SlideShare a Scribd company logo
1 of 39
Download to read offline
AMBIENT INTELLIGENCE
tech days•
2015
#mstechdays techdays.microsoft.fr
SEC307
(Azure) Active Directory +
BYOD = Tranquillité d’esprit,
chiche ! (2nde Partie)
Philippe Beraud
Jean-Yves Grasset
Direction technique et Sécurité
Microsoft France
http://aka.ms/hi
tech.days 2015#mstechdays
• Joindre un lieu de travail AD
• Authentification de l’appareil • Support intégré pour l’authentification
multifacteur (MFA)
• Prise en charge extensible de fournisseurs
d’authentification multifacteur avec des
partenaires
• Conception d’IHM réactive à destination des
appareils
• Choix de l’authentification de l’utilisateur
• Messages d’accès refusé personnalisés par RP
• Politique d’authentification configurable au niveau global
• Contrôle d’accès conditionnel configurable par application
Start
Start
intranetextranet
Accès extranet
tech.days 2015#mstechdays
tech.days 2015#mstechdays
tech.days 2015#mstechdays
tech.days 2015#mstechdays
tech.days 2015#mstechdays
…
•
•
- Par défaut – Authentification Windows intégrée (WIA)
- Options :
- WIA avec bascule sur les formulaires,
- Authentification par formulaires,
- Authentification par certificat/carte à puce
•
- Par défaut – Authentification par formulaires
- Options :
- Authentification par formulaires,
- Authentification par certificat/carte à puce
PS > Get/Set-AdfsGlobalAuthenticationPolicy
tech.days 2015#mstechdays
•
•
•
•
•
•
•
PS > $ExtranetObservationWindow = New-Timespan -Minutes 30
PS > Set-ADFSProperties -EnableExtranetLockout $true –ExtranetLockoutThreshold 3
-ExtranetObservationWindow $ExtranetObservationWindow
tech.days 2015#mstechdays
tech.days 2015#mstechdays
•
•
•
•
•
•
authenticationmethod multipleauthn
.
* MFATriggerClaimRule – Règle de revendication sDéclencheur MFA au format chaîne de caractères.
PS > Set-AdfsRelyingPartyTrust –
AdditionalAuthenticationRules $MFATriggerClaimRule
PS > Set-AdfsAdditionalAuthenticationRule –
AdditionalAuthenticationRules $MFATriggerClaimRule*
The Federation Service could not authorize token issuance for caller ‘DOMAINUser’. The caller is not authorized to request a token for the relying party
'urn:dumptoken'. See event 501 with the same Instance ID for caller identity.
Additional Data
Instance ID: xxxxxxxxxxx
Relying party: yyyy
Exception details:
Microsoft.IdentityServer.Service.IssuancePipeline.CallerAuthorizationException: MSIS5007: The caller authorization failed for caller identity xxxxxx for
relying party trust yyyy.
at Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult result)
at Microsoft.IdentityModel.Protocols.WSTrust.WSTrustServiceContract.ProcessCoreAsyncResult.End(IAsyncResult ar)
at Microsoft.IdentityModel.Protocols.WSTrust.WSTrustServiceContract.EndProcessCore(IAsyncResult ar, String requestAction, String responseAction, String
trustNamespace)
User Action
Use the AD FS Management snap-in to ensure that the caller is authorized to request a token for the relying party.
Problème : Les règles MFA bloquent l’accès depuis les protocoles actifs (Office 365 – Lync, Outlook etc.)
Solution : Utiliser la revendication ‘x-ms-endpoint-absolute-path’ pour dispenser un point de terminaison actif de devoir faire une
authentification multifacteur dans votre règle de déclencheur
Note : ‘adfs/ls’  Requêtes WS-Fed, SAML
‘/adfs/oauth2’  Requêtes OAuth
Règle exemples:
c:[Type == "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value == "false"] &&
c1:[Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path",
Value =~ `"(/adfs/ls)|(/adfs/oauth2)"]
=> issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", Value
= "http://schemas.microsoft.com/claims/multipleauthn");
tech.days 2015#mstechdays
•
• Si de multiples méthodes d’authentification supplémentaires sont
activées
•
PS > Set-AdfsGlobalAuthenticationPolicy –
AdditionalAuthenticationProvider “CertificateAuthentication”
tech.days 2015#mstechdays
•
•
•
•
•
•
•
•
http://technet.microsoft.com/en-us/library/dn280949.aspx
tech.days 2015#mstechdays
www.gemalto.com/identity
tech.days 2015#mstechdays
tech.days 2015#mstechdays
•
•
•
•
•
•
•
•
•
•
•
•
tech.days 2015#mstechdays
tech.days 2015#mstechdays
tech.days 2015#mstechdays
Start
tech.days 2015#mstechdays
tech.days 2015#mstechdays
tech.days 2015#mstechdays
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
tech.days 2015#mstechdays
© 2015 Microsoft Corporation. All rights reserved.
tech days•
2015
#mstechdays techdays.microsoft.fr
tech.days 2015#mstechdays
http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarygroupsid SID de groupe principal en refus seul de l’utilisateur
http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarysid SID principal en refus seul de l’utilisateur
http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid
SID de groupe de l’utilisateur
Vous pouvez utiliser cette revendication pour vérifier si l’utilisateur est membre d’un groupe
donné.
http://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsid SID de groupe principal de l’utilisateur
http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid SID principal de l’utilisateur
http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname Nom du compte de domaine de l’utilisateur sous la forme domaineutilisateur
http://schemas.xmlsoap.org/claims/CommonName Nom courant de l’utilisateur
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/denyonlysid SID de groupe en refus seul de l’utilisateur
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name Nom unique de l’utilisateur
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn UPN (Nom principal de l’utilisateur) de l’utilisateur
http://schemas.microsoft.com/2012/01/devicecontext/claims/displayname Nom d’affichage de l’enregistrement de l’appareil
http://schemas.microsoft.com/2012/01/devicecontext/claims/identifier Identificateur de l’appareil
http://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser
L’utilisateur est enregistré pour utiliser cet appareil
Lorsque la valeur de cette revendication est true, cela signifie que l’utilisateur qui est
authentifié est celui qui a enregistré à l’origine l’appareil.
http://schemas.microsoft.com/2012/01/devicecontext/claims/ostype Type d’OS de l’appareil
http://schemas.microsoft.com/2012/01/devicecontext/claims/osversion Version de l’OS de l’appareil
http://schemas.microsoft.com/2012/01/requestcontext/claims/client-request-id Identificateur pour une session utilisateur (à des fins de diagnostic)
http://schemas.microsoft.com/2012/01/requestcontext/claims/relyingpartytrustid Identificateur pour la ressource/RP
http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-application Type d’application client
http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-ip Adresse IP du client
http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-user-agent Type d’appareil utilisé par le client pour accéder à l’application
http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-
path
Chemin absolu du point de terminaison qui peut être utilisé pour distinguer un client actif
d’un client passif. Comme l’authentification multifacteur est seulement prise en charge pour
les applications navigateur, vous pouvez utiliser cette revendication pour distinguer les
requêtes émanant d’un navigateur de celles qui ne le sont pas, dans l’hypothèse où vous
auriez les deux sortes de protocoles dans la même relation de confiance, ce qui est
typiquement le cas lorsque des jetons délivrés à un STS fournisseur de fédération.
http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-forwarded-client-ip Adresse IP de l’utilisateur
http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-proxy Nom DNS du proxy d’application web (WAP) par lequel est passée la requête
http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork
Utilisé pour indiquer si la requête a pour origine le réseau d’entreprise. Lorsque cette valeur
est false, cela signifie que la requête est passée à travers le proxy d’application web. A true,
cela signifie que la requête vient directement du navigateur vers le STS.
http://schemas.microsoft.com/2012/12/certificatecontext/* (multiple claim types)
Revendications qui représentent différents champs et extensions du certificat client X509
lorsque utilisé comme méthode d’authentification
Un cas d’usage intéressant ici est d’utiliser la revendication EKU
(http://schemas.microsoft.com/2012/12/certificatecontext/extension/eku) pour vérifier si
l'utilisateur a utilisé une carte à puce (l’EKU exacte dépend de l'infrastructure PKI du client)
http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod La méthode d’authentification principale utilisée pour authentifier l’utilisateur
http://schemas.microsoft.com/claims/authnmethodsreferences
Utilisée pour indiquer toutes les méthodes d’authentification utilisée pour authentifier
l’utilisateur
http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstant Utilisée pour afficher la date et l’heure auxquelles l’utilisateur a été authentifié

