Sécurité

En savoir plus sur la méthode d’authentification Single-Sign-On dans Windows 10

Lorsque nous parlons de méthodes d’authentification de nos jours, celles-ci impliquent généralement que nous écrivons nos données d’accès ou nos informations d’identification chaque fois que nous voulons le faire. Cependant, la méthode SSO ou Single-Sign-On semble faciliter la vie des personnes qui ont besoin d’accéder à plusieurs services et applications en même temps. Aujourd’hui, dans RedesZone, nous allons parler de l’authentification unique dans Windows 10.

Il ne fait aucun doute que Windows 10 est un système d’exploitation très utilisé en ce qui concerne les environnements d’entreprise. Ils utilisent non seulement les fonctionnalités du système en question, mais également d’autres applications propriétaires et externes. Ceux-ci ont la capacité de s’intégrer à l’environnement Windows de l’entreprise, il est donc très facile d’accéder à 10, 15 applications ou plus.

Si l’utilisateur doit s’authentifier à chaque fois qu’il doit accéder à une application, cela peut être une sacrée perte de temps, ainsi que plusieurs problèmes et risques. Par exemple, si l’utilisateur a besoin de s’authentifier rapidement et n’y prête pas attention, il peut verrouiller son compte d’entreprise en essayant à plusieurs reprises de se connecter. Bien qu’il existe des systèmes de type IAM (Identity Access Management) qui gèrent ce type de situation, l’expérience de l’utilisateur final peut ne pas être très bonne et affecte sans aucun doute sa productivité quotidienne.

SSO (ou Single Sign-On) est un service d’authentification centralisé pour les utilisateurs et les appareils. Il fonctionne de la manière suivante : un ensemble d’identifiants d’utilisateur sert de porte d’accès direct à toutes les applications auxquelles l’autorisation correspondante a été fournie. Ces informations d’identification peuvent consister en un e-mail, un nom d’utilisateur et un mot de passe. L’avantage direct présenté est qu’il ne sera pas nécessaire pour la personne de saisir ses identifiants dans toutes les applications et services qu’elle doit utiliser. Il suffit d’utiliser les raccourcis de type SSO (comme une URL s’il s’agissait d’une application web) et en quelques secondes, il est authentifié.

Autre avantage, l’utilisateur final n’aura qu’un seul mot de passe réellement sécurisé. C’est-à-dire avec un nombre adéquat de chiffres, de nombres, de caractères spéciaux et d’autres spécifications spécifiques aux politiques de mot de passe. L’une des raisons pour lesquelles les gens n’optent pas pour des mots de passe forts est le temps qu’ils mettent à en penser un pour chacune des applications. Avec le SSO, nous pouvons changer l’état d’esprit des utilisateurs en favorisant la création de mots de passe forts et difficiles à deviner. Et s’il est temps de le renouveler, ce changement s’appliquera à toutes les applications pour lesquelles l’authentification unique est activée.

Comment fonctionne l’authentification unique dans Windows 10

Ce service est disponible pour les catégories d’applications suivantes :

  • Applications Windows et services d’authentification intégrés.
  • Applications connectées Azure AD. Y compris Office 365 et toute application publiée avec des proxys Azure AD.
  • Applications avec les services de fédération Active Directory.
  • Appareils Azure AD et joints au domaine (connexion à votre domaine de travail à l’aide de vos informations d’identification réseau).

Avec SSO, vous obtenez un jeton spécial (un jeton) pour chacun des types d’applications qui prennent en charge SSO. Avec cet onglet spécial, vous obtenez d’autres onglets d’accès à des applications spécifiques.

C’est comme si le jeton spécial était le « jeton mère » qui est connu en anglais sous le nom de Primary Refresh Token (PRT) . Celui-ci est généré, en principe, lors du processus de connexion Windows : connexion de l’utilisateur et/ou déverrouillage de l’ordinateur. Il contient toutes les données nécessaires qui nous permettent de connaître l’appareil et le domaine auquel il appartient. Ce qui signifie que toute politique d’accès conditionnel basée sur l’appareil, si vous n’avez pas cet onglet PRT, vous n’aurez pas accès à l’application.

Ensuite, nous vous montrons comment le fichier PRT est généré :

  1. L’utilisateur entre les informations d’identification dans Windows.
  2. Les informations d’identification sont transmises à l’extension Cloud AP Azure AD pour l’authentification.
  3. Le processus d’authentification est effectué à la fois pour l’utilisateur et son appareil afin d’obtenir le jeton PRT d’Azure AD.
  4. Le cache de l’onglet PRT est généré pour que le gestionnaire de compte Web y accède lors de l’authentification de l’application.
  5. L’application demande l’accès à l’onglet PRT depuis le gestionnaire de compte Web qui correspond à une application et/ou un service spécifique.

SSO basé sur un mot de passe

L’une des méthodes d’authentification unique les plus largement utilisées est basée sur un mot de passe ou « basée sur un mot de passe ». Les utilisateurs se connectent à l’application avec un nom d’utilisateur et un mot de passe uniquement la première fois qu’ils se connectent. Après ce démarrage, Azure AD fournit les informations d’identification indiquées aux applications prises en charge.

Cette méthode repose simplement sur une méthode d’authentification déjà existante, qui est celle qui consiste à introduire des identifiants. Si vous optez pour la méthode basée sur un mot de passe, Azure AD collecte et stocke ces données, puis les chiffre dans votre annuaire.

Pour référence, l’utilisateur peut s’authentifier par cette méthode à l’aide des programmes suivants :

  • Internet Explorer à partir de Windows 7.
  • Edge à partir de Windows 10 Anniversary Edition.
  • Edge dans sa version mobile pour Android et iOS.
  • Chrome à partir de Windows 7 et MacOS X.
  • Navigateur géré par Intune.
  • Firefox version 26.0 et suivantes, à partir de Windows XP Service Pack 2 et Mac OS X 10.6.

Peu importe à quel point elle est innovante ou intéressante, la méthode SSO nous montre qu’une vie sans avoir à saisir de mots de passe plusieurs fois par jour est possible. Peut-être avez-vous utilisé cette méthode et vous ne vous en êtes probablement pas rendu compte. La plupart des entreprises, sinon toutes, qui utilisent Windows Active Directory ont le SSO comme allié.

Articles Similaires

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba