Partager via


Authentification Windows – Délégation contrainte Kerberos avec Microsoft Entra ID

Basée sur les noms principaux de service, la délégation Kerberos contrainte (KCD, Kerberos Constrained Delegation) assure la délégation restreinte entre les ressources. Les administrateurs de domaine doivent créer les délégations et se limiter à un seul domaine. Vous pouvez utiliser la délégation KCD basée sur les ressources pour fournir l’authentification Kerberos à une application web dont les utilisateurs se trouvent dans plusieurs domaines au sein d’une forêt Active Directory.

Le proxy d'application Microsoft Entra peut fournir une authentification unique (SSO) et un accès à distance aux applications basées sur KCD qui nécessitent un ticket Kerberos pour l'accès et une délégation Kerberos contrainte (KCD).

Pour activer l’authentification unique sur vos applications KCD locales qui utilisent l’authentification Windows intégrée (IWA), accordez aux connecteurs de réseau privé l’autorisation d’emprunter l’identité d’utilisateurs dans Active Directory. Le connecteur de réseau privé utilise cette autorisation pour envoyer et recevoir des jetons pour le compte de l’utilisateur.

Quand utiliser KCD

Utilisez KCD lorsqu’il faut fournir un accès à distance, protéger à l’aide de l’authentification préalable et doter les applications IWA locales d’une authentification unique.

Diagramme de l’architecture

Composants du système

  • Utilisateur : Accède à l’application héritée que Proxy d'application sert.
  • Navigateur web  : Composant avec lequel l’utilisateur interagit pour accéder à l’URL externe de l’application.
  • Microsoft Entra ID : authentifie l’utilisateur.
  • Service Proxy d’application : Agit comme un proxy inversé pour envoyer les demandes, de l’utilisateur à l’application locale. Il se trouve dans Microsoft Entra ID. Le service Proxy d’application peut appliquer des stratégies d’accès conditionnel.
  • Connecteur de réseau privé : installé sur Windows, sur des serveurs locaux pour fournir une connectivité à l’application. Renvoie la réponse à Microsoft Entra ID. Effectue une négociation KCD avec Active Directory, en usurpant l’identité de l’utilisateur pour obtenir un jeton Kerberos pour l’application.
  • Active Directory : envoie le jeton Kerberos de l’application au connecteur de réseau privé.
  • Applications héritées : Applications qui reçoivent les requêtes des utilisateurs du proxy d’application. Les applications héritées renvoient la réponse au connecteur de réseau privé.

Implémenter l'Authentification Windows (KCD) avec Microsoft Entra ID

Explorez les ressources suivantes pour en savoir plus sur la mise en œuvre de l'Authentification Windows (KCD) avec Microsoft Entra ID.

Étapes suivantes