More Related Content

Viewers also liked

Sicher und schnell mit Mobiltelefon bezahlen
Sicher und schnell mit Mobiltelefon bezahlenSicher und schnell mit Mobiltelefon bezahlen
Sicher und schnell mit Mobiltelefon bezahlenConnected-Blog
 
Les fautes d’orthographe
Les fautes d’orthographeLes fautes d’orthographe
Les fautes d’orthographelafarfouille
 
Johann heintzen
Johann heintzenJohann heintzen
Johann heintzenBirkhauser
 
Le circuit des cabanes
Le circuit des cabanesLe circuit des cabanes
Le circuit des cabanesmiloo07
 
Crowdsourced Mobile Testing – Alternative oder Ergänzung?
Crowdsourced Mobile Testing – Alternative oder Ergänzung?Crowdsourced Mobile Testing – Alternative oder Ergänzung?
Crowdsourced Mobile Testing – Alternative oder Ergänzung?Connected-Blog
 
AIRunner Broschüre Deutsch
AIRunner Broschüre DeutschAIRunner Broschüre Deutsch
AIRunner Broschüre DeutschAIRunner
 
La historia de mi vida joselin cervantes
La historia de mi vida joselin cervantesLa historia de mi vida joselin cervantes
La historia de mi vida joselin cervantesjoselinCervantes
 
Cataloguecarnetsfare
CataloguecarnetsfareCataloguecarnetsfare
Cataloguecarnetsfarefare31
 
