Duo
Configurer Duo Security avec Specops Authentication étendra le système d'authentification à deux facteurs de Duo Security aux utilisateurs de Specops Authentication.
Il existe deux façons de se connecter à Duo Security ; avec Web SDK ou Auth API. Auth API est le plus récent des deux et est utilisé par tous les nouveaux clients. Pour vérifier quelle méthode vous utilisez, effectuez les étapes suivantes :
- Connectez-vous au Web de Specops Authentication : https://login.specopssoft.com/authentication/admin
- Sélectionnez Services d’identité dans la navigation de la barre latérale gauche, puis sélectionnez Duo Security.
- Assurez-vous qu'il est indiqué « Auth API ».
Configurer Duo Security avec Web SDK
Remarque
Web SDK est uniquement disponible pour les clients qui ont commencé à utiliser Duo Security avant la version 8.16 de Specops Authentication. Les clients qui commencent à utiliser Duo Security à partir de la version 8.16 doivent utiliser Auth API (voir ci-dessous) pour configurer Duo Security.
Prérequis : Les rôles administratifs Propriétaire, Administrateur ou Gestionnaire d'application sont requis dans Duo Security.
- Connectez-vous au Web de Specops Authentication : https://login.specopssoft.com/authentication/admin
- Sélectionnez Services d’identité dans la navigation de la barre latérale gauche, puis sélectionnez Duo Security.
- Sélectionnez Activer, puis dans la fenêtre contextuelle, sélectionnez à nouveau Activer. Cela rendra le service disponible pour une utilisation dans les services Specops.
- Connectez-vous au Panneau d'administration Duo Security.
- Sélectionnez Applications dans la navigation de la barre latérale gauche, puis sélectionnez Protéger une application.
- La page suivante affiche une liste des différents types de services pouvant être intégrés à Duo Security. Dans la liste, trouvez Web SDK et sélectionnez Protéger cette application.
-
Définissez une politique pour l'application en utilisant une existante ou en créant une nouvelle.
Remarque
le paramètre Nouvelle politique utilisateur doit être défini sur Exiger l'inscription. Autoriser l'accès sans 2FA permettra aux utilisateurs de contourner Duo Security sans s'authentifier. Refuser l'accès bloquera les utilisateurs pour qu'ils ne puissent pas s'authentifier avec Duo Security.
Remarque
le paramètre Politique d'accès de groupe doit être défini sur Aucune action. Comme pour la Nouvelle politique utilisateur, il ne peut pas être défini sur Autoriser l'accès sans 2FA ou Refuser l'accès.
-
Configurez les paramètres et entrez un nom.
- Sélectionnez Enregistrer.
-
Dans la section Détails, copiez la clé d'intégration, la clé secrète et le nom d'hôte de l'API dans leurs champs correspondants dans le client Specops.
Remarque
le champ Nom de l'attribut peut être laissé vide pour utiliser l'attribut Active Directory par défaut (sAMAccountName), sauf si vous devez utiliser un autre attribut AD.
-
Sélectionnez Test de connexion. Si la connexion a réussi, un message indiquant Test de connexion réussi apparaîtra.
- Sélectionnez Enregistrer.
Pour ajouter Duo Security à votre politique :
- Sélectionnez le produit Specops Authentication, par exemple uReset 8, dans la navigation de la barre latérale gauche, puis sélectionnez Configurer dans la section Stratégies.
- Faites glisser Duo Security de la section Services d'identité non sélectionnés vers la section Services d'identité sélectionnés, et configurez les paramètres de Poids, Requis et Protégé.
- Sélectionnez Enregistrer.
Configurer Duo Security avec Auth API
Prérequis : Les rôles administratifs Propriétaire, Administrateur ou Gestionnaire d'application sont requis dans Duo Security.
- Connectez-vous au Web de Specops Authentication : https://login.specopssoft.com/authentication/admin
- Sélectionnez Services d’identité dans la navigation de la barre latérale gauche, puis sélectionnez Duo Security.
- Sélectionnez Activer, puis dans la fenêtre contextuelle, sélectionnez à nouveau Activer. Cela rendra le service disponible pour une utilisation dans les services Specops.
- Connectez-vous à la page d'administration de Duo Security
- Sélectionnez Applications dans la navigation de la barre latérale gauche, puis sélectionnez Protéger une application.
- La page suivante affiche une liste des différents types de services pouvant être intégrés à Duo Security. Dans la liste, trouvez Partner Auth API et sélectionnez Protéger cette application.
-
Définissez une politique pour l'application en cliquant sur Appliquer une politique à tous les utilisateurs et en sélectionnant la politique dans le menu déroulant, ou créez une nouvelle politique en cliquant sur le lien Ou, créer une nouvelle politique dans cette même fenêtre, puis en cliquant sur Nouvelle politique utilisateur.
Remarque
le paramètre Nouvelle politique utilisateur doit être défini sur Exiger l'inscription. Autoriser l'accès sans 2FA permettra aux utilisateurs de contourner Duo Security sans s'authentifier. Refuser l'accès bloquera les utilisateurs pour qu'ils ne puissent pas s'authentifier avec Duo Security.
-
Configurez les paramètres et entrez un nom.
- Cliquez sur Enregistrer.
