Overview

Specops Secure Access permet d’utiliser l’authentification à deux facteurs sur l’écran de connexion de Windows afin de protéger les comptes utilisateurs et les ordinateurs en cas de mot de passe compromis. Avec Secure Access, les utilisateurs doivent s’authentifier avec un facteur supplémentaire en plus du mot de passe Windows, directement sur l’écran de connexion. Le système est conçu pour minimiser l’impact sur les utilisateurs tout en ajoutant une couche importante de sécurité. Il permet aux utilisateurs d’avoir la flexibilité de choisir quel facteur supplémentaire utiliser.

Concepts généraux de Specops Authentication


Authentification

L’authentification consiste à vérifier l’identité d’un utilisateur. Généralement, ceci nécessite que l’utilisateur indique son identité en saisissant son nom d’utilisateur et son mot de passe.

Inscription

Les utilisateurs doivent s’inscrire auprès de Specops Authentication. La procédure d’inscription sera différente pour chaque type de service d’identité. Afin de s’inscrire auprès d’un service d’identité personnelle tel que Google, les utilisateurs devront utiliser le lien de l’application Web Specops vers la page Web Google et se connecter avec l’adresse e-mail et le mot de passe associés à leur compte Google.

Authentification multifacteur

L’authentification multifacteur nécessite plus d’une méthode d’authentification de catégories d’informations d’identification indépendantes : quelque chose que vous connaissez (c’est-à-dire un mot de passe), quelque chose que vous possédez (c’est-à-dire un appareil mobile) et quelque chose que vous êtes (c’est-à-dire une empreinte digitale). Specops uReset va au-delà de l'authentification à deux facteurs en prenant en charge une vaste gamme de services d'identité qui peuvent être utilisés pour augmenter la sécurité et la flexibilité. La solution prend en charge non seulement les authentificateurs courants, tels que les questions et réponses et les codes de vérification mobiles, mais également divers services d'identité numérique allant des services d'identité personnelle (par exemple, LinkedIn) aux services d'identité d'entreprise (par exemple, salesforce.com), en plus des méthodes de plus grande confiance telles que les cartes à puce. Le modèle d’authentification multifacteur Specops est dynamique. Les utilisateurs peuvent choisir les services d’identité qu’ils souhaitent combiner pour l’inscription et l’authentification, à condition qu’ils répondent aux exigences de la politique. Les utilisateurs inscrits auprès de plus de services d’identité que nécessaire pour leur authentification auront le choix pour s’authentifier. Ceci garantit que les utilisateurs finaux auront toujours la possibilité de satisfaire à la stratégie d’authentification, même si un service d’identité n’est pas disponible (par exemple, si l’utilisateur n’a pas son téléphone portable à proximité).

Les administrateurs peuvent sélectionner, en fonction du rôle et de la stratégie de sécurité, les services d’identité/authentificateurs qu’ils souhaitent étendre aux utilisateurs finaux pour vérifier leur identité lors de la réinitialisation ou du déverrouillage de leurs comptes. Une telle flexibilité peut garantir que divers besoins de sécurité et de flexibilité sont satisfaits. Par exemple :

  • Pour les utilisateurs ayant une autorisation de sécurité de bas niveau, mais un besoin élevé de flexibilité, comme les étudiants, les administrateurs informatiques peuvent leur permettre de s’authentifier avec différents services d’identité personnels tels que leurs identifiants Google.
  • Pour les utilisateurs disposant d’une autorisation de sécurité de niveau supérieur, tels que les responsables de l’aide financière ou les cadres supérieurs, les administrateurs informatiques peuvent attribuer des stratégies qui appliquent un nombre plus élevé ou une combinaison plus forte de services d’identité. Cette approche offre aux administrateurs la flexibilité dont ils ont besoin pour appliquer des stratégies qui se traduisent par plus de sécurité et d’efficacité.

Stratégie

Une stratégie contient les règles requises pour l’inscription et l’authentification multifacteur. Une stratégie contrôle les services d’identité qui peuvent être utilisés et combien doivent être utilisés pour vérifier l’identité des utilisateurs finaux. L’administrateur système est chargé de configurer les règles dans les stratégies.

Services d’identité

Les services d’identité permettent aux utilisateurs de s’identifier en toute sécurité lorsqu’ils se connectent. Les services d’identité peuvent être classés dans plusieurs catégories, notamment : nom d’utilisateur et mot de passe, réseaux sociaux (LinkedIn, Tumblr), et de plus grande confiance (Google Authenticator, Microsoft Authenticator, Duo Security Security).

