Configurer la MFA pour ADFS
Active Directory Federation Services (ADFS) est une solution single sign-on pour Active Directory qui permet aux utilisateurs de s'identifier à des systèmes et applications externes avec leurs informations d'identification Active Directory. Elle permet aux utilisateurs de bénéficier d'une expérience single sign-on lorsqu'ils se connectent aux applications Web de leur organisation.
Avec l'agent ADFS AuthPoint, vous pouvez ajouter l'authentification multifacteur (MFA) à ADFS pour une sécurité supplémentaire. Pour ce faire, vous devez ajouter une ressource ADFS dans l'AuthPoint management UI et installer l'agent ADFS sur votre serveur ADFS.
Pour utiliser la MFA avec ADFS, vous devez avoir installé AuthPoint Gateway. Si vous n'avez pas encore installé AuthPoint Gateway, voir À propos des Gateways.
Pour que les utilisateurs d'Active Directory puissent utiliser la MFA AuthPoint avec ADFS, vous devez conserver la valeur par défaut sAMAccountName pour l'attribut lié à la connexion de l'utilisateur lorsque vous configurez votre identité externe.
Configurer une Ressource ADFS
Depuis l'AuthPoint management UI :
- Dans le menu de navigation d’AuthPoint, sélectionnez Ressources.
La page Ressources dans AuthPoint management UI s'ouvre. - Dans la liste déroulante Choisir un type de ressource, sélectionnez ADFS. Cliquez sur Ajouter.
- Dans la zone de texte Nom, tapez un nom décrivant la ressource.
- Cliquez sur Enregistrer.
- Ajoutez la ressource ADFS à vos stratégies d'authentification existantes, ou ajoutez de nouvelles stratégies d'authentification pour la ressource ADFS. Les stratégies d'authentification spécifient les ressources auxquelles les utilisateurs peuvent s'authentifier et les méthodes d'authentification qu'ils peuvent utiliser. Pour plus d'informations, consultez À propos des Stratégies d'Authentification AuthPoint.
Ajouter la Ressource ADFS à Votre Configuration de Gateway
Pour utiliser la MFA avec ADFS, vous devez avoir installé AuthPoint Gateway et vous devez associer votre ressource ADFS à AuthPoint Gateway. AuthPoint Gateway est le point de communication entre AuthPoint et votre serveur ADFS.
Si vous n'avez pas encore installé AuthPoint Gateway, voir À propos des Gateways.
Pour ajouter votre ressource ADFS à la configuration de votre AuthPoint Gateway :
- Dans le menu de navigation AuthPoint, sélectionnez Gateway.
- Cliquez sur le Nom de votre Gateway.
- Dans la section ADFS, sélectionnez votre ressource ADFS dans la liste Sélectionner une ressource ADFS.
- Cliquez sur Enregistrer.
Vous avez associé avec succès votre ressource ADFS à votre Gateway. L'étape suivante consiste à télécharger et installer l'agent ADFS.
Télécharger et Installer l'Agent ADFS
Vous devez télécharger le fichier de configuration de la Gateway à laquelle votre ressource ADFS est associée, puis vous devez télécharger et installer l'agent ADFS.
Votre Gateway doit être installée et disponible lorsque vous installez l'agent ADFS.
- Dans le menu de navigation d'AuthPoint, sélectionnez Téléchargements.
- Dans la section ADFS, cliquez sur Télécharger le Programme d'Installation. Vous devez disposer d'une ressource ADFS et votre Gateway installée doit avoir la version 4.0.0 ou supérieure pour télécharger le fichier de configuration.
- Cliquez sur Télécharger la Configuration pour télécharger le fichier de configuration. Si vous avez plusieurs Gateways, vous devez choisir la Gateway à laquelle votre ressource ADFS est associée.
- Déplacez l'agent ADFS et le fichier de configuration vers le serveur ADFS.
- Exécutez l'agent ADFS.
Configurer Votre Serveur
Après avoir installé l'agent ADFS, vous devez activer la MFA dans ADFS pour des groupes spécifiques. La MFA ne fonctionne que pour les utilisateurs qui sont membres des groupes ADFS que vous sélectionnez et membres des groupes AuthPoint disposant d'une stratégie d'authentification à votre ressource ADFS.
