Partager via

Authentification composée et revendications AD DS dans AD FS

Windows Server 2012 améliore l’authentification Kerberos en introduisant l’authentification composée. L’authentification composée permet à une demande Kerberos Ticket-Granting Service (TGS) d’inclure deux identités :

  • l’identité de l’utilisateur
  • identité de l’appareil de l’utilisateur.

Windows effectue une authentification composée en étendant le tunneling sécurisé d’authentification flexible Kerberos (FAST) ou le blindage Kerberos.

AD FS 2012 et versions ultérieures autorise la consommation des revendications d’utilisateur ou d’appareil AD DS émises qui résident dans un ticket d’authentification Kerberos. Dans les versions précédentes d’AD FS, le moteur de revendications ne pouvait lire que les ID de sécurité des utilisateurs et des groupes à partir de Kerberos, mais n’était pas en mesure de lire les informations de revendications contenues dans un ticket Kerberos.

Vous pouvez activer un contrôle d'accès plus sophistiqué pour les applications fédérées en utilisant simultanément les revendications d'utilisateur et d'appareil émises par les Services de domaine Active Directory (AD DS), conjointement avec les services de fédération Active Directory (AD FS).

Spécifications

  1. Les ordinateurs accédant aux applications fédérées doivent s’authentifier auprès d’AD FS à l’aide de l’authentification intégrée Windows.

    • L’authentification intégrée Windows est disponible uniquement lors de la connexion aux serveurs AD FS principaux.
    • Les ordinateurs doivent pouvoir atteindre les serveurs AD FS principaux pour le nom du service de fédération
    • Les serveurs AD FS doivent offrir l’authentification intégrée Windows comme méthode d’authentification principale dans ses paramètres Intranet.

  2. La prise en charge du client Kerberos de stratégie pour l’authentification composée des revendications et pour le blindage Kerberos doit être appliquée à tous les ordinateurs accédant aux applications fédérées protégées par l’authentification composée. Cela s’applique dans le cas de scénarios de forêt unique ou de forêts croisées.

  3. Le domaine hébergeant les serveurs AD FS doit avoir la prise en charge du KDC pour l’authentification composée de revendications et le paramètre de stratégie de blindage Kerberos appliqués aux contrôleurs de domaine.

Étapes de configuration d’AD FS dans Windows Server 2012 R2

Utilisez les étapes suivantes pour configurer l’authentification composée et les revendications

Étape 1 : Activer la prise en charge du KDC pour les revendications, l’authentification composée et le blindage Kerberos sur la stratégie par défaut des contrôleurs de domaine

  1. Dans le Gestionnaire de serveur, sélectionnez Outils, Gestion des stratégies de groupe.
  2. Accédez à la stratégie de contrôleur de domaine par défaut, cliquez avec le bouton droit et sélectionnez Modifier. Capture d’écran montrant la page Stratégie de domaine par défaut dans la boîte de dialogue Gestion des stratégies de groupe.
  3. Dans l’Éditeur de gestion des stratégies de groupe, sous Configuration ordinateur, développez Stratégies, développez Modèles d’administration, développez Système, puis sélectionnez KDC.
  4. Dans le volet droit, double-cliquez sur Prise en charge du KDC des revendications, de l’authentification composée et du blindage Kerberos. Capture d’écran de l’Éditeur de gestion des stratégies de groupe montrant la prise en charge de KDC pour les revendications, l’authentification composée et le paramètre de blindage Kerberos mis en évidence.
  5. Dans la nouvelle boîte de dialogue, définissez la prise en charge du KDC pour les revendications sur Activé.
  6. Sous Options, sélectionnez Prise en charge dans le menu déroulant, puis cliquez sur Appliquer et OK. Capture d’écran de la boîte de dialogue Prise en charge du KDC pour les revendications, l’authentification composée et le blindage Kerberos montrant l’option Prise en charge sélectionnée.

