Duo Security

---

Conditions préalables : les rôles administratifs Propriétaire, Administrateur ou Gestionnaire d’application sont requis Duo Security.

1. Connectez-vous à Specops Authentication Web : https://login.specopssoft.com/authentication/admin
2. Sélectionnez Services d’identité dans la barre de navigation latérale gauche, puis sélectionnez Duo Security.
3. Sélectionnez Activer, puis dans la fenêtre contextuelle, sélectionner à nouveau Activer. Ceci rendra le service disponible pour une utilisation dans les services Specops.
4. Connectez-vous au Panneau d’administration Duo Security.
5. Sélectionnez Applications dans la barre de navigation latérale gauche, puis sélectionnez Protéger une application.
6. La page suivante affiche une liste des différents types de services pouvant être intégrés à Duo Security. Dans la liste, recherchez Web SDK et sélectionnez Protéger cette application.
7. Définissez une stratégie pour l’application en utilisant une stratégie existante ou en en créant une nouvelle.
   REMARQUE

   le paramètre Stratégie de nouvel utilisateur doit être défini sur Nécessite une inscription. Autoriser l’accès sans A2F permettra aux utilisateurs de contourner Duo Security sans s’authentifier. Refuser l’accès empêchera les utilisateurs de s’authentifier avec Duo Security.
   REMARQUE

   le paramètre Stratégie d’accès de groupe doit être défini sur Aucune action. Comme pour Stratégie de nouvel utilisateur, celle-ci ne peut pas être définie sur Autoriser l’accès sans A2F ou Refuser l’accès.
8. Configurez les paramètres et saisissez un nom.
9. Sélectionnez Enregistrer.
10. Dans la section Informations, copiez la clé d’intégration, la clé secrète et le nom d’hôte de l’API dans leurs champs correspondants dans Specops Authentication Client.
    REMARQUE

    le Nom d’attribut peut être laissé vide pour utiliser l’attribut Active Directory par défaut (sAMAccountName), sauf si vous devez utiliser un autre attribut AD.
11. Sélectionnez Tester la connexion. Si la connexion est bien établie, un message indiquant Test de connexion réussi sera affiché.
12. Sélectionnez Enregistrer.

Pour ajouter Duo Security à votre stratégie

1. Sélectionnez Key Recovery dans la barre de navigation de gauche, puis Configurer dans la section Stratégies.
2. Faites glisser Duo Security depuis la section Services d’identité non sélectionnés vers la section Services d’identité sélectionnés, puis configurez les paramètres Pondération, Requis, et Protégé.
3. Sélectionnez Enregistrer.

---

Conditions préalables : les rôles administratifs Propriétaire, Administrateur ou Gestionnaire d’application sont requis Duo Security.

1. Connectez-vous à Specops Authentication Web : https://login.specopssoft.com/authentication/admin
2. Sélectionnez Services d’identité dans la barre de navigation latérale gauche, puis sélectionnez Duo Security.
3. Sélectionnez Activer, puis dans la fenêtre contextuelle, sélectionner à nouveau Activer. Ceci rendra le service disponible pour une utilisation dans les services Specops.
4. Connectez-vous à la page d’administration de Duo Security
5. Sélectionnez Applications dans la barre de navigation latérale gauche, puis sélectionnez Protéger une application.
6. La page suivante affiche une liste des différents types de services pouvant être intégrés à Duo Security. Dans la liste, recherchez Partenaire Auth API et sélectionnez Protéger cette application.
7. Définissez une stratégie pour l’application en cliquant sur Appliquer une stratégie à tous les utilisateurs et en sélectionnant la stratégie dans le menu déroulant, ou créez une nouvelle stratégie en cliquant sur le lien Ou, créer une nouvelle stratégie dans cette même fenêtre, puis en cliquant sur Nouvelle stratégie utilisateur.
   REMARQUE