Les étapes pour activer la MFA pour des groupes ADFS sont différentes selon que vous avez un serveur Windows 2012r2 ou un serveur Windows 2016.
- Ouvrez les Outils d'Administration.
- Sélectionnez Gestion AD FS.
- Sélectionnez Stratégies d'Authentification.
- Dans la section Méthodes d'Authentification Multifacteur, cliquez sur Modifier pour une configuration globale de la MFA. Pour configurer la MFA individuellement, cliquez sur Gérer.
- Dans la fenêtre Modifier la Stratégie d'Authentification Globale cliquez sur Ajouter.
- Dans la fenêtre Sélectionner des Utilisateurs ou des Groupes, saisissez le nom du ou des groupes LDAP pour lesquels vous souhaitez activer la MFA.
- Cliquez sur OK.
- Dans la fenêtre Modifier la Stratégie d'Authentification Globale, dans la section des méthodes d'authentification supplémentaires, sélectionnez Authentification Multifacteur WatchGuard.
- Cliquez sur Appliquer.
Après la configuration, la Gestion AD FS affiche les utilisateurs/groupes et la méthode d'authentification sélectionnée.
- Ouvrez les Outils d'Administration.
- Sélectionnez Gestion AD FS.
- Sélectionnez Service > Méthodes d'Authentification.
- Dans la section Méthodes d'Authentification Multifacteur, cliquez sur Modifier.
- Dans la fenêtre Modifier les Méthodes d'Authentification, sélectionnez Authentification Multifacteur WatchGuard. Cliquez sur Appliquer.
Une MFA est désormais exigée pour que les utilisateurs accèdent aux ressources ADFS. Pour configurer une MFA uniquement pour certains utilisateurs, vous devez créer une stratégie de contrôle d'accès pour un groupe AD contenant ces utilisateurs.
- (Facultatif) Créez un groupe AD pour les utilisateurs qui doivent utiliser une MFA. Si vous possédez déjà un groupe, il est inutile d'en créer un autre.
- Sélectionnez Stratégies de Contrôle d'Accès.
- Cliquez sur Ajouter une Stratégie de Contrôle d'Accès.
- Dans la zone de texte Nom, saisissez Autoriser tout le monde mais exiger une MFA pour certains groupes.
- Saisissez une Description.
- Cliquez sur Ajouter.
- Dans la fenêtre de l'Éditeur de Règles, configurez les permissions suivantes :
- Autoriser les utilisateurs hormis ceux appartenant à Domaine\<votre groupe AD>
- Autoriser les utilisateurs appartenant à Domaine\<votre groupe AD> et exiger l'authentification multifacteur
- Cliquez sur OK pour enregistrer.
- Sélectionnez Approbations des Parties de Confiance.
- Faites un clic droit sur une approbation puis sélectionnez Modifier la Stratégie de Contrôle d'Accès.
- Sélectionnez la stratégie que vous venez de créer.
- Cliquez sur OK. Redémarrez le service ADFS.
Authentification avec ADFS
Lorsque la MFA est configurée pour ADFS, les utilisateurs doivent s'authentifier lorsqu'ils accèdent aux applications Web de votre organisation. Lorsqu'un utilisateur navigue vers une application Web, il est redirigé vers la page SSO ADFS où il doit fournir ses informations d'identification AD et s'authentifier avec la MFA.
Pour s'authentifier par ADFS :
- Naviguez vers une application Web externe.
Vous êtes redirigé(e) vers la page SSO ADFS. - Dans la zone de texte Nom d'utilisateur, entrez votre nom d'utilisateur ou e-mail. Les noms d'utilisateur doivent être entrés au format suivant : utilisateur@domaine ou domaine\utilisateur.
- Dans la zone de texte Mot de passe, entrez votre mot de passe.
- Cliquez sur Connexion.
- Dans la section Options de Connexion, sélectionnez une option d'authentification et authentifiez-vous.
- Push — Approuvez la notification push envoyée à votre téléphone
- QR Code — Utilisez l'application mobile AuthPoint pour scanner le QR code, puis tapez le code de vérification indiqué dans l'application
- One-Time Password — Saisissez le mot de passe à usage unique de votre jeton
Voir Également
Configurer une Page de Connexion Personnalisée pour ADFS