Paramètres d'authentification unique AD FS

L'authentification unique permet aux utilisateurs de s’authentifier une fois et d’accéder à plusieurs ressources sans être invités à saisir d’autres informations d’identification. Cet article décrit le comportement AD FS par défaut pour l’authentification unique et les paramètres de configuration qui vous permettent de personnaliser ce comportement.

Types d’authentification unique pris en charge

AD FS prend en charge plusieurs types d’expériences d’authentification unique :

  • Authentification unique de session

    La session de l’authentification unique élimine les invites supplémentaires lorsque l’utilisateur permute les applications lors d’une session spécifique. Si une session particulière se termine, l’utilisateur sera invité à saisir ses informations d’identification à nouveau. Les cookies d’authentification unique de session sont écrits pour l’utilisateur authentifié.

    AD FS définit les cookies d’authentification unique de session par défaut si les appareils des utilisateurs ne sont pas inscrits. Si la session du navigateur se termine et est redémarrée, ce cookie de session est supprimé et n’est plus valide.

  • Authentification unique persistante

    L’authentification unique élimine les invites supplémentaires lorsque l’utilisateur change d’application tant que le cookie d’authentification unique permanente est valide. Les cookies d’authentification unique persistants sont écrits pour l’utilisateur authentifié. La différence entre l’authentification unique persistante et l’authentification unique de session repose sur le fait que l’authentification unique permanente peut être conservée entre différentes sessions.

    AD FS définira les cookies d’authentification unique persistante si l’appareil est inscrit. AD FS définira également un cookie d’authentification unique persistante si un utilisateur sélectionne l’option « Maintenir la connexion ». Si le cookie d’authentification unique persistant n’est plus valide, il est rejeté et supprimé.

  • Authentification unique spécifique de l’application

    Dans le scénario OAuth, un jeton d’actualisation est utilisé pour maintenir l’état de l’authentification unique de l’utilisateur dans l’étendue d’une application particulière.

    AD FS définit la durée d’expiration d’un jeton d’actualisation en fonction de la durée de vie du cookie d’authentification unique persistant pour un appareil inscrit. Par défaut, la durée de vie des cookies est de sept jours pour AD FS sur Windows Server 2012 R2. La durée de vie maximale des cookies par défaut pour AD FS sur Windows Server 2016 est de 90 jours si l’appareil est utilisé pour accéder aux ressources AD FS dans une fenêtre de 14 jours.

Si l’appareil n’est pas inscrit, mais qu’un utilisateur sélectionne l’option « Maintenir la connexion », la durée d’expiration du jeton d’actualisation est égale à la durée de vie des cookies d’authentification unique persistante pour « Maintenir la connexion ». La durée de vie des cookies d’authentification unique persistante est d’un jour par défaut, avec un maximum de sept jours. Sinon, la durée de vie du jeton d’actualisation est égale à la durée de vie du cookie d’authentification unique de session (8 heures par défaut).

Les utilisateurs sur les appareils inscrits obtiennent toujours une authentification unique persistante, sauf si l’authentification unique persistante est désactivée. Pour les appareils non inscrits, l’authentification unique persistante peut être obtenue en activant la fonctionnalité « Maintenir la connexion ».

Pour Windows Server 2012 R2, pour activer l’authentification unique pour le scénario « Maintenir la connexion », vous devez installer ce correctif logiciel qui fait également partie du correctif cumulatif d’août 2014 pour Windows RT 8.1, Windows 8.1 et Windows Server 2012 R2.

Tâche PowerShell Description
Activer/désactiver l’authentification unique persistante Set-AdfsProperties –EnablePersistentSso <Boolean> L’authentification unique persistante est activée par défaut. S’il est désactivé, aucun cookie d’authentification unique persistante n’est créé.
Activer/désactiver « Maintenir la connexion » Set-AdfsProperties –EnableKmsi <Boolean> La fonctionnalité « Maintenir la connexion » est désactivée par défaut. S’il est activé, l’utilisateur final verra l’option « Rester connecté » sur la page de connexion AD FS

AD FS 2016 : Authentification unique et appareils authentifiés

AD FS 2016 modifie l’authentification unique persistante lorsque le demandeur s’authentifie à partir d’un appareil inscrit, ce qui augmente jusqu’à 90 jours, mais nécessite une authentification dans un délai de 14 jours (fenêtre d’utilisation de l’appareil). Après avoir fourni des informations d’identification pour la première fois, par défaut, les utilisateurs disposant d’appareils inscrits obtiennent des authentifications uniques pendant une période maximale de 90 jours, à condition qu’ils utilisent l’appareil pour accéder aux ressources AD FS au moins une fois tous les 14 jours. Au bout de 15 jours, les utilisateurs seront invités à entrer de nouveau leur identifiants.