Étape 2 : Activer la prise en charge du client Kerberos pour les revendications, l’authentification composée et le blindage Kerberos sur les ordinateurs accédant aux applications fédérées

  1. Sur une stratégie de groupe appliquée aux ordinateurs accédant aux applications fédérées, dans l’éditeur de gestion des stratégies de groupe, sous Configuration de l’ordinateur, développez Stratégies, développez Modèles d’administration, développez Système, puis sélectionnez Kerberos.
  2. Dans le volet droit de la fenêtre Éditeur de gestion des stratégies de groupe, double-cliquez sur Prise en charge du client Kerberos pour les revendications, l’authentification composée et le blindage Kerberos.
  3. Dans la nouvelle fenêtre de boîte de dialogue, définissez la prise en charge du client Kerberos sur Activé, puis cliquez sur Appliquer et OK. Capture d’écran de la prise en charge du KDC pour les revendications, l’authentification composée et la boîte de dialogue de blindage Kerberos montrant l’option Activé sélectionnée.
  4. Fermez l’éditeur de gestion des stratégies de groupe.

Étape 3 : Vérifiez que les serveurs AD FS ont été mis à jour.

Vous devez vous assurer que les mises à jour suivantes sont installées sur vos serveurs AD FS.

Mise à jour Descriptif
KB2919355 Mise à jour de sécurité cumulative (inclut KB2919355,KB2932046,KB2934018,KB2937592,KB2938439)
KB2959977 Mise à jour pour Server 2012 R2
Correctif 3052122 Cette mise à jour ajoute la prise en charge des revendications d’ID composés dans Services ADFS.

Étape 4 : Configurer le fournisseur d’authentification principal

  1. Définissez le fournisseur d’authentification principal sur l’authentification Windows pour les paramètres intranet AD FS.

  2. Dans Gestion AD FS, sous Stratégies d’authentification, sélectionnez Authentification principale , puis, sous Paramètres globaux , cliquez sur Modifier.

  3. Dans Modifier la stratégie d’authentification globale sous Intranet , sélectionnez Authentification Windows.

  4. Cliquez sur Appliquer et OK.

    Capture d’écran de la boîte de dialogue Modifier la stratégie d’authentification globale montrant l’option d’authentification Windows sélectionnée.

  5. À l’aide de PowerShell, vous pouvez utiliser l’applet de commande Set-AdfsGlobalAuthenticationPolicy .

Set-AdfsGlobalAuthenticationPolicy -PrimaryIntranetAuthenticationProvider 'WindowsAuthentication'

Remarque

Dans une batterie de serveurs WID, la commande PowerShell doit être exécutée sur le serveur AD FS principal. Dans une batterie de serveurs SQL, la commande PowerShell peut être exécutée sur n’importe quel serveur AD FS membre de la batterie de serveurs.

Étape 5 : Ajouter la description de la revendication à AD FS

  1. Ajoutez la description de revendication suivante à la batterie de serveurs. Cette description de revendication n’est pas présente par défaut dans AD FS 2012 R2 et doit être ajoutée manuellement.

  2. Dans Gestion AD FS, sous Service, cliquez avec le bouton droit sur Description de la revendication, puis sélectionnez Ajouter une description de revendication

  3. Entrez les informations suivantes dans la description de la revendication

    • Nom d'affichage : « Groupe d’appareils Windows »
    • Description de la revendication : '<https://schemas.microsoft.com/ws/2008/06/identity/claims/windowsdevicegroup>' `

  4. Cochez les deux cases.

  5. Cliquez sur OK.

    Capture d’écran de la boîte de dialogue Ajouter une description de revendication.

  6. À l’aide de PowerShell, vous pouvez utiliser l’applet de commande Add-AdfsClaimDescription .

    Add-AdfsClaimDescription -Name 'Windows device group' -ClaimType 'https://schemas.microsoft.com/ws/2008/06/identity/claims/windowsdevicegroup' `
-ShortName 'windowsdevicegroup' -IsAccepted $true -IsOffered $true -IsRequired $false -Notes 'The windows group SID of the device'

Remarque

Dans une batterie de serveurs WID, la commande PowerShell doit être exécutée sur le serveur AD FS principal. Dans une batterie de serveurs SQL, la commande PowerShell peut être exécutée sur n’importe quel serveur AD FS membre de la batterie de serveurs.

