SlideShare uma empresa Scribd logo

(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)

Microsoft Technet France
Microsoft Technet France

Aujourd'hui, tout un chacun souhaite aspire à travailler de n'importe où, sur n'importe quel appareil, etc. Comment permettre une telle expérience avec les ressources internes et dans le cloud (hybride) de l’entreprise, tout en conservant le contrôle dans le contexte du BYOD (Amenez votre propre appareil). Sur la base de l’enregistrement d’appareils abordé dans la première partie (session SEC306), cette session illustrera comment configurer les stratégies d’accès conditionnel qui s'appuient d'une manière souple et intuitive sur les nouvelles capacités d’AD FS comme la connaissance des emplacements réseau, l'authentification de l'appareil et l'authentification à facteurs multiples. Elle abordera comment vous pouvez contrôler les méthodes d'authentification qui sont mises à disposition des utilisateurs finaux, comment ajouter des fournisseurs d'authentification supplémentaires et bien sûr comment configurer des stratégies distinctes régissant les accès extranet. Cette session explore au final comment AD FS (et Azure AD) vous permet d'éviter les scénarios de type « Amener votre propre désastre » (BYOD) ;-) en offrant le niveau de confiance appropriée pour l’accès aux ressources de l'entreprise.

Tecnologia
1 de 39
Baixar para ler offline
AMBIENT INTELLIGENCE tech days• 2015 #mstechdays techdays.microsoft.fr
SEC307 (Azure) Active Directory + BYOD = Tranquillité d’esprit, chiche ! (2nde Partie) Philippe Beraud Jean-Yves Grasset Direction technique et Sécurité Microsoft France http://aka.ms/hi
tech.days 2015#mstechdays
• Joindre un lieu de travail AD • Authentification de l’appareil • Support intégré pour l’authentification multifacteur (MFA) • Prise en charge extensible de fournisseurs d’authentification multifacteur avec des partenaires
• Conception d’IHM réactive à destination des appareils • Choix de l’authentification de l’utilisateur • Messages d’accès refusé personnalisés par RP
• Politique d’authentification configurable au niveau global • Contrôle d’accès conditionnel configurable par application
Start Start intranetextranet Accès extranet
tech.days 2015#mstechdays
tech.days 2015#mstechdays
tech.days 2015#mstechdays
tech.days 2015#mstechdays
tech.days 2015#mstechdays …
• • - Par défaut – Authentification Windows intégrée (WIA) - Options : - WIA avec bascule sur les formulaires, - Authentification par formulaires, - Authentification par certificat/carte à puce • - Par défaut – Authentification par formulaires - Options : - Authentification par formulaires, - Authentification par certificat/carte à puce PS > Get/Set-AdfsGlobalAuthenticationPolicy
tech.days 2015#mstechdays • • • • • • • PS > $ExtranetObservationWindow = New-Timespan -Minutes 30 PS > Set-ADFSProperties -EnableExtranetLockout $true –ExtranetLockoutThreshold 3 -ExtranetObservationWindow $ExtranetObservationWindow
tech.days 2015#mstechdays
tech.days 2015#mstechdays
• • • • • • authenticationmethod multipleauthn .
* MFATriggerClaimRule – Règle de revendication sDéclencheur MFA au format chaîne de caractères. PS > Set-AdfsRelyingPartyTrust – AdditionalAuthenticationRules $MFATriggerClaimRule PS > Set-AdfsAdditionalAuthenticationRule – AdditionalAuthenticationRules $MFATriggerClaimRule*
The Federation Service could not authorize token issuance for caller ‘DOMAINUser’. The caller is not authorized to request a token for the relying party 'urn:dumptoken'. See event 501 with the same Instance ID for caller identity. Additional Data Instance ID: xxxxxxxxxxx Relying party: yyyy Exception details: Microsoft.IdentityServer.Service.IssuancePipeline.CallerAuthorizationException: MSIS5007: The caller authorization failed for caller identity xxxxxx for relying party trust yyyy. at Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult result) at Microsoft.IdentityModel.Protocols.WSTrust.WSTrustServiceContract.ProcessCoreAsyncResult.End(IAsyncResult ar) at Microsoft.IdentityModel.Protocols.WSTrust.WSTrustServiceContract.EndProcessCore(IAsyncResult ar, String requestAction, String responseAction, String trustNamespace) User Action Use the AD FS Management snap-in to ensure that the caller is authorized to request a token for the relying party. Problème : Les règles MFA bloquent l’accès depuis les protocoles actifs (Office 365 – Lync, Outlook etc.) Solution : Utiliser la revendication ‘x-ms-endpoint-absolute-path’ pour dispenser un point de terminaison actif de devoir faire une authentification multifacteur dans votre règle de déclencheur Note : ‘adfs/ls’  Requêtes WS-Fed, SAML ‘/adfs/oauth2’  Requêtes OAuth Règle exemples: c:[Type == "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value == "false"] && c1:[Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path", Value =~ `"(/adfs/ls)|(/adfs/oauth2)"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", Value = "http://schemas.microsoft.com/claims/multipleauthn");
tech.days 2015#mstechdays
• • Si de multiples méthodes d’authentification supplémentaires sont activées • PS > Set-AdfsGlobalAuthenticationPolicy – AdditionalAuthenticationProvider “CertificateAuthentication”
tech.days 2015#mstechdays • • • • • • • • http://technet.microsoft.com/en-us/library/dn280949.aspx
tech.days 2015#mstechdays www.gemalto.com/identity
tech.days 2015#mstechdays
tech.days 2015#mstechdays
• • • • • • • • • • • •
tech.days 2015#mstechdays
tech.days 2015#mstechdays
tech.days 2015#mstechdays Start
tech.days 2015#mstechdays
tech.days 2015#mstechdays
tech.days 2015#mstechdays
tech.days 2015#mstechdays
© 2015 Microsoft Corporation. All rights reserved. tech days• 2015 #mstechdays techdays.microsoft.fr
tech.days 2015#mstechdays
http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarygroupsid SID de groupe principal en refus seul de l’utilisateur http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarysid SID principal en refus seul de l’utilisateur http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid SID de groupe de l’utilisateur Vous pouvez utiliser cette revendication pour vérifier si l’utilisateur est membre d’un groupe donné. http://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsid SID de groupe principal de l’utilisateur http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid SID principal de l’utilisateur http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname Nom du compte de domaine de l’utilisateur sous la forme domaineutilisateur http://schemas.xmlsoap.org/claims/CommonName Nom courant de l’utilisateur http://schemas.xmlsoap.org/ws/2005/05/identity/claims/denyonlysid SID de groupe en refus seul de l’utilisateur http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name Nom unique de l’utilisateur http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn UPN (Nom principal de l’utilisateur) de l’utilisateur http://schemas.microsoft.com/2012/01/devicecontext/claims/displayname Nom d’affichage de l’enregistrement de l’appareil http://schemas.microsoft.com/2012/01/devicecontext/claims/identifier Identificateur de l’appareil http://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser L’utilisateur est enregistré pour utiliser cet appareil Lorsque la valeur de cette revendication est true, cela signifie que l’utilisateur qui est authentifié est celui qui a enregistré à l’origine l’appareil. http://schemas.microsoft.com/2012/01/devicecontext/claims/ostype Type d’OS de l’appareil http://schemas.microsoft.com/2012/01/devicecontext/claims/osversion Version de l’OS de l’appareil
http://schemas.microsoft.com/2012/01/requestcontext/claims/client-request-id Identificateur pour une session utilisateur (à des fins de diagnostic) http://schemas.microsoft.com/2012/01/requestcontext/claims/relyingpartytrustid Identificateur pour la ressource/RP http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-application Type d’application client http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-ip Adresse IP du client http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-user-agent Type d’appareil utilisé par le client pour accéder à l’application http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute- path Chemin absolu du point de terminaison qui peut être utilisé pour distinguer un client actif d’un client passif. Comme l’authentification multifacteur est seulement prise en charge pour les applications navigateur, vous pouvez utiliser cette revendication pour distinguer les requêtes émanant d’un navigateur de celles qui ne le sont pas, dans l’hypothèse où vous auriez les deux sortes de protocoles dans la même relation de confiance, ce qui est typiquement le cas lorsque des jetons délivrés à un STS fournisseur de fédération. http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-forwarded-client-ip Adresse IP de l’utilisateur http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-proxy Nom DNS du proxy d’application web (WAP) par lequel est passée la requête http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork Utilisé pour indiquer si la requête a pour origine le réseau d’entreprise. Lorsque cette valeur est false, cela signifie que la requête est passée à travers le proxy d’application web. A true, cela signifie que la requête vient directement du navigateur vers le STS. http://schemas.microsoft.com/2012/12/certificatecontext/* (multiple claim types) Revendications qui représentent différents champs et extensions du certificat client X509 lorsque utilisé comme méthode d’authentification Un cas d’usage intéressant ici est d’utiliser la revendication EKU (http://schemas.microsoft.com/2012/12/certificatecontext/extension/eku) pour vérifier si l'utilisateur a utilisé une carte à puce (l’EKU exacte dépend de l'infrastructure PKI du client) http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod La méthode d’authentification principale utilisée pour authentifier l’utilisateur http://schemas.microsoft.com/claims/authnmethodsreferences Utilisée pour indiquer toutes les méthodes d’authentification utilisée pour authentifier l’utilisateur http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstant Utilisée pour afficher la date et l’heure auxquelles l’utilisateur a été authentifié

