Naviguer vers le précédent Sujet précédentSujet suivant Naviguer vers le suivant

Authentification par carte à puce

ADSelfService Plus permet aux administrateurs d'ajouter un bouton Carte à puce à l'écran de connexion, permettant aux utilisateurs d'accéder au portail en libre-service et aux applications en toute sécurité sans nom d'utilisateur ni mot de passe. 

Connexions sans mot de passe au portail ADSelfService Plus utilisant des smart cards.
Remarque : L'authentification par carte à puce peut également être utilisée comme méthode MFA pour protéger les applications d'entreprise, les machines Windows, les actions en libre-service telles que les réinitialisations de mot de passe et les déblocages de compte, les connexions Outlook sur le web, les connexions VPN via des liens de vérification sécurisés, et les connexions à ADSelfService Plus. Pour en savoir plus sur les cartes à puce, le fonctionnement du processus d'authentification et d'autres façons de tirer parti de l'authentificateur carte à puce avec ADSelfService Plus, cliquez ici.

Configuration de l'authentification par carte à puce pour ADSelfService Plus

Préparation de votre environnement d'authentification par carte à puce

L'inscription à l'authentification par carte à puce peut être effectuée par les utilisateurs ainsi que par l'administrateur. Les étapes générales sont les suivantes :

  1. Les utilisateurs doivent se voir délivrer un certificat numérique et une clé privée par l'autorité de certification (CA) de votre organisation.
    2. Remarque : Assurez-vous que les attributs utilisateur AD pris en charge et disposant de valeurs uniques, tels que employeeID, sAMAccountName, ou userPrincipalName, possèdent des valeurs valides qui peuvent être mappées aux attributs correspondants du certificat, comme SAN.OtherName, SAN.RFC822Name, SAN.DirName, SAN.DNSName, SAN.URI, emailaddress, distinguishedName, ou CommonName, dans le certificat de l'utilisateur. Les valeurs des deux attributs liés doivent être identiques pour que le mappage réussisse.
    • Si vous utilisez la CA d'AD, vous pouvez vous référer au guide Microsoft
    • concernant la demande et l'attribution de certificats. Si une CA externe est utilisée pour l'enregistrement des cartes à puce, les certificats doivent être importés dans AD et liés à l'attribut userCertificate
  2. respectif de l'utilisateur.
    • À présent, le certificat et la clé privée (généralement délivrés ensemble sous forme de fichier PFX) de votre CA doivent être enregistrés dans les cartes à puce pour terminer les étapes de préparation.
      • Pour les cartes à puce sur machines : Windows :
      • Importez le fichier PFX directement dans le magasin personnel de l'utilisateur via l'outil Certificate Manager (certmgr.exe). macOS :
      • Non applicable (seules les cartes à puce physiques sont compatibles avec macOS). Linux : À l'aide des paramètres de votre navigateur, importez le fichier PFX via l'onglet Certificate Manager , et le certificat racine CA via l'onglet
    • Authorities.

Pour les cartes à puce physiques

  1. , veuillez vous référer à la documentation fournie par votre fournisseur de cartes à puce sur la façon d'enregistrer les certificats avec le matériel. Prérequis.
  2. ADSelfService Plus doit utiliser une connexion HTTPS.

En savoir

plus

  1. Obtenez le certificat racine CA auprès d'une CA.
  2. Étapes de configuration Maintenant que les certificats sont dans le magasin de certificats personnels de l'utilisateur ou sur leurs appareils physiques, et que les prérequis pour ADSelfService Plus sont remplis, configurons l'authentification sans mot de passe en utilisant des cartes à puce pour le portail ADSelfService Plus..
  3. Connectez-vous à la console web ADSelfService Plus avec des identifiants d'administrateur. Authentification par carte à puce , et le certificat racine CA via l'onglet

    4. Configuration des connexions sans mot de passe au portail ADSelfService Plus utilisant des smart cards.

  4. Naviguez vers Admin > Customize > Logon Settings Cliquez sur Dans le champ Import CA Root Certification , cliquez sur Browse
  5. Naviguez vers pour importer le fichier de certification racine requis (certificat X.509) obtenu à l'étape deux
    • des
    • prérequis. Dans le champ, SAN.RFC822Name, SAN.DirName, SAN.DNSName, SAN.URI, Mapping Attribute in Certificate, distinguishedName, ou CommonName, sélectionnez un attribut unique dans le certificat pour le mappage.