L’authentification unique persistante est activée par défaut. S’il est désactivé, aucun cookie d’authentification unique persistante n’est créé.|

Set-AdfsProperties –EnablePersistentSso <Boolean\>

La fenêtre d’utilisation de l’appareil (14 jours par défaut) est régie par la propriété AD FS DeviceUsageWindowInDays.

Set-AdfsProperties -DeviceUsageWindowInDays

La période maximale d’authentification unique (90 jours par défaut) est régie par la propriété AD FS PersistentSsoLifetimeMins.

Set-AdfsProperties -PersistentSsoLifetimeMins

Maintenir la connexion pour les appareils non authentifiés

Pour les appareils non inscrits, la période d’authentification unique est déterminée par les paramètres de la fonctionnalité Maintenir ma connexion. La fonctionnalité Maintenir ma connexion est désactivée par défaut et peut être activée en définissant la propriété AD FS KmsiEnabled sur True.

Set-AdfsProperties -EnableKmsi $true

Avec la fonctionnalité Maintenir ma connexion désactivée, la période d’authentification unique par défaut est de 8 heures. La période d’authentification unique peut être configurée à l’aide de la propriété SsoLifetime. La propriété est mesurée en minutes, de sorte que sa valeur par défaut est 480.

Set-AdfsProperties –SsoLifetime <Int32\>

Avec la fonctionnalité Maintenir ma connexion activée, la période d’authentification unique par défaut est de 24 heures. La période d’authentification unique avec KMSI activé peut être configurée à l’aide de la propriété KmsiLifetimeMins. La propriété est mesurée en minutes, de sorte que sa valeur par défaut est 1440.

Set-AdfsProperties –KmsiLifetimeMins <Int32\>

Comportement de l’authentification multifacteur

AD FS fournit des périodes relativement longues d’authentification unique. Il est important de noter qu’AD FS demandera davantage d’authentification (authentification multifacteur) lorsqu’une authentification précédente est basée sur les informations d’identification principales (et non sur l’authentification multifacteur), mais que l’authentification actuelle nécessite l’authentification multifacteur. Ce comportement est indépendant de l’authentification unique. Quand AD FS reçoit une demande d’authentification, il détermine d’abord s’il existe ou non un contexte d’authentification unique (tel qu’un cookie), puis si l’authentification multifacteur est requise. Par exemple, l’authentification multifacteur est requise lorsque la demande d’authentification provient de l’extérieur. Dans ce cas, AD FS évalue si le contexte d’authentification unique contient ou non l’authentification multifacteur. Si ce n’est pas le cas, l’authentification multifacteur apparaît.

Révocation de l’authentification unique persistante

Pour protéger la sécurité, AD FS rejette tout cookie d’authentification unique persistante précédemment émis lorsque les conditions suivantes sont remplies :

  • L’utilisateur change le mot de passe

  • Le paramètre d’authentification unique permanente est désactivé dans AD FS

  • L’appareil est désactivé par l’administrateur dans un cas perdu ou volé

  • AD FS reçoit un cookie d’authentification unique persistante émis pour un utilisateur inscrit, mais l’utilisateur ou l’appareil n’est plus inscrit

  • AD FS reçoit un cookie d’authentification unique persistante pour un utilisateur inscrit, mais l’utilisateur est réinscrit

  • AD FS reçoit un cookie d’authentification unique persistante qui est émis à la suite de l’option « Maintenir la connexion », mais le paramètre « Maintenir la connexion » est désactivé dans AD FS

  • AD FS reçoit un cookie d’authentification unique persistante émis pour un utilisateur inscrit, mais le certificat d’appareil est manquant ou modifié lors de l’authentification

  • L’administrateur AD FS a défini un délai d’interruption pour l’authentification unique persistante. Avec un délai configuré, AD FS rejette tout cookie d’authentification unique persistante émis avant ce moment-là

Le rejet d’un cookie d’authentification unique persistant exige que l’utilisateur fournisse ses informations d’identification afin de s’authentifier à nouveau auprès d’AD FS.

