Dans un article précédent, nous discutions de la solution Azure Multi-Factor Authentication pour mettre en place une authentification d’entreprise multi facteurs. Ajoutons maintenant une fonctionnalité à cette solution : le portail utilisateur.
Pour rappel, cet article fait partie d’une série :
- Introduction à Windows Azure Multi-Factor Authentication
- Installation et paramétrage du serveur Windows Azure Multi Factor Authentication
- Installation et paramétrage de Remote Desktop Gateway
- Installation et paramétrage du portail utilisateur (vous êtes ici)
- Installation et paramétrage pour l’application mobile
- Installation et paramétrage pour ADFS
Nous avons vu dans l’article 2 comment mettre en place manuellement pour quelques utilisateurs la fonctionnalité d’authentification multi facteurs. En déploiement d’entreprise, afin d’éviter un surplus de travail pour les administrateurs, nous allons automatiser au maximum les fonctions de provisionning et fournir un portail pour que les utilisateurs puissent effectuer les opérations de base par eux-même.
Il nous faut alors un serveur Web avec IIS et les composants de rétrocompatibilité de la metabase pour IIS6, les composants .NET 2.0.
L’installation du portail peut se faire sur un simple serveur Web, sur lequel on installe les composants, et on spécifie dans le fichier web.config un chemin de connexion, nom d’utilisateur et mot de passe. Cela ne me plait pas beaucoup donc pour éviter cela, installons un nouveau serveur MFA dans le groupe que nous avons crée précédemment, et installons ensuite les composants Web sur ce serveur.
1. Installation du serveur MFA
Nous suivons les étapes telles que décrites dans l’article 2 de cette série.
A l’étape 2., nous spécifions que le serveur rejoint un groupe, le même groupe de spécifié précédemment, en l’occurrence MyMFA :
Nous activons la réplication pour partager les informations avec le serveur spécifié précédemment.
Nous utilisons AD ainsi que les certificats pour authentifier nos serveurs MFA.
Ajoutons le compte machine aux administrateurs PhoneFactor, c’est obligatoire.
Validons la création des certificats pour l’authentification mutuelle entre serveurs MFA.
Et le traditionnel redémarrage.
Les composants serveurs MFA sont bien installés, une fois le serveur redémarré, vérifions la console serveur MFA pour y confirmer la connexions de multiples serveurs :
On voit qu’on a bien les deux serveurs listés, qu’ils sont en ligne et que le serveur initial est bien le maitre de la configuration. A noter que cette notion de serveur maitre n’empêche en rien la configuration depuis le serveur “secondaire” que nous venons d’installer.
Passons donc maintenant à l’installation des binaires du portail.
2. Installation du portail
Nous vérifions que le Framework .net 2.0 est bien installé :
Si ce n’est pas le cas, il est toujours temps de l’installer. Notons qu’il faudra spécifier un chemin alternatif (média d’installation de Windows) pour les binaires qui ne se situent pas par défaut dans les fichiers de Windows. Cela nous rappellera le (bon?) temps où il fallait insérer le CD à chaque fois qu’on ajoutait des composants à Windows.
Nous pouvons ensuite procéder à l’installation du portail :
La première étape de l’assistant déploiement nous propose de lire la documentation du produit, il s’agit évidemment d’un développeur taquin qui sait que personne ne la lit.
Le portail a aussi besoin des composants de rétrocompatibilité avec la meta base de IIS6, ajoutons les sous peine de ne pouvoir continuer.
L’assistant nous propose de créer le compte pour l’application IIS et de l’ajouter aux groupes de sécurité requis.
Une fois l’opération effectuée, on peut lancer véritablement l’installation des binaires.
Choix du répertoire virtuel et du site :
Une fois l’installation terminée, il nous faut maintenant configurer le portail !
3. Configuration du portail
Par défaut, l’application est crée dans http://<serveur>/MultifactorAuth. Spécifions cette URL dans notre configuration serveur et ajoutons quelques options pour que les utilisateurs puissent commencer à exploiter le serveur :
Je vais autoriser l’enrôlement des utilisateurs et leur permettre de choisir les méthodes d’authentification suivantes :
- appel téléphonique
- SMS
- application mobile
Je vais ajouter mon compte “Arnaud” comme administrateur de la plateforme afin d’avoir un portail avec des rôles spécifiques pour ce compte :
Sélection du compte dans l’AD :
Choix des rôles qui seront permis pour ce compte, il conviendra de déterminer pour chaque organisation les délégations de rôles appropriées.
Enfin, la section question de sécurité vous permet d’éditer les questions qui seront posées à vos utilisateurs à l’enrôlement et qui leur permettront de gérer leur authentification multi facteur.
Le portail est maintenant opérationnel, testons-le avec le compte administrateur ainsi qu’un compte utilisateur régulier.
4. Tests du portail
Utilisation de l’URL spécifiée précédemment : http://<serveur>/MultifactorAuth
En tant qu’administrateur, je devrais avoir un portail bien particulier :
Apres connexion avec utilisateur/mot de passe, je reçois un appel et confirme l’authentification, j’ai donc le prompt pour les questions de sécurité :
Une fois cela effectué, j’ai accès à mon portail administrateur :
En tant qu’utilisateur normal avec juste un numéro de téléphone provisionné :
Après confirmation, j’ai un écran d’accueil qui explique le fonctionnement de la solution et me laisse effectuer des opérations telles que spécifiées par mon administrateur :
Par exemple, modification de la langue pour l’appel, l’application et le SMS !
Lorsque l’utilisateur n’arrive pas à confirmer avec le téléphone, il aura alors la méthode de fallback en répondant aux questions de sécurité auxquelles il a répondu lors de l’enrôlement.
Et voilà ! Un beau portail pour que nos utilisateurs et administrateurs soient heureux !
Dans un prochaine épisode, nous mettrons en place l’infrastructure nécessaire pour utiliser l’application d’authentification sur le téléphone mobile, si l’on souhaite avoir une expérience utilisateur “améliorée” par rapport au simple appel ou SMS.
Quelques lectures :
Installing the Windows Azure Multi-Factor Authentication Users Portal – http://technet.microsoft.com/en-us/library/dn394290.aspx
User Enrollment and Self-Management – http://technet.microsoft.com/en-us/library/dn394292.aspx
Technical Scenarios for Windows Azure Multi-Factor Authentication – http://technet.microsoft.com/en-us/library/dn394279.aspx
Windows Azure Multi-Factor Authentication Release Notes – http://technet.microsoft.com/en-us/library/dn465794.aspx
Quelques exemples de mise en œuvre de la technologie chez Fredrikson & Byron, http://www.microsoft.com/casestudies/Case_Study_Detail.aspx?casestudyid=710000003252
Pour tester Windows Azure Multi-Factor Authentication, vous pouvez évaluer Azure par ici :
Pour tester Windows Server 2012 R2, vous pouvez télécharger gratuitement la version d’évaluation disponible sous la forme :
- d'une image ISO : https://aka.ms/jeveuxwindows2012r2
- d'un fichier VHD avec un système préinstallé : https://aka.ms/jeveuxwindows2012r2
Si vous souhaitez découvrir en 4 heures nos technologies telles que Windows Server 2012 R2, Windows 8.1 en entreprise, le Cloud Privé ou Hybride, vous pouvez vous inscrire gratuitement à un de nos IT Camps :
Arnaud – les bons tuyaux