Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les organisations subissent des attaques qui tentent d'attaquer par force brute, de compromettre la sécurité ou de verrouiller les comptes d'utilisateur en envoyant des demandes d'authentification basées sur un mot de passe. Pour protéger les organisations contre la compromission, AD FS a introduit des fonctionnalités telles que le verrouillage « intelligent » extranet et le blocage basé sur l’adresse IP.
Toutefois, ces atténuations sont réactives. Pour fournir une méthode proactive, afin de réduire la gravité de ces attaques, AD FS a la possibilité d’inviter d’autres facteurs avant de collecter le mot de passe.
Par exemple, AD FS 2016 a introduit l’authentification multifacteur Microsoft Entra comme authentification principale afin que les codes OTP de l’application Authenticator puissent être utilisés comme premier facteur. À compter d’AD FS 2019, vous pouvez configurer des fournisseurs d’authentification externes en tant que facteurs d’authentification principaux.
Il existe deux scénarios clés qui permettent :
Scénario 1 : protéger le mot de passe
Protégez la connexion basée sur un mot de passe contre les attaques par force brute et les verrouillages en demandant d’abord un facteur externe supplémentaire. Une invite de mot de passe s’affiche uniquement lorsque l’authentification externe est terminée. Cela élimine une façon pratique pour les attaquants d’essayer de compromettre ou de désactiver des comptes.
Ce scénario se compose de deux composants :
- Demande d’authentification multifacteur Microsoft Entra (disponible à partir d’AD FS 2016) ou d’un facteur d’authentification externe comme méthode d’authentification principale
- Nom d’utilisateur et mot de passe comme authentification supplémentaire dans AD FS
Scénario 2 : sans mot de passe
Éliminer entièrement les mots de passe, mais effectuer une authentification multifacteur forte à l’aide de méthodes entièrement non basées sur des mots de passe dans AD FS
- Authentification multifacteur Microsoft Entra avec l’application Authenticator
- Windows 10 Hello pour les entreprises
- Authentification par certificat
- Fournisseur d’authentification externes
Concepts
L’authentification principale désigne la méthode qui est demandée en premier à l’utilisateur, avant d'autres facteurs. Auparavant, les seules méthodes principales disponibles dans AD FS étaient des méthodes intégrées pour l'authentification multifacteur Active Directory ou Microsoft Entra, ou d'autres magasins d'authentification LDAP. Les méthodes externes peuvent être configurées en tant qu’authentification « supplémentaire », qui se produit une fois l’authentification principale terminée.
Dans AD FS 2019, l’authentification externe en tant que fonctionnalité principale signifie que tous les fournisseurs d’authentification externes inscrits sur la batterie de serveurs AD FS (à l’aide de Register-AdfsAuthenticationProvider) deviennent disponibles pour l’authentification principale et l’authentification « supplémentaire ». Ils peuvent être activés de la même façon que les fournisseurs intégrés tels que l’authentification par formulaire et l’authentification par certificat, pour une utilisation intranet et/ou extranet.
Une fois qu’un fournisseur externe est activé pour extranet, intranet ou les deux, il devient disponible pour les utilisateurs à utiliser. Si plusieurs méthodes sont activées, les utilisateurs voient une page de choix et peuvent choisir une méthode principale, comme ils le font pour une authentification supplémentaire.
Prerequisites
Avant de configurer des fournisseurs d’authentification externes comme principaux, vérifiez que vous disposez des conditions préalables suivantes.
- Le niveau de comportement de la batterie de serveurs AD FS (FBL) a été élevé à « 4 » (Cette valeur se traduit par AD FS 2019.)
- Il s'agit de la valeur FBL par défaut pour les nouvelles fermes AD FS 2019.
- Pour les fermes de serveurs AD FS basées sur Windows Server 2012 R2 ou 2016, le FBL peut être augmenté avec la commande PowerShell Invoke-AdfsFarmBehaviorLevelRaise. Pour plus d’informations sur la mise à niveau d’une batterie de serveurs AD FS, consultez l’article sur la mise à niveau de batteries de serveurs SQL ou les batteries WID
- Vous pouvez vérifier la valeur FBL à l’aide de l’applet de commande Get-AdfsFarmInformation.
- La batterie AD FS 2019 est configurée pour utiliser les nouvelles pages « paginés » accessibles aux utilisateurs 2019.
- Il s’agit du comportement par défaut pour les nouvelles batteries de serveurs AD FS 2019.
- Pour les batteries de serveurs AD FS mises à niveau à partir de Windows Server 2012 R2 ou 2016, les flux paginés sont activés automatiquement lorsque l’authentification externe en tant que méthode principale (fonctionnalité décrite dans ce document) est activée, comme décrit dans la section suivante de cet article.
Activer les méthodes d’authentification externe comme principales.
Une fois que vous avez vérifié les prérequis, il existe deux façons de configurer des fournisseurs d’authentification supplémentaires AD FS en tant que fournisseurs d’authentification principaux : PowerShell ou la console de gestion AD FS.
Utilisation de PowerShell
PS C:\> Set-AdfsGlobalAuthenticationPolicy -AllowAdditionalAuthenticationAsPrimary $true
Le service AD FS doit être redémarré après l’activation ou la désactivation de l’authentification supplémentaire en tant que serveur principal.
Utilisation de la console de gestion AD FS
Dans la console de gestion AD FS, sous Service ->Méthodes d’authentification, sous Méthodes d’authentification principale, sélectionnez Modifier
Cochez la case pour Autoriser les fournisseurs d’authentification supplémentaires en tant que principaux.
Le service AD FS doit être redémarré après l’activation ou la désactivation de l’authentification supplémentaire en tant que serveur principal.
Activer le nom d’utilisateur et le mot de passe comme authentification supplémentaire
Pour terminer le scénario « protéger le mot de passe », activez le nom d’utilisateur et le mot de passe comme authentification supplémentaire à l’aide de PowerShell ou de la console de gestion AD FS. Des exemples sont fournis pour les deux méthodes.
Activer le nom d’utilisateur et le mot de passe comme authentification supplémentaire à l’aide de PowerShell
PS C:\> $providers = (Get-AdfsGlobalAuthenticationPolicy).AdditionalAuthenticationProvider
PS C:\>$providers = $providers + "FormsAuthentication"
PS C:\>Set-AdfsGlobalAuthenticationPolicy -AdditionalAuthenticationProvider $providers
Activer le nom d’utilisateur et le mot de passe comme authentification supplémentaire à l’aide de la console de gestion AD FS
Dans la console de gestion AD FS, sous Service ->Méthodes d’authentification, sous Méthodes d’authentification supplémentaires, sélectionnez Modifier
Cochez la case pour l’authentification par formulaire pour activer le nom d’utilisateur et le mot de passe comme authentification supplémentaire.