Etre visible sur le web à la CCI de Reims et d'Epernay dans le cadre du parco...
Etre visible sur le web à la CCI de Reims et d'Epernay dans le cadre du parco...Etre visible sur le web à la CCI de Reims et d'Epernay dans le cadre du parco...
Etre visible sur le web à la CCI de Reims et d'Epernay dans le cadre du parco...Nicolas Gillet
 
Cavas arbol de los sueños
Cavas arbol de los sueñosCavas arbol de los sueños
Cavas arbol de los sueñosfrancyamu
 
En la variedad esta el gusto-
  En la variedad esta el gusto-  En la variedad esta el gusto-
En la variedad esta el gusto-Diego Llerena
 
Presentación de exposisiones
Presentación de exposisionesPresentación de exposisiones
Presentación de exposisionesAline139
 

Viewers also liked (20)

Community managers
Community managersCommunity managers
Community managers
 
Rw3 09 hayashi3
Rw3 09 hayashi3Rw3 09 hayashi3
Rw3 09 hayashi3
 
Sicher und schnell mit Mobiltelefon bezahlen
Sicher und schnell mit Mobiltelefon bezahlenSicher und schnell mit Mobiltelefon bezahlen
Sicher und schnell mit Mobiltelefon bezahlen
 
Les fautes d’orthographe
Les fautes d’orthographeLes fautes d’orthographe
Les fautes d’orthographe
 
Bmw auto z4 catalogue
Bmw auto z4 catalogueBmw auto z4 catalogue
Bmw auto z4 catalogue
 
Johann heintzen
Johann heintzenJohann heintzen
Johann heintzen
 
Julian y javier
Julian y javierJulian y javier
Julian y javier
 
Ppt Einstein
Ppt EinsteinPpt Einstein
Ppt Einstein
 
Le circuit des cabanes
Le circuit des cabanesLe circuit des cabanes
Le circuit des cabanes
 
Crowdsourced Mobile Testing – Alternative oder Ergänzung?
Crowdsourced Mobile Testing – Alternative oder Ergänzung?Crowdsourced Mobile Testing – Alternative oder Ergänzung?
Crowdsourced Mobile Testing – Alternative oder Ergänzung?
 
Transgenicos - Caracterisiticas, descripcion
Transgenicos - Caracterisiticas, descripcion Transgenicos - Caracterisiticas, descripcion
Transgenicos - Caracterisiticas, descripcion
 
Le langagier 2.0
Le langagier 2.0Le langagier 2.0
Le langagier 2.0
 
AIRunner Broschüre Deutsch
AIRunner Broschüre DeutschAIRunner Broschüre Deutsch
AIRunner Broschüre Deutsch
 
Licences cc version 1
Licences cc version 1Licences cc version 1
Licences cc version 1
 
La historia de mi vida joselin cervantes
La historia de mi vida joselin cervantesLa historia de mi vida joselin cervantes
La historia de mi vida joselin cervantes
 
Cataloguecarnetsfare
CataloguecarnetsfareCataloguecarnetsfare
Cataloguecarnetsfare
 
Etre visible sur le web à la CCI de Reims et d'Epernay dans le cadre du parco...
Etre visible sur le web à la CCI de Reims et d'Epernay dans le cadre du parco...Etre visible sur le web à la CCI de Reims et d'Epernay dans le cadre du parco...
Etre visible sur le web à la CCI de Reims et d'Epernay dans le cadre du parco...
 
Cavas arbol de los sueños
Cavas arbol de los sueñosCavas arbol de los sueños
Cavas arbol de los sueños
 
En la variedad esta el gusto-
  En la variedad esta el gusto-  En la variedad esta el gusto-
En la variedad esta el gusto-
 
Presentación de exposisiones
Presentación de exposisionesPresentación de exposisiones
Presentación de exposisiones
 

Similar to (Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)

Personnalisation et Extension du Catalogue Applicatif dans System Center 2012...
Personnalisation et Extension du Catalogue Applicatif dans System Center 2012...Personnalisation et Extension du Catalogue Applicatif dans System Center 2012...
Personnalisation et Extension du Catalogue Applicatif dans System Center 2012...Microsoft Technet France
 
Retours d'expériences et bonnes pratiques sur l'implémentation d'ADFS dans Sh...
Retours d'expériences et bonnes pratiques sur l'implémentation d'ADFS dans Sh...Retours d'expériences et bonnes pratiques sur l'implémentation d'ADFS dans Sh...
Retours d'expériences et bonnes pratiques sur l'implémentation d'ADFS dans Sh...Microsoft Technet France
 
Identite-as-a-service pour vos applications B2C - MS Cloud Summit Paris 2017
Identite-as-a-service pour vos applications B2C - MS Cloud Summit Paris 2017Identite-as-a-service pour vos applications B2C - MS Cloud Summit Paris 2017
Identite-as-a-service pour vos applications B2C - MS Cloud Summit Paris 2017Marius Zaharia
 
identité-as-a-service pour vos applications b2c - marius zaharia - samir arez...
identité-as-a-service pour vos applications b2c - marius zaharia - samir arez...identité-as-a-service pour vos applications b2c - marius zaharia - samir arez...
identité-as-a-service pour vos applications b2c - marius zaharia - samir arez...Samir Arezki ☁
 