Afin d’utiliser divers services d’identité pour authentifier les utilisateurs, le service d’identité doit être configuré (activé) dans Authentication Web et l’utilisateur concerné par la stratégie doit s’inscrire au service d’identité. Une fois qu’un utilisateur s’est inscrit, il peut utiliser le service d’identité pour s’authentifier. Specops Authentication utilise les données des objets utilisateur dans Active Directory pour lire et écrire les informations utilisées dans le système.

Standard

  • Mobile Code (SMS): Les utilisateurs recevront un mot de passe unique à 6 chiffres via un message SMS, qui doit être saisi pour s’authentifier.

Tiers

REMARQUE
Dans la plupart des cas, l’inscription à des services d’identité tiers doit être gérée individuellement par les utilisateurs.
  • Duo Security: Avec Duo Security, les utilisateurs peuvent s’authentifier à l’aide de l’application mobile Duo Security.
  • YubiKey: YubiKey est un dispositif matériel d’authentification. Les utilisateurs peuvent s’authentifier en générant des mots de passe à usage unique (OTP) avec leur YubiKey (uniquement si la YubiKey prend en charge Yubico OTP en tant que fonction de sécurité). Pour plus d’informations concernant YubiKey, veuillez consulter la page YubiKey.

Concepts fondamentaux Specops Secure Access


Authentification Specops

Secure Access fait partie du cadre Specops Authentication et nécessite que votre organisation possède un compte Specops Authentication et que le composant sur site, le Gatekeeper de Specops Authentication (pour plus d’informations, veuillez consulter la page d’installation), soit installé et configuré.

Cas d’utilisation

Protéger les ordinateurs clients lors de la connexion à Windows

Avec Specops Client installé et configuré pour Secure Access, les utilisateurs sont forcés de s’identifier avec un deuxième facteur après avoir saisi leur nom d’utilisateur et mot de passe Windows sur l’écran de connexion de Windows.

Protéger l’accès à distance (RADIUS)

Les organisations avec des utilisateurs qui accèdent au réseau à distance à l’aide d'un VPN ou qui accèdent à des ordinateurs via une passerelle de bureau à distance (RGGW) peuvent protéger leurs utilisateurs en ajoutant un deuxième facteur pour ces connexions. Le serveur VPN ou la passerelle de bureau à distance peuvent, à l’aide de RADIUS, être configurés pour appeler Microsoft NPS (Network Policy Server) avec Specops NPS companion installé et configuré, ce qui permet l’utilisation de Secure Access.

REMARQUE
La stratégie pour protéger l’accès à distance peut être configurée avec le service d’identité suivant : Specops:ID

Specops Client

Specops Client est le composant qui s’intègre avec l’écran de connexion à Windows et doit être installé sur tous les ordinateurs qui sont protégés par Secure Access. Specops Client a plusieurs objectifs dans le cadre Specops Authentication. Pour en savoir plus sur Specops Client, consultez cette page. Dans cette section, seules les fonctionnalités liées à Secure Access seront décrites. Specops Client contient plusieurs sous-composants, tels que le fournisseur d’informations d’identification, l’application WinMFA et Secure Browser, qui sont expliqués ci-dessous.

Fournisseur d’informations d’identification

Le fournisseur d’informations d’identification de Specops Client est la première couche des composants de Specops Client. C’est la partie qui est intégrée à l’écran de connexion Windows. Les fournisseurs d’informations d’identification sont des points d’extension fournis par Microsoft pour prendre en charge les vendeurs tiers à intégrer dans le système d’authentification de Windows. Lors de l’utilisation de Secure Access, le fournisseur d’informations d’identification démarrera l’application WinMFA une fois que l’utilisateur aura présenté des identifiants de domaine valides. Lorsque la connexion à Windows est activée, les autres fournisseurs d’informations d’identification seront exclus par les filtres du fournisseur d’informations d’identification de Specops.

Application WinMFA

L’application WinMFA est une application de bureau Windows qui est ouverte dans une fenêtre séparée par-dessus l’écran de connexion une fois que l’utilisateur a saisi son identifiant et son mot de passe. Dans l’application WinMFA, les utilisateurs verront un ou plusieurs services d’identité à utiliser en tant que deuxième facteur pour terminer l’authentification. Les services d’identité disponibles sont configurés par l’administrateur système dans la stratégie Secure Access. L’application WinMFA communique avec Specops Authentication dans le cloud, qui communique ensuite avec le Gatekeeper sur site afin de vérifier les informations de l’utilisateur. Avant qu’un utilisateur puisse s’authentifier pour la première fois, il doit s’inscrire à un ou plusieurs services d’identité. Pour en savoir plus sur les services d’identité qui fonctionnent avec Secure Access, consulte la section sur les services d’identité ci-dessous. Si un utilisateur doit s'inscrire, l’application WinMFA démarrera le Secure Browser qui fait également partie du package d'installation de Specops Client.

