Fournisseurs d'identités tiers
Les fournisseurs d'identifiants sont des points d'extensibilité dans Windows qui permettent aux composants d'authentification de s'intégrer au processus de connexion Windows. Le client Specops implémente des fournisseurs d'identifiants pour prendre en charge les scénarios uReset, Specops Password Reset, MFA for Windows et Dynamic Feedback at Password Change.
Dans le framework Microsoft des fournisseurs d'identifiants, plusieurs fournisseurs d'identifiants peuvent coexister en utilisant un mécanisme de wrapping. Avec wrapping, un fournisseur d'identifiants étend un autre fournisseur au lieu de le remplacer. Le fournisseur qui effectue le wrapping transfère les appels au fournisseur sous-jacent tout en ajoutant sa propre fonctionnalité au-dessus. Microsoft ne fournit pas d'architecture générale dans laquelle le wrapping peut toujours être supposé fonctionner automatiquement. Il est donc important de vérifier ces scénarios avant le déploiement.
Le client Specops prend en charge la coexistence avec les fournisseurs d'identifiants Microsoft intégrés Microsoft Password Credential Provider et Microsoft Windows Hello for Business PIN, ainsi qu'avec certains fournisseurs d'identifiants tiers qui sont enveloppés automatiquement lorsqu'ils sont installés avec le client Specops. Voir Fournisseurs d'identifiants automatiquement enveloppés.
En outre, il existe des fournisseurs d'identifiants tiers qui peuvent nécessiter une configuration supplémentaire avant de pouvoir être enveloppés. Voir Configurer l'enveloppement manuel des fournisseurs d'identifiants.
Remarque
L'utilisation du wrapping sur des systèmes où des fournisseurs d'identifiants autres que les fournisseurs Microsoft intégrés et les fournisseurs d'identifiants Specops sont installés introduit un risque supplémentaire. Il est important de valider ces scénarios dans un environnement de préproduction avant d'installer, de mettre à jour ou de modifier le client Specops ou le fournisseur d'identifiants tiers.
Déterminer si d'autres fournisseurs d'identifiants sont installés
Avant d'installer le client Specops, vérifiez si d'autres fournisseurs d'identifiants sont installés sur les ordinateurs clients de l'organisation. En général, si des systèmes MFA pour Windows ou des systèmes de chiffrement de disque autres que ceux de Microsoft sont utilisés, des fournisseurs d'identifiants tiers peuvent être installés.
Comment déterminer quels fournisseurs d'identifiants sont installés :
- Demandez aux administrateurs de l'organisation qui connaissent les logiciels déployés sur les ordinateurs clients de confirmer quels fournisseurs d'identifiants sont installés.
- Vérifiez Installed Programs dans le panneau de configuration Windows pour voir si des fournisseurs d'identifiants et/ou des solutions MFA sont installés.
- Vérifiez l'écran de connexion Windows dans Windows si le comportement est personnalisé ou indique que d'autres fournisseurs d'identifiants sont installés.
- Vérifiez l'écran de connexion Windows pour détecter un comportement personnalisé ou des indications que d'autres fournisseurs d'identifiants sont installés.
- Recherchez dans le registre Windows sous
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers]si certaines sous-clés appartiennent à des fournisseurs d'identifiants non Microsoft.
Contactez le support Specops pour obtenir de l'aide si nécessaire.
Fournisseurs d'identifiants automatiquement enveloppés
Si les fournisseurs d'identifiants tiers listés dans le tableau ci-dessous sont installés avec le client Specops, ils sont automatiquement enveloppés.
Remarque
Ne configurez PAS le wrapping pour ces fournisseurs d'identifiants ; cela est géré automatiquement par les fournisseurs d'identifiants Specops.
De plus, ne configurez PAS le registre Windows ni le paramètre de stratégie ADMX Assign a default credential provider.
| Credential Provider | GUID |
|---|---|
| Microsoft | {60B78E88-EAD8-445C-9CFD-0B87F74EA6CD} |
| Microsoft WHfB PIN | {D6886603-9D2F-4EB2-B667-1971041FA96B} |
| McAfee | {31348146-F794-4BEB-9D39-E411BFF979EE} |
| Imprivata | {11660363-781C-617B-0100-128274950001} |
| Ivanti Pulse OneX | {4B9CAC01-6732-40D0-8B8F-B5B340F9D44F} |
| Ivanti Pulse | {4EFD0F35-BFBA-44EB-8F25-2B3530203C1D} |
| RSA | {BBFC6CF6-6FB2-4912-B8E0-C47844D1003D} |
| Fortinet FAC Agent | {F98AC68D-AE8E-47D8-AB82-F19BCB6328AB} |
Configurer l'enveloppement manuel des fournisseurs d'identifiants
Si une organisation souhaite utiliser le client Specops avec des fournisseurs d'identifiants tiers qui ne sont pas enveloppés automatiquement, une configuration supplémentaire est nécessaire pour permettre au client Specops de les envelopper, à condition que le fournisseur d'identifiants prenne en charge l'enveloppement.