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...MIM Synchronization Services 2016 -> une solution économique pour créer, modi...
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...Identity Days
 
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...☁️Seyfallah Tagrerout☁ [MVP]
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Décideurs IT
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Technet France
 
Securité des applications web
Securité des applications webSecurité des applications web
Securité des applications webMarcel TCHOULEGHEU
 
Smart forms __fiche_projet_pfe
Smart forms __fiche_projet_pfeSmart forms __fiche_projet_pfe
Smart forms __fiche_projet_pfeAbdelmonem NAAMANE
 
Windows Azure Multi-Factor Authentication, presentation et cas d’usage
Windows Azure Multi-Factor Authentication, presentation et cas d’usageWindows Azure Multi-Factor Authentication, presentation et cas d’usage
Windows Azure Multi-Factor Authentication, presentation et cas d’usageMicrosoft
 
[AzureCamp 24 Juin 2014] Interactions en "temps réel" pour les applications W...
[AzureCamp 24 Juin 2014] Interactions en "temps réel" pour les applications W...[AzureCamp 24 Juin 2014] Interactions en "temps réel" pour les applications W...
[AzureCamp 24 Juin 2014] Interactions en "temps réel" pour les applications W...Microsoft Technet France
 
Comment publier vos applications Web avec Windows Server 2012 R2
Comment publier vos applications Web avec Windows Server 2012 R2 Comment publier vos applications Web avec Windows Server 2012 R2
Comment publier vos applications Web avec Windows Server 2012 R2 Microsoft Technet France
 
Sécurisation de jitsi en SAAS (OSXP 2023)
Sécurisation de jitsi en SAAS (OSXP 2023)Sécurisation de jitsi en SAAS (OSXP 2023)
Sécurisation de jitsi en SAAS (OSXP 2023)Soisik FROGER
 
Windows Azure Multi-Factor Authentication, presentation et cas d'usage
Windows Azure Multi-Factor Authentication, presentation et cas d'usageWindows Azure Multi-Factor Authentication, presentation et cas d'usage
Windows Azure Multi-Factor Authentication, presentation et cas d'usagePhilippe Beraud
 
Nouvelles expériences d'authentification avec Windows 8.1 pour vos applicatio...
Nouvelles expériences d'authentification avec Windows 8.1 pour vos applicatio...Nouvelles expériences d'authentification avec Windows 8.1 pour vos applicatio...
Nouvelles expériences d'authentification avec Windows 8.1 pour vos applicatio...Microsoft
 
Provider Hosted app… Quel intérêt pour l’entreprise
Provider Hosted app…Quel intérêt pour l’entrepriseProvider Hosted app…Quel intérêt pour l’entreprise
Provider Hosted app… Quel intérêt pour l’entrepriseWalid Hadjadj
 
TechDays 2010 (CLO305) : Windows Azure App Fabric
TechDays 2010 (CLO305) : Windows Azure App FabricTechDays 2010 (CLO305) : Windows Azure App Fabric
TechDays 2010 (CLO305) : Windows Azure App FabricGeoffrey DANIEL
 
CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?Identity Days
 
Retour d'expérience : rendre votre IT agile grâce au cloud hybride
Retour d'expérience : rendre votre IT agile grâce au cloud hybrideRetour d'expérience : rendre votre IT agile grâce au cloud hybride
Retour d'expérience : rendre votre IT agile grâce au cloud hybrideMicrosoft Décideurs IT
 

Similar to (Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie) (20)

Personnalisation et Extension du Catalogue Applicatif dans System Center 2012...
Personnalisation et Extension du Catalogue Applicatif dans System Center 2012...Personnalisation et Extension du Catalogue Applicatif dans System Center 2012...
Personnalisation et Extension du Catalogue Applicatif dans System Center 2012...
 
Retours d'expériences et bonnes pratiques sur l'implémentation d'ADFS dans Sh...
Retours d'expériences et bonnes pratiques sur l'implémentation d'ADFS dans Sh...Retours d'expériences et bonnes pratiques sur l'implémentation d'ADFS dans Sh...
Retours d'expériences et bonnes pratiques sur l'implémentation d'ADFS dans Sh...
 
Identite-as-a-service pour vos applications B2C - MS Cloud Summit Paris 2017
Identite-as-a-service pour vos applications B2C - MS Cloud Summit Paris 2017Identite-as-a-service pour vos applications B2C - MS Cloud Summit Paris 2017
Identite-as-a-service pour vos applications B2C - MS Cloud Summit Paris 2017
 
identité-as-a-service pour vos applications b2c - marius zaharia - samir arez...
identité-as-a-service pour vos applications b2c - marius zaharia - samir arez...identité-as-a-service pour vos applications b2c - marius zaharia - samir arez...
identité-as-a-service pour vos applications b2c - marius zaharia - samir arez...
 
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...MIM Synchronization Services 2016 -> une solution économique pour créer, modi...
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...
 
