Configuration de l’authentification par formulaires intranet pour les appareils qui ne prennent pas en charge l’authentification intégrée Windows (WIA)
Par défaut, l’authentification intégrée Windows (WIA) est activée dans les services de fédération Active Directory (AD FS) dans Windows Server pour les demandes d’authentification au sein du réseau interne (intranet) de l’organisation associées à toute application qui utilise un navigateur à des fins d’authentification. Par exemple, les applications peuvent être sur navigateur et utiliser des protocoles WS-Federation ou SAML, et peuvent être riches et utiliser le protocole OAuth. Grâce à WIA, les utilisateurs finaux peuvent facilement ouvrir une session dans les applications, et ce, sans devoir manuellement entrer leurs informations d’identification. Toutefois, certains appareils et navigateurs ne prennent pas en charge WIA, entraînant l’échec des demandes d’authentification de ces appareils. De plus, l’expérience sur certains navigateurs qui négocient avec NTLM n’est pas souhaitable. Pour ces appareils et navigateurs, il est recommandé d’avoir recours à une solution de secours, à savoir l’authentification par formulaires.
Le service AD FS dans Windows Server 2016 et Windows Server 2012 R2 permet aux administrateurs de configurer la liste des agents utilisateur qui prennent en charge l’authentification de secours par formulaires. Deux configurations sont possibles pour cette solution de secours :
- Propriété WIASupportedUserAgentStrings de l’applet de commande
Set-ADFSProperties - Propriété WindowsIntegratedFallbackEnabled de l’applet de commande
Set-AdfsGlobalAuthenticationPolicy
La propriété WIASupportedUserAgentStrings définit les agents utilisateurs qui prennent en charge WIA. Le service AD FS analyse la chaîne d’agent utilisateur lors des connexions dans un navigateur ou d’un contrôle de navigateur. Si le composant de la chaîne d’agent utilisateur ne correspond à aucun des composants des chaînes d’agent utilisateur configurées dans la propriété WIASupportedUserAgentStrings, le service AD FS a recours à l’authentification de secours par formulaires, à condition que l’indicateur WindowsIntegratedFallbackEnabled soit défini sur Vrai.
Une nouvelle installation AD FS comprend par défaut un jeu de correspondances de chaînes d’agent utilisateur créées. Toutefois, ceux-ci peuvent être obsolètes en fonction des modifications apportées aux navigateurs et aux appareils. En particulier, les appareils Windows ont des chaînes d’agent utilisateur similaires avec des variations mineures dans les jetons. L’exemple Windows PowerShell suivant présente les meilleurs conseils applicables à l’ensemble des appareils sur le marché actuel, qui prennent en charge une authentification WIA facile :
Set-AdfsProperties -WIASupportedUserAgents @("MSIE 6.0", "MSIE 7.0; Windows NT", "MSIE 8.0", "MSIE 9.0", "MSIE 10.0; Windows NT 6", "Windows NT 6.3; Trident/7.0", "Windows NT 6.3; Win64; x64; Trident/7.0", "Windows NT 6.3; WOW64; Trident/7.0", "Windows NT 6.2; Trident/7.0", "Windows NT 6.2; Win64; x64; Trident/7.0", "Windows NT 6.2; WOW64; Trident/7.0", "Windows NT 6.1; Trident/7.0", "Windows NT 6.1; Win64; x64; Trident/7.0", "Windows NT 6.1; WOW64; Trident/7.0", "MSIPC", "Windows Rights Management Client")
La commande ci-dessus garantit que le service AD FS englobe uniquement les cas d’utilisation suivants pour l’authentification WIA :
| Agents utilisateurs | Cas d'utilisation |
|---|---|
| MSIE 6.0 | IE 6.0 |
| MSIE 7.0 ; Windows NT | IE 7, IE dans la zone intranet. Le fragment « Windows NT » est envoyé par le système d’exploitation de bureau. |
| MSIE 8.0 | IE 8.0 (aucun appareil ne l’envoie, il est donc nécessaire de rendre plus spécifique) |
| MSIE 9.0 | IE 9.0 (aucun appareil ne l’envoie, il n’est donc pas nécessaire de le rendre plus spécifique) |
| MSIE 10.0 ; Windows NT 6 | IE 10.0 pour Windows XP et les versions plus récentes du système d’exploitation de bureau pour les appareils Windows Phone 8.0 (avec préférence définie sur mobile) sont exclus, car ils envoientUser-Agent : Mozilla/5.0 (compatible ; MSIE 10.0 ; Windows Phone 8.0 ; Trident/6.0 ; IEMobile/10.0 ; ARM ; Toucher ; NOKIA ; Lumia 920) |
| Windows NT 6.3 ; Trident/7.0Windows NT 6.3 ; Win64 ; x64; Trident/7.0Windows NT 6.3 ; WOW64 ; Trident/7.0 | système d’exploitation de bureau Windows 8.1, différentes plateformes |
| Windows NT 6.2 ; Trident/7.0Windows NT 6.2 ; Win64 ; x64; Trident/7.0Windows NT 6.2 ; WOW64 ; Trident/7.0 | système d’exploitation de bureau Windows 8, différentes plateformes |
| Windows NT 6.1 ; Trident/7.0Windows NT 6.1 ; Win64 ; x64; Trident/7.0Windows NT 6.1 ; WOW64 ; Trident/7.0 | Système d’exploitation de bureau Windows 7, différentes plateformes |
| MSIPC | Protection des données Microsoft et client de contrôle |
| Client de gestion des droits Windows | Client de gestion des droits Windows |
Pour activer l’authentification de secours par formulaires pour les agents utilisateur autres que ceux mentionnés dans la chaîne WIASupportedUserAgents, définissez l’indicateur WindowsIntegratedFallbackEnabled sur Vrai.
Set-AdfsGlobalAuthenticationPolicy -WindowsIntegratedFallbackEnabled $true
Assurez-vous également que l’authentification par formulaires est activée pour l’intranet.
Configuration de WIA pour Chrome
Vous pouvez ajouter des agents utilisateur Chrome ou d’autres agents utilisateur à la configuration AD FS qui prend en charge l’authentification WIA. Cela vous permet de facilement ouvrir une session dans les applications sans devoir manuellement entrer les informations d’identification lorsque vous accédez à des ressources protégées par le service AD FS. Suivez les étapes ci-dessous pour activer WIA sur Chrome :
Dans la configuration AD FS, ajoutez une chaîne d’agent utilisateur pour Chrome sur les plateformes Windows :
Set-AdfsProperties -WIASupportedUserAgents (Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents) + "Mozilla/5.0 (Windows NT)"
De même, pour Chrome sur Apple macOS, ajoutez la chaîne d’agent utilisateur suivante à la configuration AD FS :
Set-AdfsProperties -WIASupportedUserAgents (Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents) + "Mozilla/5.0 (Macintosh; Intel Mac OS X)"
Vérifiez que la chaîne d’agent utilisateur pour Chrome est définie dans les propriétés AD FS :
Get-AdfsProperties | Select -ExpandProperty WIASupportedUserAgents
Note
Lorsque de nouveaux navigateurs et appareils sont libérés, il est recommandé de rapprocher les fonctionnalités de ces agents utilisateur et de mettre à jour la configuration AD FS en conséquence, afin d’optimiser l’expérience d’authentification de l’utilisateur lors de l’utilisation de ces navigateurs et appareils. Plus précisément, il est recommandé de réévaluer le paramètre WIASupportedUserAgents dans AD FS lors de l’ajout d’un nouveau type d’appareil ou de navigateur à votre matrice de support pour WIA.