Base de connaissances
Accueil » Base de connaissances

Comment configurer l'authentification multifacteur avec Duo Security ?

ADSelfService Plus prévient les menaces potentielles à la sécurité en renforçant l'accès aux comptes utilisateurs avec l'authentification multifacteur (MFA) en ajoutant une couche de sécurité supplémentaire. Si l’authentification MFA est activée, les utilisateurs doivent prouver leur identité par le biais des authentificateurs renforcés, en plus des mots de passe.

L'authentification MFA peut être appliquée aux opérations de mot de passe en libre-service ainsi qu'aux tentatives de connexion au portail de l'utilisateur final ADSelfService Plus, aux points de terminaison et aux applications. ADSelfService Plus prend en charge quinze techniques d'authentification avancées, notamment Duo Security, la biométrie, l'authentificateur YubiKey, l'authentification SAML et RSA SecurID.

Authentification multifacteur via Duo Security

Si l’authentification multifacteur utilisant Duo Security est activée, les utilisateurs devront, lors de chaque connexion, prouver leur identité par l'une des méthodes suivantes :

  • Approuver une notification push via l'application mobile Duo Security.
  • Saisir le code d'accès de sécurité reçu lors d'un appel de vérification.
  • Saisir un code d'accès de sécurité généré pendant le processus de connexion.

Configuration

L'authentification multifacteur basée sur Duo Security peut être configurée en seulement trois étapes simples.

Étape 1 : Intégrez Duo Security à ADSelfService Plus.

  1. Connectez-vous à votre compte Duo Security (par exemple, https://admin-3d5d33c0.duosecurity.com), ou si vous êtes un nouvel utilisateur, inscrivez-vous et connectez-vous.
  2. Allez dans Applications.
  3. Cliquez sur Protéger une application.

    duo-security-configuration-application-tab-adselfservice-plus

  4. Recherchez Web SDK dans la liste des applications.

    duo-security-configuration-web-sdk-search-adselfservice-plus

  5. Cliquez sur le bouton Protéger cette application dans le résultat de la recherche.
  6. Copiez les valeurs de la Clé d'intégration, Clé secrète et du Nom d'hôte de l'API à partir de la page Web SDK qui s'ouvre.

    duo-security-configuration-web-sdk-adselfservice-plus

Configurer l'API Auth (facultatif)

La configuration de l'API Auth est utilisée pour vérifier l'inscription d'un utilisateur auprès de Duo Security. Si l'API Auth n'est pas configurée, il est obligatoire de supprimer l'inscription de l'utilisateur dans ADSelfService Plus lors de la suppression de l'inscription d'un utilisateur dans Duo Security. Si cela n'est pas fait, l'utilisateur est ajouté à Duo Security lors de son utilisation pour l'authentification dans ADSelfService Plus.

  • Si l'API Auth est configurée, retournez dans la section Applications → Protéger une application.
  • Recherchez API d'authentification.
  • Copiez les valeurs de la Clé d'intégration et de la Clé de sécurité.

configuring-duo-security-adselfservice-plus

Étape 2 : Configurer Duo Security dans ADSelfService Plus

  1. Connectez-vous à la console ADSelfService Plus en utilisant les informations d'identification de l'administrateur.
  2. Allez dans Configuration → Libre-service → Authentification multifacteur → Configuration des authentificateurs.
  3. Sélectionnez Duo Security.

    duo-enabled-two-factor-authentication

  4. Collez les valeurs que vous avez copiées précédemment à partir de la page Web SDK dans les champs Clé d'intégration, Clé secrète et Nom d'hôte de l'API.
  5. Si Auth API est configuré, allez dans Paramètres avancés et collez les valeurs que vous avez copiées dans cette étape de la page Auth API dans les champs Clé d'intégration et Clé secrète.
  6. Cliquez sur Enregistrer.

configuring-duo-security-adselfservice-plus

Étapes pour activer l'authentification multifacteur pour la connexion au portail de l'utilisateur final d'ADSelfService Plus

Prérequis:

  1. SSL doit être activé : Connectez-vous à la console web d'ADSelfService Plus avec vos identifiants d'administrateur. Allez dans Admin → Paramètres du produit → Connexion. Sélectionnez l’option Port ADSelfService Plus [https]. Se référer à ce guide pour savoir comment appliquer un certificat SSL et activer HTTPS.