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
 
Securité des applications web
Securité des applications webSecurité des applications web
Securité des applications web
 
Smart forms __fiche_projet_pfe
Smart forms __fiche_projet_pfeSmart forms __fiche_projet_pfe
Smart forms __fiche_projet_pfe
 
Windows Azure Multi-Factor Authentication, presentation et cas d’usage
Windows Azure Multi-Factor Authentication, presentation et cas d’usageWindows Azure Multi-Factor Authentication, presentation et cas d’usage
Windows Azure Multi-Factor Authentication, presentation et cas d’usage
 
[AzureCamp 24 Juin 2014] Interactions en "temps réel" pour les applications W...
[AzureCamp 24 Juin 2014] Interactions en "temps réel" pour les applications W...[AzureCamp 24 Juin 2014] Interactions en "temps réel" pour les applications W...
[AzureCamp 24 Juin 2014] Interactions en "temps réel" pour les applications W...
 
Comment publier vos applications Web avec Windows Server 2012 R2
Comment publier vos applications Web avec Windows Server 2012 R2 Comment publier vos applications Web avec Windows Server 2012 R2
Comment publier vos applications Web avec Windows Server 2012 R2
 
Sécurisation de jitsi en SAAS (OSXP 2023)
Sécurisation de jitsi en SAAS (OSXP 2023)Sécurisation de jitsi en SAAS (OSXP 2023)
Sécurisation de jitsi en SAAS (OSXP 2023)
 
Windows Azure Multi-Factor Authentication, presentation et cas d'usage
Windows Azure Multi-Factor Authentication, presentation et cas d'usageWindows Azure Multi-Factor Authentication, presentation et cas d'usage
Windows Azure Multi-Factor Authentication, presentation et cas d'usage
 
Nouvelles expériences d'authentification avec Windows 8.1 pour vos applicatio...
Nouvelles expériences d'authentification avec Windows 8.1 pour vos applicatio...Nouvelles expériences d'authentification avec Windows 8.1 pour vos applicatio...
Nouvelles expériences d'authentification avec Windows 8.1 pour vos applicatio...
 
Provider Hosted app… Quel intérêt pour l’entreprise
Provider Hosted app…Quel intérêt pour l’entrepriseProvider Hosted app…Quel intérêt pour l’entreprise
Provider Hosted app… Quel intérêt pour l’entreprise
 
TechDays 2010 (CLO305) : Windows Azure App Fabric
TechDays 2010 (CLO305) : Windows Azure App FabricTechDays 2010 (CLO305) : Windows Azure App Fabric
TechDays 2010 (CLO305) : Windows Azure App Fabric
 
CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?
 
Retour d'expérience : rendre votre IT agile grâce au cloud hybride
Retour d'expérience : rendre votre IT agile grâce au cloud hybrideRetour d'expérience : rendre votre IT agile grâce au cloud hybride
Retour d'expérience : rendre votre IT agile grâce au cloud hybride
 

More from Microsoft Décideurs IT

Lync : intégration et interopérabilité à votre existant, quoi de neuf ?
Lync : intégration et interopérabilité à votre existant, quoi de neuf ?Lync : intégration et interopérabilité à votre existant, quoi de neuf ?
Lync : intégration et interopérabilité à votre existant, quoi de neuf ?Microsoft Décideurs IT
 
Lync : intégration et interopérabilité à votre existant, quoi de neuf ?
Lync : intégration et interopérabilité à votre existant, quoi de neuf ?Lync : intégration et interopérabilité à votre existant, quoi de neuf ?
Lync : intégration et interopérabilité à votre existant, quoi de neuf ?Microsoft Décideurs IT
 
Windows Server vNext- virtualisation et stockage
Windows Server vNext- virtualisation et stockageWindows Server vNext- virtualisation et stockage
Windows Server vNext- virtualisation et stockageMicrosoft Décideurs IT
 
Azure IaaS pour les IT - Demo Extravaganza
Azure IaaS pour les IT - Demo ExtravaganzaAzure IaaS pour les IT - Demo Extravaganza
Azure IaaS pour les IT - Demo ExtravaganzaMicrosoft Décideurs IT
 
Windows Server vNext- administration et réseau
Windows Server vNext- administration et réseauWindows Server vNext- administration et réseau
Windows Server vNext- administration et réseauMicrosoft Décideurs IT
 
Retour d’expérience de Sarenza sur la façon de piloter un projet Power BI
Retour d’expérience de Sarenza sur la façon de piloter un projet Power BIRetour d’expérience de Sarenza sur la façon de piloter un projet Power BI
Retour d’expérience de Sarenza sur la façon de piloter un projet Power BIMicrosoft Décideurs IT
 
Big Data et Business Intelligence de A… Azure
Big Data et Business Intelligence de A… AzureBig Data et Business Intelligence de A… Azure
Big Data et Business Intelligence de A… AzureMicrosoft Décideurs IT
 
