Exporter (0) Imprimer
Développer tout

Nouveautés des AD DS : Assurance du mécanisme d’authentification

Mis à jour: août 2009

S'applique à: Windows Server 2008 R2

Quels sont les principaux changements ?

L’assurance du mécanisme d’authentification est une nouvelle fonctionnalité des services de domaine Active Directory (AD DS) dans Windows Server 2008 R2. Cette fonctionnalité n’est pas activée par défaut. Elle requiert un niveau fonctionnel de domaine de Windows Server 2008 R2 ainsi qu’une infrastructure d’authentification basée sur des certificats et des étapes de configuration supplémentaires.

Quel est le rôle de l’assurance du mécanisme d’authentification ?

Lorsque vous l’activez, l’assurance du mécanisme d’authentification ajoute au jeton d’accès d’un utilisateur une appartenance au groupe universel désignée par l’administrateur, lorsque les informations d’identification de l’utilisateur sont authentifiées lors de l’ouverture de session avec une méthode d’ouverture de session basée sur des certificats. Cela permet aux administrateurs des ressources réseau de contrôler l’accès aux ressources, telles que les fichiers, les dossiers et les imprimantes, selon que l’utilisateur ouvre ou non une session au moyen d’une méthode d’ouverture de session basée sur des certificats et selon le type de certificat qui est utilisé pour l’ouverture de session. Par exemple, lorsqu’un utilisateur ouvre une session avec une carte à puce, l’accès de l’utilisateur aux ressources sur le réseau peut être spécifié comme étant différent du type d’accès qui serait disponible lorsque l’utilisateur n’emploie pas de carte à puce (c’est-à-dire, lorsque l’utilisateur tape un nom d’utilisateur et un mot de passe). Sans l’assurance du mécanisme d’authentification, il n’y a pas de distinction dans le jeton d’accès d’un utilisateur qui ouvre une session avec une authentification basée sur des certificats et un utilisateur qui ouvre une session au moyen d’une autre méthode d’authentification.

À qui cette fonctionnalité s’adresse-t-elle ?

Cette fonctionnalité est prévue pour être utilisée avec Active Directory Federation Services (AD FS), les modèles d’autorisation personnalisés ou les deux. Par conséquent, cette fonctionnalité intéressera les organisations qui déploient ou ont l’intention de déployer AD FS ou des modèles d’autorisation personnalisés.

Ces changements peuvent intéresser les groupes ou personnes suivants :

  • Les responsables et administrateurs de la sécurité des systèmes d’information

  • Les administrateurs d’entreprise

  • Les administrateurs des ressources sécurisées

  • Les auditeurs de la sécurité des systèmes d’information et de la conformité aux réglementations

  • Les responsables des technologies de l’information

Existe-t-il des considérations particulières ?

Cette fonctionnalité est destinée aux organisations qui utilisent des méthodes d’authentification basées sur des certificats, tels que des systèmes d’authentification basés sur des cartes à puce ou des jetons. Les organisations qui n’utilisent pas les méthodes d’authentification basées sur des certificats ne seront pas en mesure d’utiliser l’assurance du mécanisme d’authentification, même si le niveau fonctionnel de domaine des contrôleurs de domaine Windows Server 2008 R2 est défini sur Windows Server 2008 R2.

Quelles sont les nouveautés de cette fonctionnalité ?

L’assurance du mécanisme d’authentification permet de contrôler l’accès aux ressources réseau afin de reconnaître les ouvertures de session basées sur des certificats au moyen de certificats émis par des stratégies d’émission de certificats spécifiques. Lorsqu’une méthode d’ouverture de session basée sur des certificats (par exemple, une ouverture de session par carte à puce) est utilisée et que l’assurance du mécanisme d’authentification est activée, une appartenance au groupe supplémentaire est ajoutée au jeton d’accès de l’utilisateur au cours de l’ouverture de session. Un administrateur lie l’appartenance au groupe universel à une stratégie spécifique d’émission de certificats, qui est incluse dans le modèle de certificat. Étant donné que différentes stratégies d’émission de certificats peuvent être liées à différents groupes universels, l’administrateur peut utiliser les appartenances à un groupe pour déterminer si un certificat a été utilisé au cours de l’opération d’ouverture de session. L’administrateur peut également reconnaître les différents certificats sur base de l’identificateur d’objet (OID) de stratégie d’émission de certificats qui correspond à la stratégie d’émission de certificats à partir de laquelle le certificat a été émis. Enfin, l’assurance du mécanisme d’authentification permet aux administrateurs des ressources de sécuriser les ressources en utilisant des appartenances à un groupe qui reconnaissent qu’un utilisateur a été authentifié au moyen d’une méthode d’authentification basée sur des certificats ayant utilisé un certificat émis à partir d’une stratégie particulière d’émission de certificats.

Par exemple, supposons qu’un utilisateur appelé Tom dispose d’une carte à puce avec un certificat qui a été émis à partir d’une stratégie d’émission de certificats intitulée Ultra secret. Si l’assurance du mécanisme d’authentification est utilisée pour mapper des certificats émis à partir de la stratégie d’émission de certificats Ultra secret et fournir une appartenance à un groupe universel intitulé Utilisateurs ultra secret, lorsque Tom ouvre une session au moyen de sa carte à puce, il reçoit une appartenance à un groupe supplémentaire indiquant qu’il est membre des Utilisateurs ultra secret. Les administrateurs des ressources peuvent définir des permissions sur les ressources de façon à ce que seuls les membres des Utilisateurs ultra secret se voient accorder un accès. Cela signifie que lorsque Tom ouvre une session au moyen de sa carte à puce, il peut accéder aux ressources auxquelles ont accès les Utilisateurs ultra secret, mais il ne peut pas accéder aux ressources lorsqu’il ouvre une session sans utiliser la carte à puce (par exemple, en tapant un nom d’utilisateur et un mot de passe).

Comment préparer le déploiement de cette fonctionnalité ?

Si vous voulez implémenter une assurance de mécanisme d’authentification, le niveau fonctionnel de domaine doit être augmenté à Windows Server 2008 R2. Vous devez également posséder ou établir une méthode d’authentification basée sur les certificats. Les certificats à utiliser pour l’ouverture de session doivent être distribués à partir d’une stratégie d’émission de certificats, étant donné que c’est l’OID de stratégie d’émission de certificats qui est lié à l’appartenance à un groupe de sécurité.

Quelles éditions incluent cette fonctionnalité ?

L’assurance du mécanisme d’authentification est disponible dans les éditions suivantes de Windows Server 2008 R2 (y compris les éditions sans Hyper-V™) :

  • Windows Server 2008 R2 Standard

  • Windows Server 2008 R2 Enterprise

  • Windows Server 2008 R2 Datacenter

Windows Web Server 2008 R2 n’inclut pas les services de domaine Active Directory (AD DS). Par conséquent, Windows Web Server 2008 R2 ne peut pas être utilisé pour activer ou implémenter l’assurance du mécanisme d’authentification. Toutefois, tout système d’exploitation client ou serveur qui est en mesure d’interpréter les jetons d’accès Windows®, y compris Windows Web Server 2008 R2, peut être utilisé pour octroyer ou refuser l’accès sur base de la ou des appartenances à un groupe qui sont ajoutées au jeton d’un utilisateur par l’assurance du mécanisme d’authentification.

Références supplémentaires

Pour apprendre à implémenter l’assurance du mécanisme d’authentification, voir les guides pas à pas suivants :

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

AJOUTER
Afficher:
© 2014 Microsoft