Étape 6 : Activer le bit d’authentification composée sur l’attribut msDS-SupportedEncryptionTypes

  1. Activez le bit d’authentification composé sur l’attribut msDS-SupportedEncryptionTypes du compte que vous avez désigné pour exécuter le service AD FS, en utilisant l’applet de commande Set-ADServiceAccount dans PowerShell.

Remarque

Si vous modifiez le compte de service, vous devez activer manuellement l’authentification composée en exécutant les applets de commande Set-ADUser -compoundIdentitySupported :$true Windows PowerShell.

Set-ADServiceAccount -Identity “ADFS Service Account” -CompoundIdentitySupported:$true
  1. Redémarrez le service AD FS.

Remarque

Une fois que « CompoundIdentitySupported » a la valeur true, l’installation du même gMSA sur les nouveaux serveurs (2012R2/2016) échoue avec l’erreur suivante : Install-ADServiceAccount : Impossible d’installer le compte de service. Message d’erreur : « Le contexte fourni ne correspondait pas à la cible. »

Solution : définissez temporairement CompoundIdentitySupported sur $false. Cette étape entraîne l’arrêt d’émission de revendications WindowsDeviceGroup par AD FS. Set-ADServiceAccount -Identity « Compte de service ADFS » -CompoundIdentitySupported $false Installez le gMSA sur le nouveau serveur, puis réactivez CompoundIdentitySupported à $True. La désactivation, puis la réactivation de CompoundIdentitySupported, ne nécessite pas le redémarrage du service AD FS.

Étape 7 : Mettre à jour l’approbation du fournisseur de revendications AD FS pour Active Directory

  1. Mettez à jour l’approbation du fournisseur de revendications AD FS pour Active Directory afin d’inclure la règle suivante de revendication « Pass-through » pour la revendication « WindowsDeviceGroup ».
  2. Dans Gestion AD FS, cliquez sur Approbations du fournisseur de revendications et, dans le volet droit, cliquez avec le bouton droit sur Active Directory et sélectionnez Modifier les règles de revendication.
  3. Dans la zone Modifier les règles de revendication pour le directeur actif , cliquez sur Ajouter une règle.
  4. Dans l'Assistant Ajout de règle de revendication de transformation, sélectionnez Transférer directement ou filtrer une revendication entrante, puis cliquez sur Suivant.
  5. Ajoutez un nom d’affichage et sélectionnez le groupe d’appareils Windows dans la liste déroulante type de revendication entrante .
  6. Cliquez sur Terminer. Cliquez sur Appliquer et OK. Capture d’écran des boîtes de dialogue AD FS, Modifier les règles de revendication pour Active Directory, et Modifier la règle - Groupe d’appareils Windows, avec des flèches et des légendes indiquant le flux de travail décrit ci-dessus.

Étape 8 : Sur la partie de confiance où les revendications « WindowsDeviceGroup » sont attendues, ajoutez une règle de revendication « Pass-through » ou « Transform » similaire.

  1. Dans Gestion AD FS, cliquez sur Approbations de partie de confiance et, dans le volet droit, cliquez avec le bouton droit sur votre RP et sélectionnez Modifier les règles de revendication.
  2. Dans les règles de transformation d’émission , cliquez sur Ajouter une règle.
  3. Dans l'Assistant Ajout de règle de revendication de transformation, sélectionnez Transférer directement ou filtrer une revendication entrante, puis cliquez sur Suivant.
  4. Ajoutez un nom d’affichage et sélectionnez le groupe d’appareils Windows dans la liste déroulante type de revendication entrante .
  5. Cliquez sur Terminer. Cliquez sur Appliquer et OK. Capture d’écran des boîtes de dialogue AD FS, Modifier les règles de revendication pour myclaims.fedhome.in et Modifier la règle - Windows Device Grp avec des flèches et des appels montrant le flux de travail décrit ci-dessus.