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...Microsoft Décideurs IT
 
Architectures hybrides: Intégrer vos données métiers dans vos applications cl...
Architectures hybrides: Intégrer vos données métiers dans vos applications cl...Architectures hybrides: Intégrer vos données métiers dans vos applications cl...
Architectures hybrides: Intégrer vos données métiers dans vos applications cl...Microsoft Décideurs IT
 
Reprenez la main sur vos applications SharePoint en mesurant et en optimisant...
Reprenez la main sur vos applications SharePoint en mesurant et en optimisant...Reprenez la main sur vos applications SharePoint en mesurant et en optimisant...
Reprenez la main sur vos applications SharePoint en mesurant et en optimisant...Microsoft Décideurs IT
 
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...Microsoft Décideurs IT
 
La collaboration dans Exchange : comparaison on premises et online
La collaboration dans Exchange : comparaison on premises et onlineLa collaboration dans Exchange : comparaison on premises et online
La collaboration dans Exchange : comparaison on premises et onlineMicrosoft Décideurs IT
 
Exchange / Office 365 comment faire un déploiement hybride
Exchange / Office 365 comment faire un déploiement hybrideExchange / Office 365 comment faire un déploiement hybride
Exchange / Office 365 comment faire un déploiement hybrideMicrosoft Décideurs IT
 
Sécurité Active Directory: Etablir un référentiel
Sécurité Active Directory: Etablir un référentielSécurité Active Directory: Etablir un référentiel
Sécurité Active Directory: Etablir un référentielMicrosoft Décideurs IT
 
Cas d’étude : Comment simplifier vos backups dans le cloud grâce à VEEAM et M...
Cas d’étude : Comment simplifier vos backups dans le cloud grâce à VEEAM et M...Cas d’étude : Comment simplifier vos backups dans le cloud grâce à VEEAM et M...
Cas d’étude : Comment simplifier vos backups dans le cloud grâce à VEEAM et M...Microsoft Décideurs IT
 
Industrialisez le déploiement de vos infrastructures Cloud depuis votre systè...
Industrialisez le déploiement de vos infrastructures Cloud depuis votre systè...Industrialisez le déploiement de vos infrastructures Cloud depuis votre systè...
Industrialisez le déploiement de vos infrastructures Cloud depuis votre systè...Microsoft Décideurs IT
 
Comment bâtir un cloud hybride en mode IaaS ou SaaS et apporter le meilleur d...
Comment bâtir un cloud hybride en mode IaaS ou SaaS et apporter le meilleur d...Comment bâtir un cloud hybride en mode IaaS ou SaaS et apporter le meilleur d...
Comment bâtir un cloud hybride en mode IaaS ou SaaS et apporter le meilleur d...Microsoft Décideurs IT
 
Migrer de 2003 à 2012 R2, adopter HyperV ou Microsoft Azure : comment réalise...
Migrer de 2003 à 2012 R2, adopter HyperV ou Microsoft Azure : comment réalise...Migrer de 2003 à 2012 R2, adopter HyperV ou Microsoft Azure : comment réalise...
Migrer de 2003 à 2012 R2, adopter HyperV ou Microsoft Azure : comment réalise...Microsoft Décideurs IT
 

More from Microsoft Décideurs IT (20)

Lync : intégration et interopérabilité à votre existant, quoi de neuf ?
Lync : intégration et interopérabilité à votre existant, quoi de neuf ?Lync : intégration et interopérabilité à votre existant, quoi de neuf ?
Lync : intégration et interopérabilité à votre existant, quoi de neuf ?
 
Lync : intégration et interopérabilité à votre existant, quoi de neuf ?
Lync : intégration et interopérabilité à votre existant, quoi de neuf ?Lync : intégration et interopérabilité à votre existant, quoi de neuf ?
Lync : intégration et interopérabilité à votre existant, quoi de neuf ?
 
Windows Server vNext- virtualisation et stockage
Windows Server vNext- virtualisation et stockageWindows Server vNext- virtualisation et stockage
Windows Server vNext- virtualisation et stockage
 
Azure IaaS pour les IT - Demo Extravaganza
Azure IaaS pour les IT - Demo ExtravaganzaAzure IaaS pour les IT - Demo Extravaganza
Azure IaaS pour les IT - Demo Extravaganza
 
Windows Server vNext- administration et réseau
Windows Server vNext- administration et réseauWindows Server vNext- administration et réseau
Windows Server vNext- administration et réseau
 
La gouvernance des données
La gouvernance des donnéesLa gouvernance des données
La gouvernance des données
 
Retour d’expérience de Sarenza sur la façon de piloter un projet Power BI
Retour d’expérience de Sarenza sur la façon de piloter un projet Power BIRetour d’expérience de Sarenza sur la façon de piloter un projet Power BI
Retour d’expérience de Sarenza sur la façon de piloter un projet Power BI
 
Malware Unchained
Malware UnchainedMalware Unchained
Malware Unchained
 
Big Data et Business Intelligence de A… Azure
Big Data et Business Intelligence de A… AzureBig Data et Business Intelligence de A… Azure
Big Data et Business Intelligence de A… Azure
 
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...
 