Secure Browser

Le Secure Browser est inclus dans l’installation de Specops Client et repose sur l’exécution d’un navigateur, à l’aide du moteur de navigateur CefSharp. Il est sécurisé dans le sens qu’il n’autorise pas l’utilisateur à naviguer à sa guise en dehors des pages d’inscription de Specops Authentication. Dans Secure Access, le Secure Browser est utilisé lorsqu’un utilisateur a besoin de s’inscrire à un ou plusieurs services d’identité. Cela ne se produit normalement qu'une fois par utilisateur. Si l’organisation utilise déjà Specops Authentication pour la réinitialisation des mots de passe, les utilisateurs peuvent être déjà inscrits et commencer à utiliser Secure Access sans avoir besoin de s’inscrire au préalable.

REMARQUE
Notez que même si les utilisateurs sont déjà inscrits à des services d’identité pour d’autres produits Specops Authentication, ils devront tout de même s’inscrire pour le Code hors-ligne (vois ci-dessous).

Services d’identité

Les facteurs d’authentification supplémentaires de Specops Authentication sont appelés des services d’identité. Parmi les services d’identité, il existe par exemple les SMS, YubiKey, Duo et Specops:ID. La plupart des services d’identité nécessitent que les utilisateurs utilisent un téléphone portable, par exemple pour recevoir un SMS ou utiliser la biométrie dans une application pour prouver son identité. Les services d’identité que les utilisateurs peuvent choisir sont configurés dans la stratégie par l’administrateur système dans Specops Authentication.

Inscription

Afin d’utiliser un service d’identité, les utilisateurs doivent s’y inscrire. Les utilisateurs s’inscrivent à des services d’identité via Specops Authentication Web, qui peut être affiché dans le Secure Browser s’ils ne sont pas encore inscrits à des services d’identité. S’inscrire est la même chose que créer un compte. S’inscrire auprès de services d’identité peut être un petit désagrément pour les utilisateurs et si possible, il est recommandé d’automatiser ce processus pour le plus de services d’identité possible. Cependant, l’automatisation de l’inscription des utilisateurs n’est pas possible pour tous les services d’identité. Vous trouverez plus d’informations ici.

Code hors-ligne

En plus des services d’identité configurés dans la stratégie par les administrateurs dans Specops Authentication, les utilisateurs doivent également s’inscrire au Code hors-ligne. Il s’agit d’une méthode d’authentification de secours qui peut être utilisée si aucune connexion internet n’est disponible lors de la connexion ou si un problème survient avec les services Specops Authentication. Évidemment, il est essentiel que les utilisateurs puissent continuer de se connecter à Windows, même s'ils n’ont plus accès au réseau, tout en conservant la couche de sécurité supplémentaire octroyée par un deuxième facteur. Le Code hors-ligne est un mot de passe à usage unique basé sur le temps (TOTP) qui peut être saisi dans n’importe quelle application de TOTP comme Google Authenticator ou Microsoft Authenticator. L’inscription au code hors-ligne est stockée de façon sécurisée sur la machine locale.

Authentification

Lorsque les utilisateurs se sont inscrits aux services d’identité requis, chaque fois qu’ils se connectent à Windows, ils seront redirigés vers une authentification par le biais de Secure Access. Une authentification dans Secure Access implique l’utilisation d'un facteur supplémentaire (service d’identité) en plus de son identifiant et mot de passe Windows habituels. Cela peut, selon les cas, également être le code hors-ligne (voir Code hors-ligne ci-dessus). Le flux d’authentification est rationalisé et sera présenté à l’utilisateur avec le même facteur qu’il a utilisé à sa dernière authentification. En fonction du service d’identité, le processus peut être aussi simple qu’appuyer sur un bouton dans une application mobile ou sur un appareil YubiKey. L’administrateur système configure les règles concernant l’authentification, y compris la fréquence à laquelle les utilisateurs doivent utiliser Secure Access. Le système peut par exemple être configuré pour ne nécessiter qu'un facteur supplémentaire par jour. Dans ce cas, les utilisateurs ignoreraient Secure Access et n’utiliseraient que leur mot de passe Windows jusqu’à l’expiration du délai configuré.