Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
L'authentification unique permet aux utilisateurs de s’authentifier une fois et d’accéder à plusieurs ressources sans être invités à saisir d’autres informations d’identification. Cet article décrit le comportement AD FS par défaut pour l’authentification unique et les paramètres de configuration qui vous permettent de personnaliser ce comportement.
Types d’authentification unique pris en charge
AD FS prend en charge plusieurs types d’expériences d’authentification unique :
Session de l'authentification unique
L’authentification unique de session supprime les demandes supplémentaires lorsque l’utilisateur change d’applications lors d’une session spécifique. Si une session particulière se termine, l’utilisateur sera invité à saisir ses informations d’identification à nouveau. Les cookies de session SSO sont écrits pour l'utilisateur authentifié.
AD FS définit les cookies d’authentification unique de session par défaut si les appareils des utilisateurs ne sont pas inscrits. Si la session du navigateur se termine et est redémarrée, ce cookie de session est supprimé et n’est plus valide.
Authentification unique persistante
L’authentification unique élimine les invites supplémentaires lorsque l’utilisateur change d’application tant que le cookie d’authentification unique permanente est valide. Les cookies de connexion SSO persistants sont écrits pour l’utilisateur authentifié. La différence entre l’authentification unique persistante et l’authentification unique de session repose sur le fait que l’authentification unique permanente peut être conservée entre différentes sessions.
AD FS définira les cookies d’authentification unique persistante si l’appareil est inscrit. AD FS définira également un cookie d’authentification unique persistante si un utilisateur sélectionne l’option « Maintenir la connexion ». Si le cookie d’authentification unique persistant n’est plus valide, il est rejeté et supprimé.
Authentification unique spécifique de l’application
Dans le scénario OAuth, un jeton d’actualisation est utilisé pour maintenir l’état de l’authentification unique de l’utilisateur dans l’étendue d’une application particulière.
AD FS définit la durée d’expiration d’un jeton d’actualisation en fonction de la durée de vie du cookie d’authentification unique persistant pour un appareil inscrit. Par défaut, la durée de vie des cookies est de sept jours pour AD FS sur Windows Server 2012 R2. La durée de vie maximale des cookies par défaut pour AD FS sur Windows Server 2016 est de 90 jours si l’appareil est utilisé pour accéder aux ressources AD FS dans une fenêtre de 14 jours.
Si l’appareil n’est pas inscrit, mais qu’un utilisateur sélectionne l’option « Maintenir la connexion », la durée d’expiration du jeton d’actualisation est égale à la durée de vie des cookies d’authentification unique persistante pour « Maintenir la connexion ». La durée de vie des cookies d’authentification unique persistante est d’un jour par défaut, avec un maximum de sept jours. Sinon, la durée de vie du jeton d’actualisation est égale à la durée de vie du cookie d’authentification unique de session (8 heures par défaut).
Les utilisateurs sur les appareils inscrits obtiennent toujours une authentification unique persistante, sauf si l’authentification unique persistante est désactivée. Pour les appareils non inscrits, l’authentification unique persistante peut être obtenue en activant la fonctionnalité « Maintenir la connexion ».
Pour Windows Server 2012 R2, pour activer l’authentification unique pour le scénario « Maintenir la connexion », vous devez installer ce correctif logiciel qui fait également partie du correctif cumulatif d’août 2014 pour Windows RT 8.1, Windows 8.1 et Windows Server 2012 R2.
| Tâche | PowerShell | Description |
|---|---|---|
| Activer/désactiver l’authentification unique persistante | Set-AdfsProperties –EnablePersistentSso <Boolean> |
L’authentification unique persistante est activée par défaut. S’il est désactivé, aucun cookie d’authentification unique persistante n’est créé. |
| Activer/désactiver « Me garder connecté » | Set-AdfsProperties –EnableKmsi <Boolean> |
La fonctionnalité « Maintenir la connexion » est désactivée par défaut. S’il est activé, l’utilisateur final verra l’option « Rester connecté » sur la page de connexion AD FS |
AD FS 2016 : Authentification unique et appareils authentifiés
AD FS 2016 modifie le PSSO (authentification unique persistante) lorsque le demandeur s'authentifie à partir d'un appareil enregistré, prolongeant ainsi la durée maximale à 90 jours, mais nécessitant une authentification dans une période de 14 jours (fenêtre d'utilisation de l'appareil). Après avoir fourni des informations d’identification pour la première fois, par défaut, les utilisateurs disposant d’appareils inscrits obtiennent des authentifications uniques pendant une période maximale de 90 jours, à condition qu’ils utilisent l’appareil pour accéder aux ressources AD FS au moins une fois tous les 14 jours. Au bout de 15 jours, les utilisateurs seront invités à entrer de nouveau leur identifiants.