Architectures hybrides: Intégrer vos données métiers dans vos applications cl...
Architectures hybrides: Intégrer vos données métiers dans vos applications cl...Architectures hybrides: Intégrer vos données métiers dans vos applications cl...
Architectures hybrides: Intégrer vos données métiers dans vos applications cl...
 
Reprenez la main sur vos applications SharePoint en mesurant et en optimisant...
Reprenez la main sur vos applications SharePoint en mesurant et en optimisant...Reprenez la main sur vos applications SharePoint en mesurant et en optimisant...
Reprenez la main sur vos applications SharePoint en mesurant et en optimisant...
 
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...
 
La collaboration dans Exchange : comparaison on premises et online
La collaboration dans Exchange : comparaison on premises et onlineLa collaboration dans Exchange : comparaison on premises et online
La collaboration dans Exchange : comparaison on premises et online
 
Exchange / Office 365 comment faire un déploiement hybride
Exchange / Office 365 comment faire un déploiement hybrideExchange / Office 365 comment faire un déploiement hybride
Exchange / Office 365 comment faire un déploiement hybride
 
Sécurité Active Directory: Etablir un référentiel
Sécurité Active Directory: Etablir un référentielSécurité Active Directory: Etablir un référentiel
Sécurité Active Directory: Etablir un référentiel
 
Cas d’étude : Comment simplifier vos backups dans le cloud grâce à VEEAM et M...
Cas d’étude : Comment simplifier vos backups dans le cloud grâce à VEEAM et M...Cas d’étude : Comment simplifier vos backups dans le cloud grâce à VEEAM et M...
Cas d’étude : Comment simplifier vos backups dans le cloud grâce à VEEAM et M...
 
Industrialisez le déploiement de vos infrastructures Cloud depuis votre systè...
Industrialisez le déploiement de vos infrastructures Cloud depuis votre systè...Industrialisez le déploiement de vos infrastructures Cloud depuis votre systè...
Industrialisez le déploiement de vos infrastructures Cloud depuis votre systè...
 
Comment bâtir un cloud hybride en mode IaaS ou SaaS et apporter le meilleur d...
Comment bâtir un cloud hybride en mode IaaS ou SaaS et apporter le meilleur d...Comment bâtir un cloud hybride en mode IaaS ou SaaS et apporter le meilleur d...
Comment bâtir un cloud hybride en mode IaaS ou SaaS et apporter le meilleur d...
 
Migrer de 2003 à 2012 R2, adopter HyperV ou Microsoft Azure : comment réalise...
Migrer de 2003 à 2012 R2, adopter HyperV ou Microsoft Azure : comment réalise...Migrer de 2003 à 2012 R2, adopter HyperV ou Microsoft Azure : comment réalise...
Migrer de 2003 à 2012 R2, adopter HyperV ou Microsoft Azure : comment réalise...
 

(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)