Pour définir le délai d’interruption, exécutez l’applet de commande PowerShell suivante :

Set-AdfsProperties -PersistentSsoCutoffTime <DateTime>

Activer l’authentification unique persistante pour les utilisateurs Office 365 d’accéder à SharePoint Online

Une fois l’authentification unique activée et configurée, AD FS crée un cookie persistant immédiatement après l’authentification de l’utilisateur. L’authentification unique évite d’avoir à se réauthentifier dans les sessions suivantes, tant que le cookie est toujours valide.

Les utilisateurs peuvent également éviter les invites d’authentification supplémentaires pour Office 365 et SharePoint Online. Configurez les deux règles de revendication suivantes dans AD FS pour déclencher la persistance dans Microsoft Entra ID et SharePoint Online. Pour permettre à Office 365 utilisateurs d’accéder à SharePoint online, installez ce correctif logiciel. Il fait partie du correctif cumulatif d’août 2014 pour Windows RT 8.1, Windows 8.1 et Windows Server 2012 R2.

Une règle de transformation d’émission pour passer la revendication InsideCorporateNetwork

@RuleTemplate = "PassThroughClaims"
@RuleName = "Pass through claim - InsideCorporateNetwork"
c:[Type == "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"]
=> issue(claim = c);
A custom Issuance Transform rule to pass through the persistent SSO claim
@RuleName = "Pass Through Claim - Psso"
c:[Type == "https://schemas.microsoft.com/2014/03/psso"]
=> issue(claim = c);

Pour résumer :

Expérience d’authentification unique ADFS 2012 R2
L’appareil est-il inscrit ?
ADFS 2016
L’appareil est-il inscrit ?
Non Non, mais KMSI Oui Non Non, mais KMSI Oui
Authentification unique=>obtenir un jeton d’actualisation=> 8 heures n/a n/a 8 heures n/a n/a
Authentification unique persistante=>obtenir un jeton d’actualisation=> n/a 24 heures 7 jours n/a Max 24 heures 90 jours avec une fenêtre de 14 jours
Durée de vie des jetons 1 heure 1 heure 1 heure 1 heure 1 heure 1 heure

Appareil inscrit ? Vous obtenez une authentification unique persistante.

Appareil non inscrit ? Vous obtenez l’authentification unique.

Appareil non inscrit, mais option Maintenir la connexion ? Vous obtenez une authentification unique persistante.

SI :

  • [x] L’administrateur a activé la fonctionnalité Maintenir la connexion [ET]
  • [x] L’utilisateur coche la case Maintenir la connexion sur la page de connexion des formulaires

  AD FS émet un nouveau jeton d’actualisation uniquement si la validité du jeton d’actualisation plus récent est plus longue que le jeton précédent. La durée de vie maximale d’un jeton est de 84 jours, mais AD FS conserve le jeton valide sur une fenêtre glissante de 14 jours. Si le jeton d’actualisation est valide pendant 8 heures, qui est l’heure régulière de l’authentification unique, un nouveau jeton d’actualisation n’est pas émis.

Bon à savoir :

Les utilisateurs fédérés qui n’ont pas l’attribut LastPasswordChangeTimestamp synchronisé reçoivent des cookies de session et des jetons d’actualisation qui ont une valeur d’âge maximal de 12 heures.

Les cookies de session et les jetons d'actualisation de valeur d'âge maximal sont émis, car Microsoft Entra ID ne peut pas déterminer quand révoquer les jetons liés à d'anciennes informations d'identification. Ce comportement peut être dû à un mot de passe qui a été modifié, par exemple. Microsoft Entra ID doit vérifier plus fréquemment pour vous assurer que l'utilisateur et les jetons associés sont toujours valides.