L’authentification unique persistante est activée par défaut. S’il est désactivé, aucun cookie d’authentification unique persistante n’est créé.|
Set-AdfsProperties –EnablePersistentSso <Boolean\>
La fenêtre d’utilisation de l’appareil (14 jours par défaut) est régie par la propriété AD FS DeviceUsageWindowInDays.
Set-AdfsProperties -DeviceUsageWindowInDays
La période maximale d’authentification unique (90 jours par défaut) est régie par la propriété AD FS PersistentSsoLifetimeMins.
Set-AdfsProperties -PersistentSsoLifetimeMins
Maintenir la connexion pour les appareils non authentifiés
Pour les appareils non inscrits, la période d’authentification unique est déterminée par les paramètres de la fonctionnalité Maintenir ma connexion. La fonctionnalité KMSI est désactivée par défaut et peut être activée en définissant la propriété AD FS KmsiEnabled sur True.
Set-AdfsProperties -EnableKmsi $true
Avec KMSI désactivé, la période par défaut de l'authentification unique est de 8 heures. La période d’authentification unique peut être configurée à l’aide de la propriété SsoLifetime. La propriété est mesurée en minutes, de sorte que sa valeur par défaut est 480.
Set-AdfsProperties –SsoLifetime <Int32\>
Avec KMSI activé, la période d’authentification unique par défaut est de 24 heures. La période d’authentification unique avec KMSI activé peut être configurée à l’aide de la propriété KmsiLifetimeMins. La propriété est mesurée en minutes, de sorte que sa valeur par défaut est 1440.
Set-AdfsProperties –KmsiLifetimeMins <Int32\>
Comportement de l’authentification multifacteur
AD FS fournit des périodes relativement longues d’authentification unique. Il est important de noter qu’AD FS demandera davantage d’authentification (authentification multifacteur) lorsqu’une authentification précédente est basée sur les informations d’identification principales (et non sur l’authentification multifacteur), mais que l’authentification actuelle nécessite l’authentification multifacteur. Ce comportement est indépendant de la configuration SSO. Quand AD FS reçoit une demande d’authentification, il détermine d’abord s’il existe ou non un contexte d’authentification unique (tel qu’un cookie), puis si l’authentification multifacteur est requise. Par exemple, l’authentification multifacteur est requise lorsque la demande d’authentification provient de l’extérieur. Dans ce cas, AD FS évalue si le contexte de SSO contient ou non l’authentification multifacteur (MFA). Si ce n’est pas le cas, l’authentification multifacteur apparaît.
Révocation de l’authentification unique persistante
Pour protéger la sécurité, AD FS rejette tout cookie d’authentification unique persistante précédemment émis lorsque les conditions suivantes sont remplies :
L’utilisateur change le mot de passe
Le paramètre d’authentification unique permanente est désactivé dans AD FS
L’appareil est désactivé par l’administrateur dans un cas perdu ou volé
AD FS reçoit un cookie d’authentification unique persistante émis pour un utilisateur inscrit, mais l’utilisateur ou l’appareil n’est plus inscrit
AD FS reçoit un cookie SSO persistant pour un utilisateur enregistré, mais l'utilisateur s'est réinscrit.