Étapes de configuration d’AD FS dans Windows Server 2016

Les étapes suivantes détaillent les étapes de configuration de l’authentification composée sur AD FS pour Windows Server 2016.

Étape 1 : Activer la prise en charge du KDC pour les revendications, l’authentification composée et le blindage Kerberos sur la stratégie par défaut des contrôleurs de domaine

  1. Dans le Gestionnaire de serveur, sélectionnez Outils, Gestion des stratégies de groupe.
  2. Accédez à la stratégie de contrôleur de domaine par défaut, cliquez avec le bouton droit et sélectionnez Modifier.
  3. Dans l’Éditeur de gestion des stratégies de groupe, sous Configuration ordinateur, développez Stratégies, développez Modèles d’administration, développez Système, puis sélectionnez KDC.
  4. Dans le volet droit, double-cliquez sur Prise en charge du KDC des revendications, de l’authentification composée et du blindage Kerberos.
  5. Dans la nouvelle boîte de dialogue, définissez la prise en charge du KDC pour les revendications sur Activé.
  6. Sous Options, sélectionnez Prise en charge dans le menu déroulant, puis cliquez sur Appliquer et OK.

Étape 2 : Activer la prise en charge du client Kerberos pour les revendications, l’authentification composée et le blindage Kerberos sur les ordinateurs accédant aux applications fédérées

  1. Sur une stratégie de groupe appliquée aux ordinateurs accédant aux applications fédérées, dans l’éditeur de gestion des stratégies de groupe, sous Configuration de l’ordinateur, développez Stratégies, développez Modèles d’administration, développez Système, puis sélectionnez Kerberos.
  2. Dans le volet droit de la fenêtre Éditeur de gestion des stratégies de groupe, double-cliquez sur Prise en charge du client Kerberos pour les revendications, l’authentification composée et le blindage Kerberos.
  3. Dans la nouvelle fenêtre de boîte de dialogue, définissez la prise en charge du client Kerberos sur Activé, puis cliquez sur Appliquer et OK.
  4. Fermez l’éditeur de gestion des stratégies de groupe.

Étape 3 : Configurer le fournisseur d’authentification principal

  1. Définissez le fournisseur d’authentification principal sur l’authentification Windows pour les paramètres intranet AD FS.
  2. Dans Gestion AD FS, sous Stratégies d’authentification, sélectionnez Authentification principale , puis, sous Paramètres globaux , cliquez sur Modifier.
  3. Dans Modifier la stratégie d’authentification globale sous Intranet , sélectionnez Authentification Windows.
  4. Cliquez sur Appliquer et OK.
  5. À l’aide de PowerShell, vous pouvez utiliser l’applet de commande Set-AdfsGlobalAuthenticationPolicy .
Set-AdfsGlobalAuthenticationPolicy -PrimaryIntranetAuthenticationProvider 'WindowsAuthentication'

Remarque

Dans une batterie de serveurs WID, la commande PowerShell doit être exécutée sur le serveur AD FS principal. Dans une batterie de serveurs SQL, la commande PowerShell peut être exécutée sur n’importe quel serveur AD FS membre de la batterie de serveurs.

Étape 4 : Activer le bit d’authentification composée sur l’attribut msDS-SupportedEncryptionTypes

  1. Activez le bit d’authentification composé sur l’attribut msDS-SupportedEncryptionTypes du compte que vous avez désigné pour exécuter le service AD FS, en utilisant l’applet de commande Set-ADServiceAccount dans PowerShell.

Remarque

Si vous modifiez le compte de service, vous devez activer manuellement l’authentification composée en exécutant les applets de commande Set-ADUser -compoundIdentitySupported :$true Windows PowerShell.

Set-ADServiceAccount -Identity “ADFS Service Account” -CompoundIdentitySupported:$true
  1. Redémarrez le service AD FS.