    Connexions sans mot de passe au portail ADSelfService Plus pour des domaines spécifiques utilisant des smart cards.

  6. Naviguez vers Assurez-vous qu'un attribut unique du certificat est mappé à un attribut unique dans AD. Les deux attributs doivent avoir les mêmes valeurs. ADSelfService Plus offre la possibilité de sélectionner n'importe quel attribut du certificat carte à puce qui identifie de manière unique un utilisateur. Vous pouvez choisir
    • SAN.OtherName sAMAccountName).
    • email
  7. Naviguez vers . Si d'autres attributs sont utilisés pour identifier de manière unique l'utilisateur dans votre environnement, saisissez le nom de l'attribut dans la zone de texte fournie et cliquez sur l'icône +. Dans le champ
  8. Mapping Attribute in AD , spécifiez l'attribut LDAP qui doit correspondre à l'attribut de certificat spécifié..
  9. Ici, vous devez spécifier l'attribut LDAP particulier qui identifie de manière unique l'utilisateur dans AD (par exemple,
    10. Remarque : Pendant l'authentification, ADSelfService Plus lit la valeur correspondant à l'attribut de certificat que vous avez spécifié dans l'attribut de mappage du certificat et la compare avec l'attribut de mappage spécifié dans AD.

Dans le champ

Linked Domains

, sélectionnez les domaines pour lesquels vous souhaitez activer l'authentification par carte à puce dans la liste déroulante.

  1. Étapes de configuration L'authentification par carte à puce n'est pas prise en charge lorsque le Load Balancer ou le Reverse Proxy est activé pour ADSelfService Plus..
  2. Connectez-vous à la console web ADSelfService Plus avec des identifiants d'administrateur. Gestion des configurations d'authentification par carte à puce Après avoir ajouté une carte à puce pour l'authentification, vous pouvez effectuer l'une des opérations suivantes :
  3. Ajouter une nouvelle carte à puce , spécifiez l'attribut LDAP qui doit correspondre à l'attribut de certificat spécifié..

Cliquez sur

  1. Étapes de configuration L'authentification par carte à puce n'est pas prise en charge lorsque le Load Balancer ou le Reverse Proxy est activé pour ADSelfService Plus..
  2. Modifier une carte à puce configuréeicône d'éditionActiver ou désactiver une carte à puce
  3. Supprimer une carte à puce configurée
  4. Mapping Attribute in AD , spécifiez l'attribut LDAP qui doit correspondre à l'attribut de certificat spécifié..

Admin > Customize > Logon Settings > Smart Card Authentication

  1. Étapes de configuration L'authentification par carte à puce n'est pas prise en charge lorsque le Load Balancer ou le Reverse Proxy est activé pour ADSelfService Plus..
  2. Cliquez sur le boutonicône de désactivationAdd a New Smartcardicône d'activationen haut à droite.

Redémarrez ADSelfService Plus pour que les modifications prennent effet.

  1. Étapes de configuration L'authentification par carte à puce n'est pas prise en charge lorsque le Load Balancer ou le Reverse Proxy est activé pour ADSelfService Plus..
  2. Saisissez tous les détails requis et cliquez suricône de suppressionCliquez sur l'icône en forme de crayon (
  3. Mapping Attribute in AD ) correspondant à la carte à puce dont vous souhaitez modifier la configuration.
Naviguer vers le précédent Sujet précédentSujet suivant Naviguer vers le suivant
Modifiez les paramètres que vous souhaitez changer.

Activation ou désactivation d'une carte à puce configurée

Pour activer ou désactiver une carte à puce configurée, cliquez sur l'icône rouge (

 

) ou l'icône verte de validation (

  • ) située dans la colonne d'action d'une carte à puce particulière.
  • Cliquez sur l'icône de suppression (

Oui

  •  

    pour confirmer la suppression.

     
  •  

    Merci !

    Votre demande a été soumise à l'équipe de support technique ADSelfService Plus. Nos techniciens vous assisteront dans les plus brefs délais.

     
  •  

    Besoin d'assistance technique ?

    Entrez votre adresse email

     
Parler aux experts

En cliquant sur « Parler aux experts », vous acceptez le traitement des données personnelles conformément à la 2026, Politique de confidentialité. Tous droits réservés.