Configurer les fournisseurs d’authentification tiers comme authentification principale dans AD FS 2019

Les organisations rencontrent des attaques qui tentent de forcer, de compromettre ou de verrouiller les comptes d’utilisateur en envoyant des demandes d’authentification basées sur un mot de passe. Pour protéger les organisations contre la compromission, AD FS a introduit des fonctionnalités telles que le verrouillage « intelligent » extranet et le blocage basé sur l’adresse IP.

Toutefois, ces atténuations sont réactives. Pour fournir une méthode proactive, pour réduire la gravité de ces attaques, AD FS peut demander des facteurs non-mot de passe avant de collecter le mot de passe.

Par exemple, AD FS 2016 a introduit Azure MFA comme authentification principale afin que les codes OTP de l’application Authenticator puissent être utilisés comme premier facteur. Pour ce faire, avec AD FS 2019, vous pouvez configurer des fournisseurs d’authentification externes comme facteurs d’authentification principaux.

Il existe deux scénarios clés qui permettent :

Scénario 1 : protéger le mot de passe

Protégez la connexion basée sur un mot de passe contre les attaques par force brute et les verrous en invitant d’abord un facteur externe supplémentaire. Uniquement si l’authentification externe est correctement terminée, l’utilisateur voit une invite de mot de passe. Cela élimine une façon pratique pour les attaquants d’essayer de compromettre ou de désactiver les comptes.

Ce scénario se compose de deux composants :

  • Invite d’authentification multifacteur Azure (disponible dans AD FS 2016) ou un facteur d’authentification externe comme authentification primaire
  • Nom d’utilisateur et mot de passe en tant qu’authentification supplémentaire dans AD FS

Scénario 2 : sans mot de passe !

Éliminer entièrement les mots de passe, mais effectuer une authentification multifacteur forte à l’aide de méthodes entièrement non basées sur un mot de passe dans AD FS

  • Azure MFA avec application Authenticator
  • Windows 10 Hello Entreprise
  • Authentification par certificat
  • Fournisseur d’authentification externes

Concepts

L’authentification principale signifie vraiment qu’il s’agit de la méthode que l’utilisateur est invité d’abord, avant d’autres facteurs. Auparavant, les seules méthodes principales disponibles dans AD FS étaient intégrées aux méthodes pour Active Directory ou Azure MFA ou d’autres magasins d’authentification LDAP. Les méthodes externes peuvent être configurées en tant qu’authentification « supplémentaire », qui se produit une fois l’authentification primaire terminée.

Dans AD FS 2019, l’authentification externe en tant que fonctionnalité principale signifie que tous les fournisseurs d’authentification externes inscrits sur la batterie de serveurs AD FS (à l’aide de Register-AdfsAuthenticationProvider) deviennent disponibles pour l’authentification primaire ainsi que pour l’authentification « supplémentaire ». Elles peuvent être activées de la même façon que les fournisseurs intégrés tels que l’authentification par formulaire et l’authentification par certificat, pour l’intranet et/ou l’extranet.

authentication

Une fois qu’un fournisseur externe est activé pour extranet, intranet ou les deux, il devient disponible pour les utilisateurs à utiliser. Si plusieurs méthodes sont activées, les utilisateurs voient une page de choix et peuvent choisir une méthode primaire, comme ils le font pour une authentification supplémentaire.

Conditions préalables

Avant de configurer des fournisseurs d’authentification externes comme principaux, vérifiez que vous disposez des conditions préalables suivantes en place

  • Le niveau de comportement de la batterie de serveurs AD FS (FBL) a été élevé à « 4 » (cette valeur se traduit par AD FS 2019)
    • Il s’agit de la valeur FBL par défaut pour les nouvelles batteries de serveurs AD FS 2019
    • Pour les batteries de serveurs AD FS basées sur Windows Server 2012 R2 ou 2016, le FBL peut être déclenché à l’aide de l’applet de commande PowerShell Invoke-AdfsFarmBehaviorLevelRaise. Pour plus d’informations sur la mise à niveau d’une batterie de serveurs AD FS, consultez l’article sur la mise à niveau de la batterie de serveurs pour SQL batteries de serveurs ou les batteries WID
    • Vous pouvez vérifier la valeur FBL à l’aide de l’applet de commande Get-AdfsFarmInformation
  • La batterie de serveurs AD FS 2019 est configurée pour utiliser les nouvelles pages d’utilisateur « paginés » 2019
    • Il s’agit du comportement par défaut pour les nouvelles batteries de serveurs AD FS 2019
    • Pour les batteries de serveurs AD FS mises à niveau à partir de Windows Server 2012 R2 ou 2016, les flux paginés sont activés automatiquement lorsque l’authentification externe comme principal (la fonctionnalité décrite dans ce document) est activée comme décrit ci-dessous.

Activer les méthodes d’authentification externe en tant que principaux

Une fois que vous avez vérifié les prérequis, il existe deux façons de configurer des fournisseurs d’authentification supplémentaires AD FS en tant que fournisseurs d’authentification principaux :

Utilisation de PowerShell

PS C:\> Set-AdfsGlobalAuthenticationPolicy -AllowAdditionalAuthenticationAsPrimary $true

Le service AD FS doit être redémarré après l’activation ou la désactivation de l’authentification supplémentaire en tant que principal.

Utilisation de la console de gestion AD FS

Dans la console gestion AD FS, sous Méthodes d’authentification du>service, sous Méthodes d’authentification primaires, cliquez sur Modifier

Cliquez sur la case à cocher Autoriser les fournisseurs d’authentification supplémentaires en tant que fournisseurs principaux.

Le service AD FS doit être redémarré après l’activation ou la désactivation de l’authentification supplémentaire en tant que principal.

Activer le nom d’utilisateur et le mot de passe en tant qu’authentification supplémentaire

Pour terminer le scénario « protéger le mot de passe », activez le nom d’utilisateur et le mot de passe comme authentification supplémentaire à l’aide de PowerShell ou de la console de gestion AD FS

Utilisation de PowerShell

PS C:\> $providers = (Get-AdfsGlobalAuthenticationPolicy).AdditionalAuthenticationProvider

PS C:\>$providers = $providers + "FormsAuthentication"

PS C:\>Set-AdfsGlobalAuthenticationPolicy -AdditionalAuthenticationProvider $providers

Utilisation de la console de gestion AD FS

Dans la console gestion AD FS, sous Méthodes d’authentification du> service, sous Méthodes d’authentification supplémentaires, cliquez sur Modifier

Cliquez sur la case à cocher pour l’authentification par formulaire pour activer le nom d’utilisateur et le mot de passe en tant qu’authentification supplémentaire.