Duo

Configurer Duo Security avec Specops Authentication pour MFA pour Windows étendra le système d'authentification à deux facteurs de Duo Security aux utilisateurs de uReset.

Il existe deux façons de se connecter à Duo Security, Web SDK et Auth API. Auth API est le plus récent des deux et est utilisé par tous les nouveaux clients. Pour vérifier quelle méthode vous utilisez, effectuez les étapes suivantes:

Connectez-vous au web Specops Authentication: https://login.specopssoft.com/authentication/admin
Sélectionnez Identity Services dans la navigation de la barre latérale gauche, puis sélectionnez Duo Security.
Assurez-vous qu'il est indiqué « Auth API ».

Configurer Duo Security avec Web SDK

Remarque

Web SDK est uniquement disponible pour les clients qui ont commencé à utiliser Duo Security avant la version 8.16 de Specops Authentication. Les clients qui commencent à utiliser Duo Security à partir de la version 8.16 doivent utiliser Auth API (voir ci-dessous) pour configurer Duo Security.

Pré-requis: Les rôles administratifs Propriétaire, Administrateur ou Gestionnaire d'application sont requis dans Duo Security.

Connectez-vous au web Specops Authentication: https://login.specopssoft.com/authentication/admin
Sélectionnez Identity Services dans la navigation de la barre latérale gauche, puis sélectionnez Duo Security.
Sélectionnez Enable, puis dans la fenêtre contextuelle, sélectionnez à nouveau Enable. Cela rendra le service disponible pour une utilisation dans les services Specops.
Connectez-vous au Panneau d'administration Duo Security.
Sélectionnez Applications dans la navigation de la barre latérale gauche, puis sélectionnez Protect an Application.
La page suivante affiche une liste des différents types de services pouvant être intégrés à Duo Security. Dans la liste, trouvez Web SDK et sélectionnez Protect this application.
Définissez une politique pour l'application en utilisant une existante ou en en créant une nouvelle.

Remarque

le paramètre New User Policy doit être défini sur Require enrollment. Allow access without 2FA permettra aux utilisateurs de contourner Duo Security sans s'authentifier. Deny access bloquera les utilisateurs de s'authentifier avec Duo Security.

Remarque

le paramètre Group Access Policy doit être défini sur No action. Comme avec le New User Policy, il ne peut pas être défini sur Allow access without 2FA ou Deny access.
Configurez les paramètres et entrez un nom.
Sélectionnez Enregistrer.
Dans la section Détails, copiez la clé d'intégration, la clé secrète et le nom d'hôte de l'API dans leurs champs correspondants dans le client Specops.

Remarque

le champ Attribute name peut être laissé vide pour utiliser l'attribut Active Directory par défaut (sAMAccountName), sauf si vous devez utiliser un autre attribut AD.
Sélectionnez Test connection. Si la connexion a réussi, un message indiquant Connection test successful apparaîtra.
Sélectionnez Save.

Pour ajouter Duo Security à votre politique

Sélectionnez MFA for Windows dans la navigation de la barre latérale gauche, puis sélectionnez Configure dans la section Policies.
Faites glisser Duo Security de la section Unselected Identity Services vers la section Selected Identity Services, et configurez les paramètres de Poids, Requis et Protégé.
Sélectionnez Save.

Configurer Duo Security avec Auth API

Pré-requis: Les rôles administratifs Propriétaire, Administrateur ou Gestionnaire d'application sont requis dans Duo Security.

Connectez-vous au web Specops Authentication: https://login.specopssoft.com/authentication/admin
Sélectionnez Identity Services dans la navigation de la barre latérale gauche, puis sélectionnez Duo Security.
Sélectionnez Enable, puis dans la fenêtre contextuelle, sélectionnez à nouveau Enable. Cela rendra le service disponible pour une utilisation dans les services Specops.
Connectez-vous à la page d'administration de Duo Security
Sélectionnez Applications dans la navigation de la barre latérale gauche, puis sélectionnez Protect an Application.
La page suivante affiche une liste des différents types de services pouvant être intégrés à Duo Security. Dans la liste, trouvez Partner Auth API et sélectionnez Protect this application.
Définissez une politique pour l'application en cliquant sur Apply a policy to all users et en sélectionnant la politique dans le menu déroulant, ou créez une nouvelle politique en cliquant sur le lien Or, create a new policy dans cette même fenêtre, puis en cliquant sur New User policy.

