Authentification basée sur certificat pour Entra ID
L'authentification basée sur des certificats offre une alternative de sécurité robuste pour accéder aux ressources Entra ID. Cet article propose une présentation pas à pas sur la façon de configurer cette méthode, en utilisant SCEPman comme autorité de certification pour simplifier la gestion des certificats.
Activer la CRL de SCEPman
Activation de la CRLEntra ID exigera une CRL pour valider les certificats. Assurez-vous de définir les variables d'environnement suivantes dans votre App Service afin que la CRL soit disponible :
Définissez ceci sur une chaîne personnalisée qui sera utilisée dans l'URL pour permettre le téléchargement de la CRL.
Ceci est la source à partir de laquelle SCEPman construit la CRL. Assurez-vous que cela est défini sur Stockage
Configurer Entra ID
Créer une PKI dans Entra Security Center
Dans Entra ID, accédez à Protection > Security Center > Infrastructure à clés publiques, cliquez sur Créer une PKI et sélectionnez un nom d'affichage correspondant.
Ajouter une autorité de certification
Accédez à la PKI nouvellement créée et cliquez sur Ajouter une autorité de certification pour télécharger le certificat CA de votre instance SCEPman. Ce certificat peut être obtenu depuis sa page d'accueil dans le menu à droite (Obtenir le certificat CA).
Pour l'URL de la liste de révocation de certificats, vous pouvez entrer l'URL dans le format suivant :
https://scepman.contoso.com/crl/pem/{YourCrlRequestToken}Veillez à inclure le /pem/ chemin dans votre URL car Entra peut rencontrer des problèmes de compatibilité lorsqu'il utilise le format DER par défaut.
Vous devriez maintenant disposer d'une autorité de certification similaire à la suivante :
Activer l'ABC dans les méthodes d'authentification
Avec la CA en place, nous pouvons continuer et activer l'authentification basée sur les certificats dans Protection > Méthodes d'authentification > Stratégies
Allez à la authentification basée sur des certificats stratégie, activez-la et autorisez soit tous les utilisateurs soit des groupes spécifiques à utiliser cette méthode :
Configurer l'authentification basée sur des certificats
Passez à l'onglet Configurer et parcourez les options :
Exiger la validation CRL: ✅
Ceci est une partie essentielle de la sécurité fournie par cette méthode, car la CRL indiquera à Entra ID quels certificats ont été révoqués et ne doivent donc pas être autorisés à s'authentifier.
Indices d'émetteur : ✅
L'activation des indices d'émetteur n'affichera pendant l'authentification que les certificats émis par la CA configurée.
Laissez les paramètres par défaut pour la liaison d'authentification et poursuivez en créant une règle pour autoriser l'autorité de certification créée précédemment :
Force d'authentification:
Ceci définit le poids de l'authentification utilisant cette CA. Si vous sélectionnez Authentification à un seul facteur, une autre méthode d'authentification peut être nécessaire selon l'application à laquelle on souhaite accéder.
Liaison d'affinité:
La liaison d'affinité définit les détails requis dans le certificat, qui doivent correspondre aux données corrélées dans l'objet utilisateur, pour que l'authentification soit autorisée. Comme SCEPman ne peut actuellement pas ajouter d'informations de certificat dans l'objet utilisateur, nous recommandons de définir ceci sur Faible à moins que vous ne configuriez manuellement les informations requises.
Les paramètres de force d'authentification et de liaison d'affinité dépendent fortement du cas d'utilisation spécifique et du type de comptes que vous souhaitez protéger avec cette méthode d'authentification. Si vous souhaitez sécuriser des utilisateurs hautement privilégiés, vous devriez envisager d'ajouter manuellement les informations du certificat dans leurs comptes utilisateur pour une forte affinité.
Utilisation
Avec la configuration en place, un utilisateur peut sélectionner Utiliser un certificat ou une carte à puce:
Ce qui demandera à son tour le certificat à utiliser pour l'authentification.
Ajout manuel d'un mappage de certificat pour une liaison d'affinité élevée
Si vous souhaitez activer l'ABC uniquement en utilisant une liaison d'affinité élevée, vous pouvez saisir manuellement les détails des certificats dans les informations autorisées de l'utilisateur.
Accédez aux propriétés des utilisateurs dans Entra ID, modifiez-les puis modifiez maintenant les ID utilisateur de certificat:
Le format requis de ces identifiants dépend des champs qui ont été configurés dans la liaison utilisateur des méthodes d'authentification. Une liste de formats peut être trouvée dans le documentation Microsoft.
Exemple pour la liaison SHA1PublicKey :
Ceci utilise l'empreinte du certificat pour mapper de manière forte l'identité de l'utilisateur.
Mis à jour
Ce contenu vous a-t-il été utile ?