Concepts de l’authentification Windows

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016

Cette rubrique de référence décrit les concepts sur lesquels repose l'authentification Windows.

L’authentification est un processus de vérification de l’identité d’un objet ou d’une personne. Lorsque vous authentifiez un objet, l’objectif est de vérifier que celui-ci est authentique. Lorsque vous authentifiez une personne, l’objectif est de vérifier qu’il ne s’agit pas d’un imposteur.

Dans un contexte de réseau, l’authentification est le fait de prouver une identité à une application ou une ressource réseau. En général, l’identité est prouvée par une opération de chiffrement qui utilise soit une clé connue uniquement par l’utilisateur (comme avec le chiffrement à clé publique), soit une clé partagée. Le côté serveur de l’échange d’authentification compare les données signées avec une clé de chiffrement connue pour valider la tentative d’authentification.

Le stockage des clés de chiffrement dans un emplacement centralisé sécurisé rend le processus d’authentification évolutif et facile à gérer. Active Directory est la technologie recommandée et par défaut pour stocker les informations relatives à l'identité, notamment les clés de chiffrement qui constituent les informations d'identification de l'utilisateur. Active Directory est requis pour les implémentations NTLM et Kerberos par défaut.

Les techniques d'authentification vont de la simple connexion à un système d'exploitation ou à un service ou une application, qui identifie les utilisateurs sur la base d'un élément que seul l'utilisateur connaît, comme un mot de passe, à des mécanismes de sécurité plus puissants qui utilisent un élément que l'utilisateur possède, comme des jetons, des certificats de clé publique, des images ou des attributs biologiques. Dans un environnement d’entreprise, les utilisateurs peuvent accéder à plusieurs applications sur plusieurs types de serveurs dans un même emplacement ou dans plusieurs emplacements. C’est pourquoi l’authentification doit prendre en charge des environnements pour d’autres plateformes et pour d’autres systèmes d’exploitation Windows.

Authentification et autorisation : une analogie de voyage

Une analogie de voyage peut aider à expliquer le fonctionnement de l'authentification. Quelques tâches préparatoires sont généralement nécessaires pour commencer le voyage. Le voyageur doit prouver sa véritable identité aux autorités de son pays d'accueil. Cette preuve peut prendre la forme d'une preuve de citoyenneté, du lieu de naissance, d'une pièce justificative personnelle, de photographies ou de tout autre document exigé par la législation du pays d'accueil. L'identité du voyageur est validée par la délivrance d'un passeport, qui est analogue à un compte système délivré et administré par une organisation - le principal responsable de la sécurité. Le passeport et la destination prévue sont basés sur un ensemble de règles et de règlements émis par l’autorité gouvernementale.

Le voyage

Lorsque le voyageur arrive à la frontière internationale, un garde-frontière lui demande ses coordonnées et le voyageur présente son passeport. Le processus est double :

• Le garde authentifie le passeport en vérifiant qu'il a été délivré par une autorité de sécurité à laquelle le gouvernement local fait confiance (au moins pour la délivrance des passeports) et en vérifiant que le passeport n'a pas été modifié.

• Le garde authentifie le voyageur en vérifiant que le visage correspond à celui de la personne figurant sur le passeport et que les autres documents requis sont en règle.

Si le passeport s'avère valide et que le voyageur prouve qu'il en est le propriétaire, l'authentification est réussie et le voyageur peut être autorisé à franchir la frontière.

L’approbation transitive entre les autorités de sécurité est le fondement de l'authentification ; le type d'authentification qui a lieu à une frontière internationale est basé sur l’approbation. Le gouvernement local ne connaît pas le voyageur, mais il fait confiance au gouvernement hôte. Lorsque le gouvernement hôte a émis le passeport, il ne connaissait pas non plus le voyageur. Il fait confiance à l'organisme qui a délivré l'acte de naissance ou d'autres documents. L'organisme qui a délivré l'acte de naissance a, quant à lui, fait confiance au médecin qui a signé l'acte. Le médecin a assisté à la naissance du voyageur et a apposé sur le certificat une preuve directe de l'identité, en l'occurrence l'empreinte du nouveau-né. La confiance ainsi transférée, par le biais d'intermédiaires de confiance, est transitive.

L’approbation transitive est la base de la sécurité réseau dans l’architecture client/serveur Windows. Une relation d’approbation s'étend sur un ensemble de domaines, comme une arborescence de domaine, et forme une relation entre un domaine et tous les domaines qui lui accordent leur approbation. Par exemple, si le domaine A a une approbation transitive avec le domaine B, et si le domaine B approuve le domaine C, le domaine A approuve le domaine C.

Il existe une différence entre l’authentification et l’autorisation. Avec l'authentification, le système prouve que vous êtes bien celui que vous prétendez être. Avec l'autorisation, le système vérifie que vous avez le droit de faire ce que vous voulez faire. Pour poursuivre l'analogie avec les frontières, le simple fait d'authentifier que le voyageur est bien le propriétaire d'un passeport valide ne l'autorise pas nécessairement à entrer dans un pays. Les résidents d'un pays donné ne sont autorisés à entrer dans un autre pays sur simple présentation d'un passeport que dans les cas où le pays dans lequel ils entrent accorde une autorisation illimitée d'entrée à tous les citoyens de ce pays.

De même, vous pouvez accorder à tous les utilisateurs d'un certain domaine des autorisations d'accès à une ressource. Tout utilisateur appartenant à ce domaine a accès à la ressource, tout comme le Canada permet aux citoyens américains d'entrer sur son territoire. Toutefois, les citoyens américains qui tentent d'entrer au Brésil ou en Inde constatent qu'ils ne peuvent pas entrer dans ces pays en présentant simplement un passeport, car ces deux pays exigent des citoyens américains en visite qu'ils soient en possession d'un visa valide. L'authentification ne garantit donc pas l'accès aux ressources ni l'autorisation de les utiliser.

Informations d'identification

Un passeport et, le cas échéant, les visas qui y sont associés sont les documents acceptés pour un voyageur. Toutefois, ces informations d'identification ne permettent pas toujours au voyageur d'accéder à toutes les ressources d'un pays. Par exemple, des accréditations supplémentaires sont nécessaires pour assister à une conférence. Dans Windows, les informations d'identification peuvent être gérées de manière à permettre aux titulaires de comptes d'accéder à des ressources sur le réseau sans avoir à fournir à plusieurs reprises leurs informations d'identification. Ce type d'accès permet aux utilisateurs d'être authentifiés une seule fois par le système pour accéder à toutes les applications et sources de données qu'ils sont autorisés à utiliser sans avoir à saisir un autre identifiant de compte ou un autre mot de passe. La plateforme Windows tire parti de la possibilité d'utiliser une seule identité d'utilisateur (gérée par Active Directory) sur l'ensemble du réseau en mettant en cache localement les informations d'identification de l'utilisateur dans l'autorité de sécurité locale (LSA) du système d'exploitation. Lorsqu'un utilisateur se connecte au domaine, les packages d'authentification Windows utilisent de manière transparente les informations d'identification pour fournir une signature unique lors de l'authentification des informations d'identification aux ressources du réseau. Pour plus d’informations sur les informations d’identification, consultez l’article Processus d’informations d’identification dans l’authentification Windows.

Une forme d'authentification multifacteur pour le voyageur pourrait être l'obligation de porter et de présenter plusieurs documents pour authentifier son identité, tels qu'un passeport et les informations relatives à l'inscription à la conférence. Windows implémente ce formulaire ou cette authentification par le biais de cartes à puce, de cartes à puce virtuelles et de technologies biométriques.

Principaux de sécurité et comptes

Dans Windows, tout utilisateur, service, groupe ou ordinateur qui peut lancer une action est un principal de sécurité. Les principaux de sécurité ont des comptes, qui peuvent être locaux à un ordinateur ou être basés sur un domaine. Par exemple, les ordinateurs joints à un domaine client Windows peuvent participer à un domaine réseau en communiquant avec un contrôleur de domaine même lorsqu’aucun utilisateur humain n’est connecté. Pour lancer des communications, l’ordinateur doit avoir un compte actif dans le domaine. Avant d’accepter les communications de l’ordinateur, l’autorité de sécurité locale sur le contrôleur de domaine authentifie l’identité de l’ordinateur, puis définit le contexte de sécurité de l’ordinateur comme il le ferait pour un principal de sécurité humain. Ce contexte de sécurité définit l'identité et les capacités d'un utilisateur ou d'un service sur un ordinateur particulier ou d'un utilisateur, d'un service, d'un groupe ou d'un ordinateur sur un réseau. Par exemple, il définit les ressources, telles qu'un partage de fichiers ou une imprimante, auxquelles il est possible d'accéder et les actions, telles que Lire, Écrire ou Modifier, qui peuvent être effectuées par un utilisateur, un service ou un ordinateur sur cette ressource. Pour plus d’informations, consultez l’article Principaux de sécurité.

Un compte est un moyen d'identifier un demandeur (l'utilisateur humain ou le service) qui demande un accès ou des ressources. Le voyageur qui détient le passeport authentique possède un compte dans le pays d'accueil. Les utilisateurs, les groupes d'utilisateurs, les objets et les services peuvent tous disposer de comptes individuels ou de comptes partagés. Les comptes peuvent être membres de groupes et se voir attribuer des droits et des autorisations spécifiques. Les comptes peuvent être limités à l’ordinateur local, au groupe de travail, au réseau ou à l’appartenance à un domaine.

Les comptes intégrés et les groupes de sécurité, dont ils sont membres, sont définis sur chaque version de Windows. En utilisant des groupes de sécurité, vous pouvez attribuer les mêmes autorisations de sécurité à de nombreux utilisateurs qui sont correctement authentifiés, ce qui simplifie l’administration de l’accès. Les règles de délivrance des passeports peuvent exiger que le voyageur soit classé dans certains groupes, tels que professionnel, touristique ou gouvernemental. Ce processus garantit des autorisations de sécurité cohérentes pour tous les membres d'un groupe. L’utilisation de groupes de sécurité pour attribuer des autorisations signifie que le contrôle d’accès des ressources reste constant et facile à gérer et à auditer. En ajoutant et en supprimant les utilisateurs qui ont besoin d'accéder aux groupes de sécurité appropriés, vous pouvez réduire la fréquence des modifications apportées aux listes de contrôle d'accès (ACL).

Les comptes de service managés autonomes et les comptes virtuels ont été introduits dans Windows Server 2008 R2 et Windows 7 pour fournir aux applications nécessaires, telles que Microsoft Exchange Server et Internet Information Services (IIS), l'isolation de leurs propres comptes de domaine, tout en éliminant la nécessité pour un administrateur de gérer manuellement le nom de principal de service (SPN) et les informations d'identification pour ces comptes. Les comptes de service managé de groupe ont été introduits dans Windows Server 2012 et fournissent la même fonctionnalité au sein du domaine, mais étend également cette fonctionnalité sur plusieurs serveurs. Lors de la connexion à un service hébergé sur une batterie de serveurs, tel que le service Équilibrage de la charge réseau, les protocoles d’authentification prenant en charge l’authentification mutuelle exigent que toutes les instances des services utilisent le même principal.

Pour plus d'informations sur les comptes, voir  :

• Comptes Active Directory

• Groupes de sécurité Active Directory

• Comptes locaux

• Comptes Microsoft

• Comptes de service

• Identités spéciales

Authentification déléguée

Pour reprendre l'analogie avec les voyages, les pays pourraient accorder le même accès à tous les membres d'une délégation gouvernementale officielle, à condition que les délégués soient bien connus. Cette délégation permet à un membre d'agir sous l'autorité d'un autre membre. Dans Windows, l'authentification déléguée se produit lorsqu'un service réseau accepte une demande d'authentification de la part d'un utilisateur et assume l'identité de cet utilisateur afin d'établir une nouvelle connexion avec un second service réseau. Pour prendre en charge l'authentification déléguée, vous devez établir des serveurs frontaux ou de premier niveau, tels que les serveurs web, qui sont chargés de traiter les demandes d'authentification des clients, et des serveurs back-end ou n-tiers, tels que les grandes bases de données, qui sont chargés de stocker les informations. Vous pouvez déléguer le droit de configurer l'authentification déléguée à des utilisateurs de votre organisation afin de réduire la charge administrative de vos administrateurs.

