Configurer la MFA pour ADFS

S'applique À : Authentification Multifacteur AuthPoint, AuthPoint Total Identity Security

Active Directory Federation Services (ADFS) est une solution single sign-on pour Active Directory qui permet aux utilisateurs de s'identifier à des systèmes et applications externes avec leurs informations d'identification Active Directory. Elle permet aux utilisateurs de ne s'identifier qu'une seule fois lorsqu'ils se connectent aux applications Web de leur organisation.

Avec l'agent ADFS AuthPoint, vous pouvez ajouter l'authentification multifacteur (MFA) à ADFS pour une sécurité supplémentaire. Pour ce faire, vous devez ajouter une ressource ADFS dans l'AuthPoint management UI et installer l'agent ADFS sur votre serveur ADFS.

Pour utiliser la MFA avec ADFS, vous devez disposer d'une AuthPoint Gateway principale installée sur votre serveur ADFS. Si vous n'avez pas encore installé AuthPoint Gateway, consultez À Propos des Gateways.

Pour que les utilisateurs d'Active Directory puissent utiliser la MFA AuthPoint avec ADFS, vous devez conserver la valeur par défaut sAMAccountName pour l'attribut lié à la connexion de l'utilisateur lorsque vous configurez votre identité externe.

Configurer une Ressource ADFS

Depuis l'AuthPoint management UI :

  1. Dans le menu de navigation d'AuthPoint, sélectionnez Ressources.

Screen shot of the Resources page.

  1. Cliquez sur Ajouter une Ressource.
    La page Ajouter une Ressource s'ouvre.

Screen shot of the Add Resource page.

  1. Dans la liste déroulante Type, sélectionnez ADFS.
  2. Dans la zone de texte Nom, tapez un nom décrivant la ressource.

Screen shot of the ADFS fields on the Add Resource page.

  1. Cliquez sur Enregistrer.
  2. Ajoutez la ressource ADFS à vos stratégies d'authentification existantes, ou ajoutez de nouvelles stratégies d'authentification pour la ressource ADFS. Les stratégies d'authentification spécifient les ressources auxquelles les utilisateurs peuvent s'authentifier et les méthodes d'authentification qu'ils peuvent utiliser. Pour plus d'informations, consultez À Propos des Stratégies d'Authentification AuthPoint.

Ajouter la Ressource ADFS à Votre Configuration de Gateway

Pour utiliser la MFA avec ADFS, vous devez avoir installé la AuthPoint Gateway et vous devez associer votre ressource ADFS à AuthPoint Gateway. AuthPoint Gateway est le point de communication entre AuthPoint et votre serveur ADFS.

Si vous n'avez pas encore installé AuthPoint Gateway, consultez À Propos des Gateways.

Pour ajouter votre ressource ADFS à la configuration de votre AuthPoint Gateway :

  1. Dans le menu de navigation AuthPoint, sélectionnez Gateway.
  2. Cliquez sur le Nom de votre Gateway.

Screen shot of the Gateways page.

  1. Dans la section ADFS, sélectionnez votre ressource ADFS dans la liste Sélectionner une ressource ADFS.

Screen shot of the ADFS section of the Edit Gateway page.

  1. Cliquez sur Enregistrer.

Vous avez associé avec succès votre ressource ADFS à votre Gateway. L'étape suivante consiste à télécharger et installer l'agent ADFS.

Télécharger et Installer l'Agent ADFS

Vous devez télécharger le fichier de configuration de la Gateway à laquelle votre ressource ADFS est associée, puis vous devez télécharger et installer l'agent ADFS.

Votre Gateway doit être installée et disponible lorsque vous installez l'agent ADFS.

Pour télécharger et installer l'agent ADFS :

  1. Dans le menu de navigation d'AuthPoint, sélectionnez Téléchargements.
  2. Dans la section ADFS, cliquez sur Télécharger le Programme d'Installation. Vous devez disposer d'une ressource ADFS et votre Gateway installée doit avoir la version 4.0.0 ou supérieure pour télécharger le fichier de configuration.
  3. Cliquez sur Télécharger la Configuration pour télécharger le fichier de configuration. Si vous avez plusieurs Gateways, vous devez choisir la Gateway à laquelle votre ressource ADFS est associée.
  4. Déplacez l'agent ADFS et le fichier de configuration vers le serveur ADFS.
  5. Exécutez l'agent ADFS.