-
Dans la section Détails, copiez la clé d'intégration (ID client), la clé secrète et le nom d'hôte de l'API dans leurs champs correspondants dans le client Specops.
Remarque
le champ Nom de l'attribut peut être laissé vide pour utiliser l'attribut Active Directory par défaut (sAMAccountName), sauf si vous devez utiliser un autre attribut AD.
-
Sélectionnez votre paramètre souhaité pour Inscription automatique des utilisateurs dans Specops Authentication. Le définir sur oui inscrira automatiquement tous les utilisateurs.
Remarque
Pour utiliser Duo Security avec la vérification rapide, ce paramètre doit être défini sur Oui
-
Sélectionnez Test de connexion. Si la connexion a réussi, un message indiquant Test de connexion réussi apparaîtra.
- Cliquez sur Enregistrer.
Configurer Duo Security avec OpenID Connect (OIDC)
Vous pouvez configurer Duo Security pour utiliser le protocole OpenID Connect afin de fournir une authentification à deux facteurs aux utilisateurs. Cela signifie qu'au lieu d'utiliser la page de connexion de Specops, les utilisateurs seront redirigés vers une URL de Duo Security où ils pourront s'authentifier via le Prompt Universel de Duo Security. Le Prompt Universel présentera à l'utilisateur un code numérique, que l'utilisateur devra saisir dans la notification push sur l'appareil où il a installé l'application Duo Security. Cette méthode d'authentification peut être utilisée pour contrer les attaques dites de fatigue où les utilisateurs sont confrontés à de multiples notifications push simples, en introduisant l'étape supplémentaire de confirmation du code à l'écran.
Remarque
Auth API doit être configuré avant de configurer OIDC.
Pour configurer OIDC :
- Connectez-vous au Web de Specops Authentication : https://login.specopssoft.com/authentication/admin
- Sélectionnez Services d’identité dans la navigation de la barre latérale gauche, puis sélectionnez Duo Security.
- Le service devrait déjà avoir été activé lorsque Auth API a été configuré.
- Cochez la case Utiliser l'invite Duo pour les utilisateurs finaux.
- Connectez-vous au Panneau d'administration Duo Security.
- Sélectionnez Applications dans la navigation de la barre latérale gauche, puis sélectionnez Protéger une application.
- La page suivante affiche une liste des différents types de services pouvant être intégrés à Duo Security. Dans la liste, trouvez Web SDK et sélectionnez Protéger cette application.
-
Définissez la même politique que celle définie pour Auth API pour l'application en cliquant sur Appliquer une politique à tous les utilisateurs et en sélectionnant la politique dans le menu déroulant.
Remarque
Vous devez sélectionner la même politique que celle définie pour Auth API afin d'éviter des configurations où les utilisateurs seraient empêchés d'utiliser Duo Security pour s'authentifier.
-
Configurez les paramètres et entrez un nom.
- Sélectionnez Enregistrer.
- Dans la section Détails, copiez l'ID client et le secret client dans leurs champs correspondants dans le client Specops.
-
Sélectionnez Test de connexion. Si la connexion a réussi, un message indiquant Test de connexion réussi apparaîtra.
Remarque
Le test vérifiera à la fois la connexion Auth API et OIDC, donc les deux devront être correctement configurés. Tout message d'erreur indiquera quelle partie de la configuration était incorrecte.
-
Cliquez sur Enregistrer.
Pour ajouter Duo Security à votre politique :
- Sélectionnez le produit Specops Authentication, par exemple uReset 8, dans la navigation de la barre latérale gauche, puis sélectionnez Configurer dans la section Stratégies.
- Faites glisser Duo Security de la section Services d'identité non sélectionnés vers la section Services d'identité sélectionnés, et configurez les paramètres de Poids, Requis et Protégé.
- Sélectionnez Enregistrer.
Utiliser Duo Security avec la vérification rapide
La vérification rapide ne peut être utilisée qu'avec Auth API. Notez que lorsque le paramètre Inscription automatique des utilisateurs dans Specops Authentication est défini sur Non, vous ne pouvez pas utiliser la vérification rapide (ou la vérification avancée) pour les utilisateurs qui ne se sont pas inscrits avec Duo Security.
Remarque
les clients utilisant Web SDK pour configurer Duo Security ne peuvent pas utiliser Duo Security pour la vérification rapide. Il ne sera disponible que comme une vérification avancée.
Authentification Duo Security pour la connexion Windows
Le client Specops offre des améliorations à l'expérience de connexion Windows en enveloppant le fournisseur d'identifiants intégré de Windows. Cela inclut la possibilité pour les utilisateurs de réinitialiser leurs mots de passe depuis l'écran de connexion, ainsi que d'améliorer les retours qu'ils reçoivent lorsqu'ils changent leur mot de passe via CTRL+ALT+SUPPR. Le client Specops prend également en charge l'enveloppement des fournisseurs d'identifiants tiers, tant que ce fournisseur d'identifiants prend en charge l'enveloppement. Certains fournisseurs d'identifiants, tels que Duo Security Authentication for Windows Logon, nécessitent une configuration supplémentaire pour permettre au client Specops de les envelopper. Pour plus d'informations, consultez Envelopper le fournisseur d'identifiants Duo Security.