AD FS reçoit un cookie d’authentification unique persistante qui est émis à la suite de l’option « Maintenir la connexion », mais le paramètre « Maintenir la connexion » est désactivé dans AD FS
AD FS reçoit un cookie d’authentification unique persistante émis pour un utilisateur inscrit, mais le certificat d’appareil est manquant ou modifié lors de l’authentification
L’administrateur AD FS a défini un délai d’interruption pour l’authentification unique persistante. Avec un délai configuré, AD FS rejette tout cookie d’authentification unique persistante émis avant ce moment-là
Le rejet d’un cookie d’authentification unique persistant exige que l’utilisateur fournisse ses informations d’identification afin de s’authentifier à nouveau auprès d’AD FS.
Pour définir le délai d’interruption, exécutez l’applet de commande PowerShell suivante :
Set-AdfsProperties -PersistentSsoCutoffTime <DateTime>
Activer PSSO pour permettre aux utilisateurs d'Office 365 d'accéder à SharePoint Online.
Une fois l’authentification unique activée et configurée, AD FS crée un cookie persistant immédiatement après l’authentification de l’utilisateur. L’authentification unique évite d’avoir à se réauthentifier dans les sessions suivantes, tant que le cookie est toujours valide.
Les utilisateurs peuvent également éviter les invites d’authentification supplémentaires pour Office 365 et SharePoint Online. Configurez les deux règles de revendication suivantes dans AD FS pour déclencher la persistance dans Microsoft Entra ID et SharePoint Online. Pour activer le PSSO pour les utilisateurs d'Office 365 afin qu'ils puissent accéder à SharePoint en ligne, installez ce correctif logiciel. Il fait partie du correctif cumulatif d’août 2014 pour Windows RT 8.1, Windows 8.1 et Windows Server 2012 R2.
Une règle de transformation d’émission pour passer la revendication InsideCorporateNetwork
@RuleTemplate = "PassThroughClaims"
@RuleName = "Pass through claim - InsideCorporateNetwork"
c:[Type == "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"]
=> issue(claim = c);
A custom Issuance Transform rule to pass through the persistent SSO claim
@RuleName = "Pass Through Claim - Psso"
c:[Type == "https://schemas.microsoft.com/2014/03/psso"]
=> issue(claim = c);
Pour résumer :
| Expérience d’authentification unique | ADFS 2012 R2 L’appareil est-il inscrit ? |
ADFS 2016 L’appareil est-il inscrit ? |
|---|---|---|
| Non Non, mais KMSI Oui | Non Non, mais KMSI Oui | |
| Authentification unique=>obtenir un jeton d’actualisation=> | 8 heures n/a n/a | 8 heures n/a n/a |
| Authentification unique persistante=>obtenir un jeton d’actualisation=> | n/a 24 heures 7 jours | n/a 24 heures Max 90 jours avec une fenêtre de 14 jours |
| Durée de vie des jetons | 1 heure 1 heure 1 heure | 1 heure 1 heure 1 heure |
Appareil inscrit ? Vous obtenez PSSO (authentification unique persistente).
Appareil non inscrit ? Vous obtenez l’authentification unique.
Appareil non inscrit, mais option Maintenir la connexion ? Vous obtenez une authentification unique persistante.
SI :
- [x] L’administrateur a activé la fonctionnalité KMSI [ET]
- [x] L’utilisateur coche la case KMSI sur la page de connexion des formulaires
AD FS émet un nouveau jeton d’actualisation uniquement si la validité du jeton d’actualisation plus récent est plus longue que le jeton précédent. La durée de vie maximale d’un jeton est de 84 jours, mais AD FS conserve le jeton valide sur une fenêtre glissante de 14 jours. Si le jeton d’actualisation est valide pendant 8 heures, qui est l’heure régulière de l’authentification unique, un nouveau jeton d’actualisation n’est pas émis.
Bon à savoir :
Les utilisateurs fédérés qui n’ont pas l’attribut LastPasswordChangeTimestamp synchronisé reçoivent des cookies de session et des jetons d’actualisation qui ont une valeur d’âge maximal de 12 heures.
Les cookies de session et les jetons d'actualisation avec une valeur d'âge maximale sont émis parce que Microsoft Entra ID ne peut pas déterminer quand révoquer les jetons liés à d'anciens identifiants. Ce comportement peut être dû à un mot de passe qui a été modifié, par exemple. Microsoft Entra ID doit vérifier plus fréquemment pour vous assurer que l'utilisateur et les jetons associés sont toujours valides.