Remarque

le paramètre New User Policy doit être défini sur Require enrollment. Allow access without 2FA permettra aux utilisateurs de contourner Duo Security sans s'authentifier. Deny access bloquera les utilisateurs de s'authentifier avec Duo Security.
Configurez les paramètres et entrez un nom.
Cliquez sur Enregistrer.
Dans la section Détails, copiez la clé d'intégration (Client ID), la clé secrète et le nom d'hôte de l'API dans leurs champs correspondants dans le client Specops.

Remarque

le champ Attribute name peut être laissé vide pour utiliser l'attribut Active Directory par défaut (sAMAccountName), sauf si vous devez utiliser un autre attribut AD.
Sélectionnez votre paramètre souhaité pour Auto-enroll users in Specops Authentication. Le définir sur oui inscrira automatiquement tous les utilisateurs.

Remarque

Pour utiliser Duo Security avec Quick Verification, ce paramètre doit être défini sur Yes
Sélectionnez Test connection. Si la connexion a réussi, un message indiquant Connection test successful apparaîtra.
Cliquez sur Save.

Configurer Duo Security avec OpenID Connect (OIDC)

Vous pouvez configurer Duo Security pour utiliser le protocole OpenID Connect afin de fournir une authentification à deux facteurs aux utilisateurs. Cela signifie qu'au lieu d'utiliser la page de connexion de Specops, les utilisateurs seront redirigés vers une URL Duo Security où ils pourront s'authentifier via le Universal Prompt de Duo Security. L'Universal Prompt présentera à l'utilisateur un code numérique, que l'utilisateur devra saisir dans la notification push sur l'appareil où il a installé l'application Duo Security. Cette méthode d'authentification peut être utilisée pour contrer les attaques dites de fatigue où les utilisateurs sont confrontés à de multiples notifications push simples, en introduisant l'étape supplémentaire de confirmation du code à l'écran.

Remarque

Auth API doit être configuré avant de configurer OIDC.

Pour configurer OIDC:

Connectez-vous au web Specops Authentication: https://login.specopssoft.com/authentication/admin
Sélectionnez Identity Services dans la navigation de la barre latérale gauche, puis sélectionnez Duo Security.
Le service devrait déjà avoir été activé lorsque Auth API a été configuré.
Cochez la case Use Duo prompt for end-users.
Connectez-vous au Panneau d'administration Duo Security.
Sélectionnez Applications dans la navigation de la barre latérale gauche, puis sélectionnez Protect an Application.
La page suivante affiche une liste des différents types de services pouvant être intégrés à Duo Security. Dans la liste, trouvez Web SDK et sélectionnez Protect this application.
Définissez la même politique que celle définie pour Auth API pour l'application en cliquant sur Apply a policy to all users et en sélectionnant la politique dans le menu déroulant.

Remarque

Vous devez sélectionner la même politique que celle définie pour Auth API pour éviter des configurations où les utilisateurs seraient empêchés d'utiliser Duo Security pour s'authentifier.
Configurez les paramètres et entrez un nom.
Sélectionnez Enregistrer.
Dans la section Détails, copiez l'ID client et le secret client dans leurs champs correspondants dans le client Specops.
Sélectionnez Test connection. Si la connexion a réussi, un message indiquant Connection test successful apparaîtra.

Remarque

Le test vérifiera à la fois la connexion Auth API et OIDC, donc les deux devront être correctement configurés. Tout message d'erreur indiquera quelle partie de la configuration était incorrecte.
Cliquez sur Save.

Pour ajouter Duo Security à votre politique

Sélectionnez MFA for Windows dans la navigation de la barre latérale gauche, puis sélectionnez Configure dans la section Policies.
Faites glisser Duo Security de la section Unselected Identity Services vers la section Selected Identity Services, et configurez les paramètres de Poids, Requis et Protégé.
Sélectionnez Save.

Utiliser Duo Security avec Quick Verification

Quick Verification ne peut être utilisé qu'avec Auth API. Notez que lorsque le paramètre Auto-enroll users in Specops Authentication est défini sur No, vous ne pouvez pas utiliser Quick Verification (ou Advanced Verification) pour les utilisateurs qui ne se sont pas inscrits avec Duo Security.

Remarque

les clients utilisant Web SDK pour configurer Duo Security ne peuvent pas utiliser Duo Security pour Quick Verification. Il ne sera disponible qu'en tant que Advanced Verification.