Étapes pour configurer :

  1. Naviguez jusqu'à Configuration → Libre-service → Authentification multifacteur → MFA pour la réinitialisation/déverrouillage.

    Steps to enable multi-factor authentication for ADSelfService Plus

  2. Choisissez la Stratégie dans le menu déroulant.
    Remarque : ADSelfService Plus vous permet de créer des stratégies basées sur les UO - et les groupes. Pour créer une stratégie, allez dans Configuration → Libre-service → Configuration des stratégies → Ajouter une nouvelle stratégie. Cliquez sur Sélectionner UO/Groupes et effectuez la sélection en fonction de vos besoins. Vous devez sélectionner au moins une fonction de libre-service. Enfin, cliquez sur Enregistrer la stratégie.
  3. Utilisez l'option Activer _ facteurs d'authentification à côté de MFA pour connexion ADSelfService Plus,
  4. Sélectionnez Duo Security et les autres authentificateurs nécessaires dans le menu déroulant Sélectionner les authentificateurs nécessaires.
  5. Cliquez sur Enregistrer les paramètres.

Étapes à suivre pour activer l'authentification multifacteur pour la réinitialisation du mot de passe/le déverrouillage du compte

Prérequis:

  1. SSL doit être activé : Connectez-vous à la console web d'ADSelfService Plus avec vos identifiants d'administrateur. Allez dans Admin → Paramètres du produit → Connexion. Sélectionnez l’option Port ADSelfService Plus [https]. Se référer à ce guide pour savoir comment appliquer un certificat SSL et activer HTTPS.

Étapes pour configurer :

  1. Allez dans Configuration → Libre-service → Authentification multifacteur → MFA pour la réinitialisation/le déverrouillage.

    Steps to enable multi-factor authentication for ADSelfService Plus

  2. Choisissez la Stratégie dans le menu déroulant.
    Remarque : ADSelfService Plus vous permet de créer des stratégies basées sur les UO - et les groupes. Pour créer une stratégie, allez dans Configuration → Libre-service → Configuration des stratégies → Ajouter une nouvelle stratégie. Cliquez sur Sélectionner UO/Groupes et effectuez la sélection en fonction de vos besoins. Vous devez sélectionner au moins une fonction de libre-service. Enfin, cliquez sur Enregistrer la stratégie.
  3. Cochez la case Sélectionner les authentificateurs requise
  4. Utilisez l'option Activer _ facteurs d'authentification à côté de « MFA pour réinitialisation du mot de passe/déverrouillage de compte » pour sélectionner le nombre de facteurs d'authentification
  5. Sélectionnez Duo Security et les autres authentificateurs configurés nécessaires dans le menu déroulant.
  6. Cliquez sur Enregistrer les paramètres.

Étapes à suivre pour activer l'authentification multifacteur pour les points de terminaison

Conditions préalables :

  1. Utiliser le module complémentaire Endpoint MFA : Votre licence ADSelfService Plus doit inclure le module complémentaire Endpoint MFA. Visitez la boutique en ligne pour l'acheter.
  2. SSL doit être activé : Connectez-vous à la console web d'ADSelfService Plus avec vos identifiants d'administrateur. Allez dans Onglet Admin → Paramètres du produit → Connexion. Sélectionnez l’option Port ADSelfService Plus [https]. Se référer à ce guide pour savoir comment appliquer un certificat SSL et activer HTTPS.
  3. L'URL d'accès doit être défini comme HTTPS : Naviguer vers Admin > Paramètres du produit > Connexion > Paramètres de connexion > Configurer l'URL d'accès et définissez l’option Protocole sur HTTPS.
  4. Applicable au MFA pour les connexions aux machines : Installez le logiciel client ADSelfService Plus pour Windows, macOS et Linux sur les machines où vous voulez activer MFA. Cliquez ici pour connaître les étapes d'installation du logiciel client ADSelfService Plus.