   le paramètre Stratégie de nouvel utilisateur doit être défini sur Nécessite une inscription. Autoriser l’accès sans A2F permettra aux utilisateurs de contourner Duo Security sans s’authentifier. Refuser l’accès empêchera les utilisateurs de s’authentifier avec Duo Security.
8. Configurez les paramètres et saisissez un nom.
9. Cliquez sur Enregistrer.
10. Dans la section Informations, copiez la clé d’intégration (ID de client), la clé secrète et le nom d’hôte de l’API dans leurs champs correspondants dans Specops Authentication Client.
    REMARQUE

    le Nom d’attribut peut être laissé vide pour utiliser l’attribut Active Directory par défaut (sAMAccountName), sauf si vous devez utiliser un autre attribut AD.
11. Sélectionnez le paramètre souhaité pour Inscription automatique des utilisateurs dans Specops Authentication. Si vous le définissez sur oui, tous les utilisateurs seront automatiquement inscrits.
    REMARQUE

    Pour utiliser Duo Security avec Vérification rapide, ce paramètre doit être défini sur Oui
12. Sélectionnez Tester la connexion. Si la connexion est bien établie, un message indiquant Test de connexion réussi sera affiché.
13. Cliquez sur Enregistrer.

Configuration de Duo Security avec OpenID Connect (OIDC)

Vous pouvez configurer Duo Security pour utiliser le protocole OpenID Connect afin de fournir une authentification à deux facteurs aux utilisateurs. Cela signifie qu’au lieu d’utiliser la page de connexion de Specops, les utilisateurs seront redirigés vers une URL Duo Security à partir de laquelle ils pourront s’authentifier via l’invite universelle de Duo Security. L’invite universelle présentera à l’utilisateur un code numérique qu’il devra saisir dans la notification push sur l’appareil sur lequel l’application Duo Security est installée. Cette méthode d’authentification peut être utilisée pour contrer les attaques dites de fatigue, lors desquelles les utilisateurs se voient présenter plusieurs notifications push simples, en introduisant l’étape supplémentaire de confirmation du code à l’écran.

Pour configurer OIDC :

1. Connectez-vous à Specops Authentication Web : https://login.specopssoft.com/authentication/admin
2. Sélectionnez Services d’identité dans la barre de navigation latérale gauche, puis sélectionnez Duo Security.
3. Le service devrait déjà avoir été activé lors de la configuration d’API Auth.
4. Cochez la case Utiliser l’invite Duo pour les utilisateurs finaux.
5. Connectez-vous au Panneau d’administration Duo Security.
6. Sélectionnez Applications dans la barre de navigation latérale gauche, puis sélectionnez Protéger une application.
7. La page suivante affiche une liste des différents types de services pouvant être intégrés à Duo Security. Dans la liste, recherchez Web SDK et sélectionnez Protéger cette application.
8. Définissez la même stratégie que celle définie pour API Auth pour l’application en cliquant sur Appliquer une stratégie à tous les utilisateurs et en sélectionnant la stratégie dans la liste déroulante.
   REMARQUE

   Vous devez sélectionner la même stratégie que celle définie pour API Auth afin d’éviter les configurations dans lesquelles les utilisateurs ne pourraient pas utiliser Duo Security pour s’authentifier.
9. Configurez les paramètres et saisissez un nom.
10. Sélectionnez Enregistrer.
11. Dans la section Informations, copiez l’ID de client et la clé secrète client dans leurs champs correspondants dans Specops Authentication Client.
12. Sélectionnez Tester la connexion. Si la connexion est bien établie, un message indiquant Test de connexion réussi sera affiché.
    REMARQUE

    Le test vérifiera à la fois Auth API et la connexion OIDC, les deux devront donc être correctement configurées. Tout message d’erreur indiquera quelle partie de la configuration était incorrecte.
13. Cliquez sur Enregistrer.

Pour ajouter Duo Security à votre stratégie

1. Sélectionnez Key Recovery dans la barre de navigation de gauche, puis Configurer dans la section Stratégies.
2. Faites glisser Duo Security depuis la section Services d’identité non sélectionnés vers la section Services d’identité sélectionnés, puis configurez les paramètres Pondération, Requis, et Protégé.
3. Sélectionnez Enregistrer.