Avant de déployer le client Specops avec un fournisseur d'identifiants enveloppé manuellement, testez et vérifiez la configuration au cas par cas.
Voir la section suivante pour savoir comment configurer le fournisseur d'identifiants Duo Security.
Envelopper le fournisseur d'identifiants Duo Security
Le client Specops offre des améliorations à l'expérience de connexion Windows en enveloppant le fournisseur d'identifiants intégré de Windows. Cela inclut la possibilité pour les utilisateurs de réinitialiser leurs mots de passe depuis l'écran de connexion, ainsi que d'améliorer les retours qu'ils reçoivent lorsqu'ils changent leur mot de passe via CTRL+ALT+SUPPR.
Duo Security Authentication for Windows Logon nécessite une configuration supplémentaire pour permettre le wrapping. Procédez comme suit :
-
Définissez une clé de registre dans le client Duo Security afin d'autoriser le wrapping. Sur une machine où le client Duo Security est installé, créez ou mettez à jour la clé de registre suivante :
- Chemin de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Duo Security\DuoCredProv
- Nom de la valeur : ProvidersWhitelist
- Type de valeur : REG_MULTI_SZ
-
Données de la valeur : saisissez (ou ajoutez) les deux GUID suivants sur des lignes séparées ; ces GUID identifient le client Specops :
- {00002ba3-bcc4-4c7d-aec7-363f164fd178}
- {4834dbc7-4a06-424d-a67f-20ddebcf08e1}
-
Ensuite, utilisez le modèle ADMX de Specops Authentication pour indiquer que le fournisseur d'identifiants Duo Security doit être enveloppé. Sous Specops Client Wrap Duo Security Specops Client/Enhance Windows logon and password change, définissez GUID of credential provider to wrap sur le GUID du client Duo Security, y compris les accolades : {44E2ED41-48C7-4712-A3C3-250C5E6D5D84}. Le client Specops, les modèles ADMX et les instructions pour installer les deux peuvent être trouvés ici.
Une fois la stratégie de groupe appliquée aux ordinateurs concernés, la fonctionnalité de connexion Duo Security et la fonctionnalité Specops de changement et de réinitialisation de mot de passe devraient fonctionner ensemble de manière transparente. Pour les clients Specops Authentication, cela signifie que le lien Réinitialiser le mot de passe reste disponible sur l'écran de connexion, comme sur les postes de travail où le client Duo Security n'est pas installé.
Pour Dynamic Feedback lors du changement de mot de passe, disponible pour les clients uReset et Password Policy utilisant Specops Client, le retour dynamique s’affiche comme prévu. Duo Security demandera la MFA après la soumission du changement de mot de passe, comme il le ferait normalement.
Duo Security et RdpOnly
Par défaut, la MFA Duo Security est invoquée pour les connexions console et les sessions de bureau à distance (RDP).
Il est possible de configurer l'invite du second facteur Duo Security pour qu'elle s'affiche uniquement pour les sessions RDP en définissant "RdpOnly" sur 1 conformément à la documentation Duo Security. Si RdpOnly est défini sur 1, il est nécessaire de configurer le paramètre ADMX Specops Wrapping in console login sessions et de le définir sur Désactivé.
Appliquer l'authentification au niveau du réseau
Network Level Authentication (NLA) est déjà appliqué dans la plupart des organisations. Autoriser RDP sans NLA est considéré comme non sécurisé et ne doit pas être utilisé.
L'utilisation du fournisseur d'identifiants Specops Authentication sans appliquer NLA n'est pas prise en charge.
Remarque
Dans les cas où les utilisateurs se connectent ou déverrouillent avec le paramètre User must change password at next logon défini, le fournisseur d'identifiants Duo Security ne préremplit pas sur l'écran suivant le mot de passe saisi lors de la connexion ou du déverrouillage quand le changement de mot de passe est effectué. Cela signifie que, lorsque la Specops RulesUI s'affiche, le current password doit être saisi à nouveau.