Authentification par carte à puce

Remarque : L’authentification par carte à puce est un Authentificateur disponible dans le cadre de l’édition.

ADSelfService Plus propose l’authentification par carte à puce comme l’une de ses méthodes MFA pour vérifier l’identité des utilisateurs.

Qu’est-ce qu’une carte à puce ?

Une carte à puce est un outil de sécurité qui combine un certificat numérique avec une clé privée pour authentifier

• Un certificat numérique est un document électronique émis par une Autorité de Certification (CA) qui
• Une clé privée est un secret cryptographique couplé à la clé publique. Elle est stockée en toute sécurité

Types de cartes à puce

Cartes à puce sur machines : Il s’agit d’un fichier protégé par mot de passe (au format PFX ou autres formats de clé PKCS#12)

Cartes à puce physiques :

• Il peut s’agir de dispositifs matériels compatibles avec l’authentification basée sur carte à puce ou certification,
• ADSelfService Plus prend en charge les cartes PIV, les cartes d’accès communes (CAC) et autres cartes à puce basées sur certificat PKI
• Les cartes d’identification par radiofréquence (RFID) ou communication en champ proche (NFC) utilisées comme cartes d’accès de vérification d’identité ne supportent pas le certificat X509 et ne peuvent pas être utilisées pour l’authentification par carte à puce.

Fonctionnement de l’authentification par carte à puce

Lorsqu’un utilisateur initie l’authentification en insérant sa carte à puce et en fournissant le PIN de la carte ou une empreinte digitale, ou toute autre méthode 2FA configurée, ADSelfService Plus vérifie son identité en comparant le fichier certificat sur la carte de l’utilisateur avec celui dans AD. Voici comment fonctionne le processus d’authentification :

1. ADSelfService Plus demande le certificat numérique de l’utilisateur depuis le navigateur (ou l’agent de connexion dans le
2. Selon le type de carte à puce, le navigateur (ou agent) effectue l’une des opérations suivantes :
• Cartes à puce sur machines utilisateur : Le navigateur ou l’agent de connexion récupère le certificat
• Cartes à puce physiques :
Remarque : Pour utiliser des cartes physiques pour l’authentification MFA Endpoint sur Windows, le
• Le certificat et la clé privée sont automatiquement injectés dans le magasin de certificats de l’appareil lorsque le dispositif matériel est inséré dans la machine ou lorsque le périphérique USB PIV est lu par un lecteur de cartes. S’il existe plusieurs certificats sur la carte à puce, l’utilisateur est invité à sélectionner le bon. Le navigateur ou agent récupère alors le certificat du magasin et demande la vérification PIN pour déverrouiller la carte à puce ou le certificat pour l’authentification.
3. Après vérification réussie par le navigateur ou agent, le certificat est envoyé à ADSelfService Plus
• Le certificat est valide et a été émis par la CA de confiance configurée dans ADSelfService Plus.
• Le certificat correspond à l’attribut userCertificate dans AD.

Si le certificat passe ces vérifications, l’identité de l’utilisateur est confirmée et la MFA est réussie.

Configuration de l’authentification par carte à puce via ADSelfService Plus

Avec ADSelfService Plus, vous pouvez utiliser les cartes à puce de la manière suivante :

• Sécuriser les identités utilisateur avec MFA : Les cartes à puce peuvent être utilisées comme facteur d’authentification pour ici pour apprendre à configurer l’authentificateur carte à puce pour MFA.
• Activer les connexions sans mot de passe : Les administrateurs peuvent ajouter un bouton Carte à puce à l’écran de connexion ADSelfService Plus, permettant aux utilisateurs d’accéder au portail libre-service et aux applications en toute sécurité en un clic, sans nécessiter de nom d’utilisateur ni mot de passe. Cliquez ici pour apprendre à configurer l’authentificateur carte à puce pour les connexions sans mot de passe.