En établissant un service ou un ordinateur comme fiable pour la délégation, vous permettez à ce service ou à cet ordinateur d'effectuer l'authentification déléguée, de recevoir un ticket pour l'utilisateur qui fait la demande, puis d'accéder aux informations pour cet utilisateur. Ce modèle limite l’accès aux données sur les serveurs principaux uniquement à ceux qui présentent des informations d’identification avec les jetons de contrôle d’accès corrects. En outre, il permet de réaliser des audits d'accès à ces ressources back-end. En exigeant que toutes les données soient accessibles au moyen d'informations d'identification déléguées au serveur pour être utilisées au nom du client, vous vous assurez que le serveur ne peut pas être compromis et que vous pouvez accéder à des informations sensibles stockées sur d'autres serveurs. L'authentification déléguée est utile pour les applications multi-niveaux qui sont conçues pour utiliser des fonctionnalités d'authentification unique sur plusieurs ordinateurs.

Authentification dans les relations d’approbation entre domaines

La plupart des organisations qui ont plusieurs domaines ont un besoin légitime pour les utilisateurs d’accéder aux ressources partagées situées dans un autre domaine, tout comme le voyageur est autorisé à voyager dans différentes régions du pays. Le contrôle de cet accès nécessite que les utilisateurs d’un domaine puissent également être authentifiés et autorisés à utiliser des ressources dans un autre domaine. Pour fournir des capacités d'authentification et d'autorisation entre des clients et des serveurs dans des domaines différents, il doit y avoir une approbation entre les deux domaines. Les approbations sont la technologie sous-jacente par laquelle les communications Active Directory sécurisées se produisent et constituent un composant de sécurité intégral de l’architecture réseau Windows Server.

Lorsqu’une approbation existe entre deux domaines, les mécanismes d’authentification pour chaque domaine approuvent les authentifications provenant de l’autre domaine. Les approbations permettent de contrôler l'accès aux ressources partagées dans un domaine de ressources (le domaine approbateur) en vérifiant que les demandes d'authentification entrantes proviennent d'une autorité de confiance (le domaine approuvé). De cette façon, les approbations agissent comme des ponts qui permettent uniquement aux demandes d’authentification validées de se déplacer entre les domaines.

La façon dont une approbation passe les demandes d’authentification dépend de la façon dont elle est configurée. Les relations d’approbation peuvent être unidirectionnelles, en fournissant l’accès à partir du domaine approuvé aux ressources du domaine d’approbation, ou bidirectionnelle, en fournissant l’accès de chaque domaine aux ressources de l’autre domaine. Les approbations sont également soit non-transitives, auquel cas l'approbation n'existe qu'entre les deux domaines des partenaires de l'approbation, soit transitives, auquel cas l'approbation s'étend automatiquement à tous les autres domaines auxquels l'un ou l'autre des partenaires accorde son approbation.

Pour plus d’informations sur le fonctionnement d’une approbation, consultez l’article Fonctionnement des approbations de domaine et de forêt.

Transition de protocole

La transition de protocole aide les concepteurs d'applications en leur permettant de prendre en charge différents mécanismes d'authentification au niveau de l'authentification de l'utilisateur et en passant au protocole Kerberos pour les fonctions de sécurité, telles que l'authentification mutuelle et la délégation contrainte, dans les niveaux d'application suivants.

Pour plus d’informations sur la transition de protocole, consultez l’article Transition du protocole Kerberos et délégation contrainte.

Délégation contrainte

La délégation contrainte permet aux administrateurs de spécifier et de faire respecter les limites de confiance des applications en limitant le champ d'action des services d'application au nom d'un utilisateur. Vous pouvez spécifier des services particuliers à partir desquels un ordinateur approuvé pour la délégation peut demander des ressources. La flexibilité de limiter les droits d’autorisation pour les services permet d’améliorer la conception de la sécurité des applications en réduisant les opportunités de compromission par les services non approuvés.

Pour plus d'informations sur la délégation contrainte, consultez l’article Vue d'ensemble de la délégation contrainte de Kerberos.

Références supplémentaires

Vue d'ensemble technique de la connexion et de l'authentification Windows