  • 2. SEC307 (Azure) Active Directory + BYOD = Tranquillité d’esprit, chiche ! (2nde Partie) Philippe Beraud Jean-Yves Grasset Direction technique et Sécurité Microsoft France http://aka.ms/hi
  • 4. • Joindre un lieu de travail AD • Authentification de l’appareil • Support intégré pour l’authentification multifacteur (MFA) • Prise en charge extensible de fournisseurs d’authentification multifacteur avec des partenaires
  • 5. • Conception d’IHM réactive à destination des appareils • Choix de l’authentification de l’utilisateur • Messages d’accès refusé personnalisés par RP
  • 6. • Politique d’authentification configurable au niveau global • Contrôle d’accès conditionnel configurable par application
  • 13. • • - Par défaut – Authentification Windows intégrée (WIA) - Options : - WIA avec bascule sur les formulaires, - Authentification par formulaires, - Authentification par certificat/carte à puce • - Par défaut – Authentification par formulaires - Options : - Authentification par formulaires, - Authentification par certificat/carte à puce PS > Get/Set-AdfsGlobalAuthenticationPolicy
  • 14. tech.days 2015#mstechdays • • • • • • • PS > $ExtranetObservationWindow = New-Timespan -Minutes 30 PS > Set-ADFSProperties -EnableExtranetLockout $true –ExtranetLockoutThreshold 3 -ExtranetObservationWindow $ExtranetObservationWindow
  • 18. * MFATriggerClaimRule – Règle de revendication sDéclencheur MFA au format chaîne de caractères. PS > Set-AdfsRelyingPartyTrust – AdditionalAuthenticationRules $MFATriggerClaimRule PS > Set-AdfsAdditionalAuthenticationRule – AdditionalAuthenticationRules $MFATriggerClaimRule*
  • 19. The Federation Service could not authorize token issuance for caller ‘DOMAINUser’. The caller is not authorized to request a token for the relying party 'urn:dumptoken'. See event 501 with the same Instance ID for caller identity. Additional Data Instance ID: xxxxxxxxxxx Relying party: yyyy Exception details: Microsoft.IdentityServer.Service.IssuancePipeline.CallerAuthorizationException: MSIS5007: The caller authorization failed for caller identity xxxxxx for relying party trust yyyy. at Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult result) at Microsoft.IdentityModel.Protocols.WSTrust.WSTrustServiceContract.ProcessCoreAsyncResult.End(IAsyncResult ar) at Microsoft.IdentityModel.Protocols.WSTrust.WSTrustServiceContract.EndProcessCore(IAsyncResult ar, String requestAction, String responseAction, String trustNamespace) User Action Use the AD FS Management snap-in to ensure that the caller is authorized to request a token for the relying party. Problème : Les règles MFA bloquent l’accès depuis les protocoles actifs (Office 365 – Lync, Outlook etc.) Solution : Utiliser la revendication ‘x-ms-endpoint-absolute-path’ pour dispenser un point de terminaison actif de devoir faire une authentification multifacteur dans votre règle de déclencheur Note : ‘adfs/ls’  Requêtes WS-Fed, SAML ‘/adfs/oauth2’  Requêtes OAuth Règle exemples: c:[Type == "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value == "false"] && c1:[Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path", Value =~ `"(/adfs/ls)|(/adfs/oauth2)"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", Value = "http://schemas.microsoft.com/claims/multipleauthn");
  • 21. • • Si de multiples méthodes d’authentification supplémentaires sont activées • PS > Set-AdfsGlobalAuthenticationPolicy – AdditionalAuthenticationProvider “CertificateAuthentication”
  • 36. © 2015 Microsoft Corporation. All rights reserved. tech days• 2015 #mstechdays techdays.microsoft.fr
  • 38. http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarygroupsid SID de groupe principal en refus seul de l’utilisateur http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarysid SID principal en refus seul de l’utilisateur http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid SID de groupe de l’utilisateur Vous pouvez utiliser cette revendication pour vérifier si l’utilisateur est membre d’un groupe donné. http://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsid SID de groupe principal de l’utilisateur http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid SID principal de l’utilisateur http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname Nom du compte de domaine de l’utilisateur sous la forme domaineutilisateur http://schemas.xmlsoap.org/claims/CommonName Nom courant de l’utilisateur http://schemas.xmlsoap.org/ws/2005/05/identity/claims/denyonlysid SID de groupe en refus seul de l’utilisateur http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name Nom unique de l’utilisateur http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn UPN (Nom principal de l’utilisateur) de l’utilisateur http://schemas.microsoft.com/2012/01/devicecontext/claims/displayname Nom d’affichage de l’enregistrement de l’appareil http://schemas.microsoft.com/2012/01/devicecontext/claims/identifier Identificateur de l’appareil http://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser L’utilisateur est enregistré pour utiliser cet appareil Lorsque la valeur de cette revendication est true, cela signifie que l’utilisateur qui est authentifié est celui qui a enregistré à l’origine l’appareil. http://schemas.microsoft.com/2012/01/devicecontext/claims/ostype Type d’OS de l’appareil http://schemas.microsoft.com/2012/01/devicecontext/claims/osversion Version de l’OS de l’appareil
  • 39. http://schemas.microsoft.com/2012/01/requestcontext/claims/client-request-id Identificateur pour une session utilisateur (à des fins de diagnostic) http://schemas.microsoft.com/2012/01/requestcontext/claims/relyingpartytrustid Identificateur pour la ressource/RP http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-application Type d’application client http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-ip Adresse IP du client http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-user-agent Type d’appareil utilisé par le client pour accéder à l’application http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute- path Chemin absolu du point de terminaison qui peut être utilisé pour distinguer un client actif d’un client passif. Comme l’authentification multifacteur est seulement prise en charge pour les applications navigateur, vous pouvez utiliser cette revendication pour distinguer les requêtes émanant d’un navigateur de celles qui ne le sont pas, dans l’hypothèse où vous auriez les deux sortes de protocoles dans la même relation de confiance, ce qui est typiquement le cas lorsque des jetons délivrés à un STS fournisseur de fédération. http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-forwarded-client-ip Adresse IP de l’utilisateur http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-proxy Nom DNS du proxy d’application web (WAP) par lequel est passée la requête http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork Utilisé pour indiquer si la requête a pour origine le réseau d’entreprise. Lorsque cette valeur est false, cela signifie que la requête est passée à travers le proxy d’application web. A true, cela signifie que la requête vient directement du navigateur vers le STS. http://schemas.microsoft.com/2012/12/certificatecontext/* (multiple claim types) Revendications qui représentent différents champs et extensions du certificat client X509 lorsque utilisé comme méthode d’authentification Un cas d’usage intéressant ici est d’utiliser la revendication EKU (http://schemas.microsoft.com/2012/12/certificatecontext/extension/eku) pour vérifier si l'utilisateur a utilisé une carte à puce (l’EKU exacte dépend de l'infrastructure PKI du client) http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod La méthode d’authentification principale utilisée pour authentifier l’utilisateur http://schemas.microsoft.com/claims/authnmethodsreferences Utilisée pour indiquer toutes les méthodes d’authentification utilisée pour authentifier l’utilisateur http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstant Utilisée pour afficher la date et l’heure auxquelles l’utilisateur a été authentifié