SGD prend en charge deux méthodes d'authentification des connexions à Active Directory, Kerberos et SSL. Kerberos est la méthode utilisée par défaut. Pour utiliser SSL, une configuration supplémentaire est obligatoire, reportez-vous à la Section 2.2.3.5, « Connexions SSL à Active Directory ».
Ainsi, les différents moyens d'authentification sont déclinés sur cette base : Facteur de connaissance : mot de passe, code pin… Facteur de propriété : cartes à puce avec ou sans contact, clés de sécurité USB (type Yubico, Fido, Neowave), smartphone, OTP, TOTP…
Le système d'exploitation Windows implémente un ensemble par défaut de protocoles d'authentification, notamment Kerberos, NTLM, TLS/SSL (Transport Layer Security/Secure Sockets Layer) et Digest, dans une architecture extensible.
HTTP Basic. Cette méthode est la plus simple mais également la moins sécurisée. L'utilisateur doit fournir un nom d'utilisateur et un mot de passe pour s'authentifier. Le nom d'utilisateur et le mot de passe sont concaténés avec deux points et le tout est encodé en base 64.
utiliser une information unique que seul le commettant possède (ce que l'on possède) ; utiliser une information qui caractérise le commettant dans un contexte donné (ce que l'on est) ; utiliser une information que seul le commettant peut produire (ce que l'on sait faire).
L'authentification Active Directory offre aux utilisateurs un mécanisme d'authentification plus rapide, plus sécurisé et plus évolutif que l'authentification LDAP. Grâce au protocole d'authentification Kerberos, SGD peut authentifier n'importe quel utilisateur de façon sécurisée dans n'importe quel domaine d'une forêt.
I.
Le protocole LDAP (Lightweight Directory Access Protocol) est un protocole qui permet de gérer des annuaires, notamment grâce à des requêtes d'interrogations et de modification de la base d'informations. En fait, l'Active Directory est un annuaire LDAP.
Active Directory (AD) est une base de données et un ensemble de services qui permettent de mettre en lien les utilisateurs avec les ressources réseau dont ils ont besoin pour mener à bien leurs missions.
Azure Active Directory (Azure AD) est un service de gestion des identités et des accès basée sur le cloud. Ce service permet à vos collaborateurs d'accéder à des ressources externes telles que Microsoft 365, le portail Azure et des milliers d'autres applications SaaS.
Dans PAP, l'authentification se fait uniquement du côté de l'appelant ou du côté client. Dans CHAP, l'authentification est effectuée des deux côtés.
EAP-MD5 est un autre standard ouvert IETF, mais il offre un niveau de sécurité faible. La fonction de hachage MD5 utilisée est vulnérable aux attaques par dictionnaire, et elle ne supporte pas les clefs WEP dynamiques.
Parmi les protocoles d'authentification les plus adaptés aux entreprises, il existe notamment Kerberos et Transport Layer Security (TLS).
En bref : LDAP est un protocole et Active Directory est un serveur. LDAP authentifie Active Directory – c'est un ensemble de directives pour envoyer et recevoir des informations (comme des noms d'utilisateur et des mots de passe) vers et depuis Active Directory.
Un schéma est la définition des attributs et classes qui font partie d'un annuaire distribué et sont similaires aux champs et tables d'une base de données.
Dans la zone de texte Attribut de connexion, sélectionnez un attribut de connexion LDAP à utiliser pour l'authentification dans la liste déroulante. Cet attribut est le nom utilisé pour la liaison avec la base de données LDAP. L'attribut de connexion par défaut est uid.
Kerberos est un protocole d'authentification réseau qui repose sur un mécanisme de clés secrètes (chiffrement symétrique) et l'utilisation de tickets, et non de mots de passe en clair, évitant ainsi le risque d'interception frauduleuse des mots de passe des utilisateurs.
Le protocole LDAP intervient dans la gestion des données des utilisateurs d'un réseau. C'est un outil léger et performant, reposant sur une structure bien précise.
Le facteur d'authentification est un facteur physique, cognitif ou biologique produisant une empreinte qu'un utilisateur peut prendre pour être authentifié par un système informatique. L'empreinte doit être personnelle à l'utilisateur et doit pouvoir être numérisée.
L'authentification multifacteur (MFA) ajoute une couche de protection au processus de connexion. Pour accéder à leurs comptes ou à des applications, les utilisateurs doivent confirmer leur identité, par exemple en scannant leur empreinte ou en entrant un code reçu par téléphone.
L'authentification biométrique fait appel aux caractéristiques biologiques uniques d'un individu pour vérifier son identité et garantir son accès sécurisé à un système électronique.
Un code d'authentification de message (CAM), souvent désigné par son sigle anglais MAC (de message authentication code) est un code accompagnant des données dans le but d'assurer l'intégrité de ces dernières, en permettant de vérifier qu'elles n'ont subi aucune modification, après une transmission par exemple.