification multifacteur si la demande d’accès provient d’un utilisateur avec un appareil qui est rattaché à un espace de travail, mais non inscrit auprès de cet utilisateur. Vous pouvez modifier le code présenté dans la section « Configurer la stratégie MFA » du Guide pas à pas : Gérer les risques avec l’authentification multifacteur supplémentaire pour les applications sensibles avec les éléments suivants :

  'c:[type=="https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser", value == "false"] => issue (type="https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "https://schemas.microsoft.com/claims/multipleauthn");'
  
  

Voir aussi

Guide pas à pas : Gérer les risques avec l’authentification multifacteur supplémentaire pour les applications sensiblesconfigurer l’environnement lab pour AD FS dans Windows Server 2012 R2