Remarque

Une fois que « CompoundIdentitySupported » a la valeur true, l’installation du même gMSA sur les nouveaux serveurs (2012R2/2016) échoue avec l’erreur suivante : Install-ADServiceAccount : Impossible d’installer le compte de service. Message d’erreur : « Le contexte fourni ne correspondait pas à la cible. »

Solution : définissez temporairement CompoundIdentitySupported sur $false. Cette étape entraîne l’arrêt d’émission de revendications WindowsDeviceGroup par AD FS. Set-ADServiceAccount -Identity « Compte de service ADFS » -CompoundIdentitySupported $false Installez le gMSA sur le nouveau serveur, puis réactivez CompoundIdentitySupported à $True. La désactivation, puis la réactivation de CompoundIdentitySupported, ne nécessite pas le redémarrage du service AD FS.

Étape 5 : Mettre à jour la confiance du fournisseur de déclarations AD FS pour Active Directory

  1. Mettez à jour l’approbation du fournisseur de revendications AD FS pour Active Directory afin d’inclure la règle suivante de revendication « Pass-through » pour la revendication « WindowsDeviceGroup ».
  2. Dans Gestion AD FS, cliquez sur Approbations du fournisseur de revendications et, dans le volet droit, cliquez avec le bouton droit sur Active Directory et sélectionnez Modifier les règles de revendication.
  3. Dans la zone Modifier les règles de revendication pour le directeur actif , cliquez sur Ajouter une règle.
  4. Dans l'Assistant Ajout de règle de revendication de transformation, sélectionnez Transférer directement ou filtrer une revendication entrante, puis cliquez sur Suivant.
  5. Ajoutez un nom d’affichage et sélectionnez le groupe d’appareils Windows dans la liste déroulante type de revendication entrante .
  6. Cliquez sur Terminer. Cliquez sur Appliquer et OK.

Étape 6 : Sur la partie de confiance où les revendications « WindowsDeviceGroup » sont attendues, ajoutez une règle de revendication « Pass-through » ou « Transform » similaire.

  1. Dans Gestion AD FS, cliquez sur Approbations de partie de confiance et, dans le volet droit, cliquez avec le bouton droit sur votre RP et sélectionnez Modifier les règles de revendication.
  2. Dans les règles de transformation d’émission , cliquez sur Ajouter une règle.
  3. Dans l'Assistant Ajout de règle de revendication de transformation, sélectionnez Transférer directement ou filtrer une revendication entrante, puis cliquez sur Suivant.
  4. Ajoutez un nom d’affichage et sélectionnez le groupe d’appareils Windows dans la liste déroulante type de revendication entrante .
  5. Cliquez sur Terminer. Cliquez sur Appliquer et OK.

Vérification

Pour valider la publication des revendications « WindowsDeviceGroup », créez une application de test prenant en charge les revendications à l’aide de .Net 4.6. Avec WIF SDK 4.0. Configurez l’application en tant que partie de confiance dans AD FS et mettez-la à jour avec la règle de revendication, comme indiqué dans les étapes ci-dessus. Lors de l’authentification auprès de l’application à l’aide du fournisseur d’authentification intégrée Windows d’AD FS, les revendications suivantes sont créées. Validation

Les revendications pour l’ordinateur ou pour l’appareil peuvent maintenant être consommées pour des contrôles d’accès plus riches.

Par exemple : La fonction AdditionalAuthenticationRules suivante indique à AD FS d’appeler l’authentification multifacteur si : l’utilisateur qui s’authentifie n’est pas membre du groupe de sécurité « S-1-5-21-2134745077-1211275016-3050530490-1117 » ET l’ordinateur (à partir duquel l’utilisateur s’authentifie) n’est pas membre du groupe de sécurité « S-1-5-21-2134745077-1211275016-3050530490-1115 (WindowsDeviceGroup) ».

Toutefois, si l’une des conditions ci-dessus est remplie, n’appelez pas l’authentification MFA.

'NOT EXISTS([Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/windowsdevicegroup", Value =~ "S-1-5-21-2134745077-1211275016-3050530490-1115"])
&& NOT EXISTS([Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value =~ "S-1-5-21-2134745077-1211275016-3050530490-1117"])
=> issue(Type = "https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", Value = "https://schemas.microsoft.com/claims/multipleauthn");'