Authentification Duo Security pour la connexion Windows

Le client Specops fournit des améliorations à l'expérience de connexion Windows en enveloppant le fournisseur d'informations d'identification intégré de Windows (GINA). Cela inclut la possibilité pour les utilisateurs de réinitialiser leurs mots de passe depuis l'écran de connexion, ainsi que d'améliorer les retours que les utilisateurs reçoivent lors du changement de leur mot de passe via CTRL+ALT+DEL. Le client Specops prend également en charge l'enveloppement des fournisseurs d'informations d'identification tiers, tant que ce fournisseur d'informations d'identification prend en charge l'enveloppement. Certains fournisseurs d'informations d'identification, tels que l'authentification Duo Security pour la connexion Windows, nécessitent une configuration supplémentaire pour permettre au client Specops de les envelopper.

Définissez une clé de registre dans le client Duo Security pour permettre l'enveloppement par le client Specops. Sur une machine avec le client Duo Security installé, créez ou mettez à jour la clé de registre suivante:
- Chemin de la clé: HKEY_LOCAL_MACHINE\SOFTWARE\Duo Security\DuoCredProv
- Nom de la valeur: ProvidersWhitelist
- Type de valeur: REG_MULTI_SZ
- Données de la valeur: entrez (ou ajoutez) les deux GUID suivants sur des lignes séparées — ce sont les GUID qui identifient le client Specops:
  - {00002ba3-bcc4-4c7d-aec7-363f164fd178}
  - {4834dbc7-4a06-424d-a67f-20ddebcf08e1}
Ensuite, utilisez le modèle ADMX de Specops Authentication pour spécifier que nous devons envelopper le fournisseur d'informations d'identification Duo Security. Sous Specops Client Wrap Duo Security Specops Client/Enhance Windows logon and password change, définissez GUID du fournisseur d'informations d'identification à envelopper sur le GUID du client Duo Security, y compris les accolades: {44E2ED41-48C7-4712-A3C3-250C5E6D5D84}. Notez que le client Specops, les modèles ADMX et les instructions pour installer les deux peuvent être trouvés ici.

Une fois que la stratégie de groupe a été appliquée aux ordinateurs concernés, à la fois la fonctionnalité de connexion Duo Security et la fonctionnalité Specops Authentication pour le changement de mot de passe et la réinitialisation de mot de passe devraient fonctionner ensemble de manière transparente. Pour les clients uReset, cela signifie que vous pouvez continuer à utiliser le lien Réinitialiser le mot de passe à l'écran de connexion comme vous le feriez sur des postes de travail sans le client Duo Security. Pour le retour dynamique lors du changement de mot de passe (disponible pour les clients uReset et Password Policy avec la version 7.15 ou ultérieure du client Specops), le retour dynamique sera affiché. Duo Security demandera une authentification MFA après la soumission du changement de mot de passe comme il le ferait normalement.

Remarque

Lors de l'utilisation de Duo Security en tant que fournisseur d'informations d'identification, le client Specops 7.17 ou ultérieur est requis.

Duo Security et RdpOnly

Par défaut, l'authentification MFA de Duo Security est invoquée pour les connexions console et les sessions à distance (RDP).

Il est possible de configurer l'invite de second facteur de Duo Security pour qu'elle soit affichée uniquement pour les sessions RDP en définissant "RdpOnly" sur 1 selon la documentation de Duo Security. Si vous utilisez RdpOnly défini sur 1, il est nécessaire de configurer le paramètre ADMX de Specops Wrapping in console login sessions et de le définir sur Disabled.

Appliquer l'authentification au niveau du réseau

L'authentification au niveau du réseau (NLA) est déjà appliquée dans la plupart des organisations. Autoriser le RDP sans NLA est considéré comme non sécurisé et ne devrait pas être utilisé.

Utiliser le fournisseur d'informations d'identification Specops Authentication sans appliquer NLA n'est pas pris en charge

Remarque

Dans les cas où les utilisateurs se connectent ou déverrouillent avec le paramètre User must change password at next logon défini, le fournisseur d'informations d'identification Duo Security ne pré-remplit pas le mot de passe saisi à la connexion/déverrouillage à l'écran suivant lors du changement de mot de passe. Cela signifie que lorsque l'interface Specops RulesUI est affichée, le mot de passe actuel doit être saisi à nouveau.