circle-info
Cet article a été traduit automatiquement. La traduction peut contenir des imprécisions.
Passer à la version originale en anglais.chevron-right
search

Authentification basée sur les certificats pour Entra ID

L’authentification basée sur un certificat offre une alternative de sécurité robuste pour accéder aux ressources Entra ID. Cet article propose un guide pas à pas pour configurer cette méthode, en utilisant SCEPman comme autorité de certification afin de simplifier la gestion des certificats.

hashtag
Activer le CRL de SCEPman

Activation de la CRLchevron-right

Entra ID nécessitera un CRL pour valider les certificats. Assurez-vous de définir les variables d’environnement suivantes dans votre service d’application pour que le CRL soit disponible :

AppConfig:CRL:RequestTokenarrow-up-right

Définissez ceci sur une chaîne personnalisée qui sera utilisée dans l’URL pour permettre le téléchargement du CRL.

AppConfig:CRL:Sourcearrow-up-right

C’est la source à partir de laquelle SCEPman génère le CRL. Assurez-vous que cela soit défini sur Stockage

hashtag
Configurer Entra ID

1

hashtag
Créer une PKI dans Entra Security Center

Dans Entra ID, accédez à Protection > Security Center > Public Key Infrastructurearrow-up-right, cliquez sur Create PKI et sélectionnez un nom d’affichage correspondant.

2

hashtag
Ajouter une autorité de certification

Accédez à la PKI nouvellement créée et cliquez sur Add certificate authority pour téléverser le certificat CA de votre instance SCEPman. Ce certificat peut être obtenu depuis sa page d’accueil dans le menu à droite (Get CA Certificate).

Pour l’URL de la liste de révocation des certificats, vous pouvez saisir l’URL dans le format suivant :

https://scepman.contoso.com/crl/pem/{YourCrlRequestToken}
circle-exclamation

Assurez-vous d’inclure le /pem/ chemin dans votre URL, car Entra peut rencontrer des problèmes de compatibilité lors de l’utilisation du format DER par défaut.

Vous devriez maintenant obtenir une autorité de certification similaire à ce qui suit :

3

hashtag
Activer CBA dans les méthodes d’authentification

Une fois l’AC en place, nous pouvons poursuivre et activer l’authentification basée sur un certificat dans Protection > méthodes d’authentification > Stratégiesarrow-up-right

Accédez à la authentification basée sur un certificat stratégie, activez-la et autorisez tous les utilisateurs ou des groupes spécifiques à utiliser cette méthode :

4

hashtag
Configurer l’authentification basée sur un certificat

Passez à l’onglet Configurer et parcourez les options :

Exiger la validation du CRL: ✅

Il s’agit d’un élément essentiel de la sécurité offerte par cette méthode, car le CRL indiquera à Entra ID quels certificats ont été révoqués et ne doivent donc pas être autorisés pour l’authentification.

Indications d’émetteur : ✅

L’activation des indications d’émetteur n’affichera lors de l’authentification que les certificats délivrés par l’AC configurée.

Conservez les paramètres par défaut pour la liaison d’authentification et créez une règle permettant d’autoriser l’autorité de certification créée précédemment :

Force d’authentification:

Cela définit le poids de l’authentification à l’aide de cette AC. Si vous sélectionnez Authentification à facteur unique, une autre méthode d’authentification peut être nécessaire selon l’application à laquelle on accède.

Liaison d’affinité:

La liaison d’affinité définit les détails requis dans le certificat, qui doivent correspondre aux données associées dans l’objet utilisateur pour que l’authentification soit autorisée. Comme SCEPman ne peut actuellement ajouter aucune information de certificat dans l’objet utilisateur, nous recommandons de définir cela sur Faible sauf si vous configurez manuellement les informations requises.

circle-exclamation

Les paramètres de force d’authentification et de liaison d’affinité dépendent fortement du cas d’usage spécifique et du type de comptes que vous souhaitez protéger avec cette méthode d’authentification. Si vous souhaitez sécuriser des utilisateurs hautement privilégiés, vous devriez envisager d’ajouter manuellement les informations du certificat dans leurs comptes utilisateur pour obtenir une forte affinité.

hashtag
Utilisation

Une fois la configuration en place, un utilisateur peut sélectionner Utiliser un certificat ou une carte à puce:

Ce qui demandera ensuite de choisir le certificat à utiliser pour l’authentification.

hashtag
Ajout manuel du mappage de certificat pour une liaison à forte affinité

Si vous souhaitez activer la CBA uniquement avec une liaison à forte affinité, vous pouvez saisir manuellement les détails du certificat dans les informations autorisées de l’utilisateur.

Accédez aux propriétés des utilisateurs dans Entra ID, modifiez-les puis modifiez maintenant les IDs utilisateur de certificat:

Le format requis de ces IDs dépend des champs qui ont été configurés dans la liaison utilisateur des méthodes d’authentification. Une liste de formats peut être trouvée dans le documentation Microsoftarrow-up-right.

Exemple pour la liaison SHA1PublicKey :

Cela utilise l’empreinte du certificat pour associer fortement l’identité de l’utilisateur.

Mis à jour

Ce contenu vous a-t-il été utile ?