---

La vérification rapide ne peut être utilisée qu’avec Auth API. Veuillez noter que lorsque le paramètre Inscrire automatiquement les utilisateurs dans Specops Authentication est défini sur Non, vous ne pouvez pas utiliser la Vérification rapide (ou la Vérification avancée) pour les utilisateurs qui ne se sont pas inscrits à Duo Security.

---

Le Client Specops Authentication apporte des améliorations à l’expérience de connexion Windows en encapsulant le fournisseur d’informations d’identification Windows intégré (GINA). Ceci inclut la possibilité pour les utilisateurs de réinitialiser leur mot de passe depuis l’écran de connexion, ainsi que l’amélioration des commentaires que les utilisateurs reçoivent lors du changement de leur mot de passe via CTRL+ALT+SUPPR. Le Client Specops Authentication prend également en charge l’encapsulation de fournisseurs d’informations d’identification tiers, tant que ce fournisseur d’informations d’identification prend en charge l’encapsulation. Certains fournisseurs d’informations d’identification, tels que l’authentification de Duo Security pour la connexion Windows, nécessitent une configuration supplémentaire afin de permettre au Client Specops Authentication de les encapsuler.

1. Définissez une clé de registre dans l’ordre du client Duo Security pour autoriser l’encapsulation par le Client Specops Authentication. Sur une machine où le client Duo Security est installé, créez ou mettez à jour la clé de registre suivante :
   • Chemin d’accès de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Duo Security\DuoCredProv
   • Nom de la valeur : ProvidersWhitelist
   • Type de valeur : REG_MULTI_SZ
   • Données de la valeur : saisissez (ou ajoutez) les deux GUID suivants sur des lignes distinctes. Il s’agit des GUID qui identifient le Client Specops Authentication :
     {00002ba3-bcc4-4c7d-aec7-363f164fd178}
     {4834dbc7-4a06-424d-a67f-20ddebcf08e1}

     

2. Ensuite, utilisez le modèle ADMX d’authentification Specops pour spécifier que nous devons encapsuler le fournisseur d’informations d’identification Duo Security. Sous Specops Authentication Client Wrap Duo Security Specops Authentication Client/Enhance Windows logon and password change, définissez le GUID du fournisseur d’informations d’identification pour qu’il encapsule le GUID du client Duo Security, y compris les accolades : {44E2ED41-48C7-4712-A3C3-250C5E6D5D84}. Veuillez noter que le client Specops Authentication, les modèles ADMX et les instructions d’installation des deux peuvent être trouvés ici.

   

Une fois la stratégie de groupe appliquée aux ordinateurs concernés, la fonctionnalité de connexion Duo Security et la fonctionnalité Specops Authentication pour le changement et la réinitialisation de mots de passe doivent fonctionner ensemble de manière transparente. Pour les clients utilisant uReset, cela signifie que vous pouvez continuer à utiliser le lien Réinitialiser le mot de passe sur l’écran de connexion comme vous le feriez sur des postes de travail sans le client Duo Security. Pour les retours dynamiques lors du changement de mot de passe (disponibles pour les clients utilisant uReset et Password Policy avec le Client Specops Authentication version 7.15 ou ultérieure), les retours dynamiques seront affichés. Duo Security demandera une authentification multifacteur une fois le changement de mot de passe envoyé, comme ceci serait effectué normalement.

Duo Security et RdpOnly

Par défaut, l’authentification multifacteur Duo Security est appelée pour les connexions à la console et les sessions à distance (RDP).

Il est possible de configurer l’invite du deuxième facteur de Duo Security, à afficher uniquement pour les sessions RDP en définissant "RdpOnly" sur 1 selon la documentation de Duo Security. Si vous utilisez RdpOnly défini sur 1, il est nécessaire de configurer le paramètre Specops ADMX Encapsulation dans les sessions de connexion à la console et de le définir sur Désactivé.

Appliquer l’authentification au niveau du réseau

L’authentification au niveau du réseau (NLA) est déjà appliquée dans la plupart des organisations. Autoriser RDP sans authentification au niveau du réseau est considéré comme non sécurisé et ne doit pas être utilisé.

L’utilisation du fournisseur d’informations d’identification Specops Authentication sans appliquer l’authentification au niveau du réseau n’est pas prise en charge.