Configuration:

  1. Allez dans Configuration → Libre-service → Authentification multifacteur → MFA pour les points de terminaison.

    Steps to enable MFA for ADSelfService Plus

  2. Choisissez la Stratégie dans le menu déroulant.
    Remarque : ADSelfService Plus vous permet de créer des stratégies basées sur les UO - et les groupes. Pour créer une stratégie, allez dans Configuration → Libre-service → Configuration des stratégies → Ajouter une nouvelle stratégie. Cliquez sur Sélectionner UO/Groupes et effectuez la sélection en fonction de vos besoins. Vous devez sélectionner au moins une fonction de libre-service. Enfin, cliquez sur Enregistrer la stratégie.
  3. L’authentification MFA peut être configurée de manière à ce que des facteurs d'authentification supplémentaires soient requis sur les écrans de connexion des machines ou systèmes Windows, macOS et Linux, pendant les connexions VPN ou Outlook Web Access (OWA).
    • Pour les connexions aux machines :
      • Allez dans Configuration > Libre service > Authentification multifacteur > MFA pour points de terminaison > MFA pour connexions machines.
      • Cochez la case Sélectionner les authentificateurs requise
      • Utilisez l'option Activer _ facteurs d'authentification à côté de MFA pour connexion machine pour sélectionner le nombre de facteurs d'authentification
      • Sélectionnez Duo Security et les autres authentificateurs configurés nécessaires dans le menu déroulant.
      • Cliquez sur Enregistrer les paramètres.
    • Pour la connexion OWA :
      • Allez dans Configuration > Libre service > Authentification multifacteur > MFA pour points de terminaison > MFA pour connexions machines.
      • Cochez la case Sélectionner les authentificateurs requis.
      • Sélectionnez l'option Activer l'authentification à deux facteurs à côté de MFA pour la connexion à OWA, et choisissez RSA SecurID dans le menu déroulant.
      • Cliquez sur Enregistrer les paramètres.
  4. Cliquez sur Enregistrer les paramètres.

Demande d'assistance

Besoin d'une aide supplémentaire ? Remplissez ce formulaire et nous vous contacterons immédiatement

  • Nom
  •  
  • Courriel professionnel *
  •  
  • Téléphone *
  •  
  • Description du problème *
  •  
  • Pays
  •  
  • En cliquant sur « Soumettre », vous acceptez le traitement des données personnelles conformément à la politique de confidentialité.
Points forts

Libre-service de mot de passe

Libérez les utilisateurs d'Active Directory d'assister à de longs appels au service d'assistance en leur permettant d'effectuer en libre-service leurs tâches de réinitialisation de mot de passe/de déverrouillage de compte. Changement de mot de passe sans tracas pour les utilisateurs d'Active Directory avec la console ADSelfService Plus « Changer le mot de passe ».

Une identité avec authentification unique

Obtenez un accès transparent en un clic à plus de 100 applications cloud. Avec l'authentification unique d'entreprise, les utilisateurs peuvent accéder à toutes leurs applications cloud avec leurs informations d'identification Active Directory. Merci à ADSelfService Plus !

Notification d'expiration de mot de passe/compte

Informez les utilisateurs d'Active Directory de l'expiration imminente de leur mot de passe/compte en leur envoyant ces notifications d'expiration de mot de passe/compte.

Synchroniseur de mot de passe

Synchronisez automatiquement les modifications de mot de passe/compte utilisateur Windows Active Directory sur plusieurs systèmes, notamment Office 365, G Suite, IBM iSeries et plus encore.

Application de la politique de mot de passe

Garantissez des mots de passe utilisateur forts qui résistent à diverses menaces de piratage avec ADSelfService Plus en obligeant les utilisateurs d'Active Directory à adhérer à des mots de passe conformes via l'affichage des exigences de complexité des mots de passe.

Mise à jour automatique de l'annuaire et recherche d'entreprise

Portail qui permet aux utilisateurs d'Active Directory de mettre à jour leurs dernières informations et une fonction de recherche rapide pour rechercher des informations sur leurs pairs en utilisant des clés de recherche, comme le numéro de contact, de la personnalité recherchée.