Vous ne pouvez installer l'agent ADFS que sur le serveur avec votre Gateway principale. Pour installer l'agent ADFS sur un serveur de Gateway secondaire, vous devez faire de votre Gateway secondaire la Gateway principale temporairement pendant que vous installez l'agent ADFS.

  1. Ajoutez votre ressource ADFS à la configuration de votre AuthPoint Gateway secondaire : Pour plus d'informations sur la façon d'ajouter une ressource ADFS à une Gateway, accédez à la section Ajouter la Ressource ADFS à Votre Configuration de Gateway de cette rubrique d'aide.
  2. Remplacez votre Gateway secondaire par la Gateway principale afin de pouvoir installer l'agent ADFS. Pour plus d'informations sur la façon de modifier la Gateway principale, accédez à Changer la Gateway Principale.
  3. Téléchargez et installez l'agent ADFS sur votre serveur de Gateway secondaire (désormais la Gateway principale).
  4. Dans l'AuthPoint management UI, faites à nouveau de votre Gateway d'origine la Gateway principale. Il s'agit de la Gateway utilisée pour synchroniser les utilisateurs de votre base de données Active Directory ou LDAP.

Configurer Votre Serveur

Après avoir installé l'agent ADFS, vous devez activer la MFA dans ADFS pour des groupes spécifiques. La MFA ne fonctionne que pour les utilisateurs qui sont membres des groupes ADFS que vous sélectionnez et membres des groupes AuthPoint disposant d'une stratégie d'authentification à votre ressource ADFS.

Les étapes pour activer la MFA pour des groupes ADFS sont différentes selon que vous avez un serveur Windows 2012r2 ou un serveur Windows 2016.

  1. Ouvrez les Outils d'Administration.
  2. Sélectionnez Gestion AD FS.

Screen shot of AD FS Management in the Windows Administrative Tools window.

  1. Sélectionnez Stratégies d'Authentification.
  2. Dans la section Méthodes d'Authentification Multifacteur, cliquez sur Modifier pour une configuration globale de la MFA. Pour configurer la MFA individuellement, cliquez sur Gérer.

Screen shot that shows the Multi-factor Authentication section of the Authentication Policies page.

  1. Dans la fenêtre Modifier la Stratégie d'Authentification Globale cliquez sur Ajouter.

Screen shot of the Edit Global Authentication Policy window.

  1. Dans la fenêtre Sélectionner des Utilisateurs ou des Groupes, saisissez le nom du ou des groupes LDAP pour lesquels vous souhaitez activer la MFA.
  2. Cliquez sur OK.

Screen shot of the Select Users or Groups window.

Screen shot of a group added in the Edit Global Authentication Policy window.

  1. Dans la fenêtre Modifier la Stratégie d'Authentification Globale, dans la section des méthodes d'authentification supplémentaires, sélectionnez Authentification Multifacteur WatchGuard.
  2. Cliquez sur Appliquer.

Screenshot of the WatchGuard Multi-Factor Authentication option seleted in the Edit Global Authentication Policy window.

Après la configuration, la Gestion AD FS affiche les utilisateurs/groupes et la méthode d'authentification sélectionnée.

Screen shot that shows the users and groups selected in AD FS Management.

  1. Ouvrez les Outils d'Administration.
  2. Sélectionnez Gestion AD FS.

Screen shot of AD FS Management in the Windows Administrative Tools window.

  1. Sélectionnez Service > Méthodes d'Authentification.
  2. Dans la section Méthodes d'Authentification Multifacteur, cliquez sur Modifier.

Screen shot that shows the Multi-factor Authentication section of the Authentication Policies page.

  1. Dans la fenêtre Modifier les Méthodes d'Authentification, sélectionnez Authentification Multifacteur WatchGuard. Cliquez sur Appliquer.

Screenshot of the WatchGuard Multi-Factor Authentication option seleted in the Edit Global Authentication Policy window.

La MFA est désormais exigée pour que les utilisateurs accèdent aux ressources ADFS. Pour configurer la MFA uniquement pour certains utilisateurs, vous devez créer une stratégie de contrôle d'accès pour un groupe AD contenant ces utilisateurs.

  1. (Facultatif) Créez un groupe AD pour les utilisateurs qui doivent utiliser une MFA. Si vous possédez déjà un groupe, il est inutile d'en créer un autre.
  2. Sélectionnez Stratégies de Contrôle d'Accès.
  3. Cliquez sur Ajouter une Stratégie de Contrôle d'Accès.
    La fenêtre Ajouter une Stratégie de Contrôle d'Accès s'ouvre.
  4. Dans la zone de texte Nom, saisissez Autoriser tout le monde mais exiger une MFA pour certains groupes.
  5. Saisissez une Description.
  6. Cliquez sur Ajouter.
    La fenêtre Éditeur de Règles s'ouvre.
  7. Dans l'Éditeur de Règles, configurez ces paramètres :
    1. Pour Permis, sélectionnez tout le monde.
    2. Pour Sauf, sélectionnez des groupes spécifiques.
    3. En bas de la fenêtre, cliquez sur spécifique et sélectionnez le ou les groupes Active Directory pour lesquels vous souhaitez exiger la MFA.
  8. Cliquez sur OK pour enregistrer la règle.
  9. Cliquez sur Ajouter pour ajouter une autre règle.

    La fenêtre Éditeur de Règles s'ouvre.
  10. Dans l'Éditeur de Règles, configurez ces paramètres :
    1. Pour Permis, sélectionnez utilisateurs.
    2. Sous les utilisateurs, sélectionnez les cases à cocher des groupes spécifiques et et exigent une authentification multifacteur.
    3. Pour Sauf, sélectionnez des groupes spécifiques.
    4. En bas de la fenêtre, cliquez sur spécifique et sélectionnez le ou les groupes Active Directory pour lesquels vous souhaitez exiger la MFA.
  11. Cliquez sur OK pour enregistrer la règle.
  12. Sélectionnez Approbations des Parties de Confiance.
  13. Faites un clic droit sur une approbation puis sélectionnez Modifier la Stratégie de Contrôle d'Accès.
  14. Sélectionnez la stratégie que vous venez de créer.
  15. Cliquez sur OK. Redémarrez le service ADFS.

Authentification avec ADFS

Lorsque la MFA est configurée pour ADFS, les utilisateurs doivent s'authentifier lorsqu'ils accèdent aux applications Web de votre organisation. Lorsqu'un utilisateur navigue vers une application Web, il est redirigé vers la page SSO ADFS où il doit fournir ses informations d'identification AD et s'authentifier avec la MFA.

Lorsqu'un utilisateur s'authentifie via ADFS, il reçoit une invite lui demandant de partager son emplacement. Cette invite s'affiche même si votre compte AuthPoint n'utilise pas d'objet de stratégie de limite géographique et de géo-cinétique.

Pour s'authentifier par ADFS :

  1. Naviguez vers une application Web externe.
    Vous êtes redirigé(e) vers la page SSO ADFS.
  2. Dans la zone de texte Nom d'utilisateur, entrez votre nom d'utilisateur ou e-mail. Les noms d'utilisateur doivent être entrés au format suivant : utilisateur@domaine ou domaine\utilisateur.
  3. Dans la zone de texte Mot de passe, entrez votre mot de passe.
  4. Cliquez sur Se Connecter.
  5. Dans la section Options d'Identification, sélectionnez une option d'authentification et authentifiez-vous.
    • Push — Approuvez la notification push envoyée à votre téléphone
    • QR Code — Utilisez l'application mobile AuthPoint pour scanner le QR code, puis tapez le code de vérification indiqué dans l'application
    • One-Time Password — Saisissez le mot de passe à usage unique de votre jeton

Rubriques Connexes

Configurer une Page de Connexion Personnalisée pour ADFS

Mettre à Jour l'Agent ADFS AuthPoint

Désinstaller l'Agent ADFS

À Propos des Gateways

À Propos des Stratégies d'Authentification AuthPoint