Recomendados

Sso fédération
Sso fédérationSso fédération
Sso fédérationPascal Flamand
 
ASFWS 2011 : CAS, OpenID, SAML concepts, différences et exemples
ASFWS 2011 : CAS, OpenID, SAML concepts, différences et exemplesASFWS 2011 : CAS, OpenID, SAML concepts, différences et exemples
ASFWS 2011 : CAS, OpenID, SAML concepts, différences et exemplesCyber Security Alliance
 
CAS, OpenID, SAML : concepts, différences et exemples
CAS, OpenID, SAML : concepts, différences et exemplesCAS, OpenID, SAML : concepts, différences et exemples
CAS, OpenID, SAML : concepts, différences et exemplesClément OUDOT
 
Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi p...
Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi p...Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi p...
Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi p...Philippe Beraud
 
Securite web is_ima
Securite web is_imaSecurite web is_ima
Securite web is_imaBlidaoui Abdelhak
 
Présentation de l'offre IAM de LINAGORA LinID
Présentation de l'offre IAM de LINAGORA LinIDPrésentation de l'offre IAM de LINAGORA LinID
Présentation de l'offre IAM de LINAGORA LinIDMichel-Marie Maudet
 
ASFWS 2013 - Quels sont les défis de la fédération d’identité dans le Cloud ?...
ASFWS 2013 - Quels sont les défis de la fédération d’identité dans le Cloud ?...ASFWS 2013 - Quels sont les défis de la fédération d’identité dans le Cloud ?...
ASFWS 2013 - Quels sont les défis de la fédération d’identité dans le Cloud ?...Cyber Security Alliance
 
Paris Web 2015 - France Connect et OpenId Connect
Paris Web 2015 - France Connect et OpenId ConnectParis Web 2015 - France Connect et OpenId Connect
Paris Web 2015 - France Connect et OpenId ConnectFrançois Petitit
 

Recomendados

Sso fédération
Sso fédérationSso fédération
Sso fédérationPascal Flamand
 
ASFWS 2011 : CAS, OpenID, SAML concepts, différences et exemples
ASFWS 2011 : CAS, OpenID, SAML concepts, différences et exemplesASFWS 2011 : CAS, OpenID, SAML concepts, différences et exemples
ASFWS 2011 : CAS, OpenID, SAML concepts, différences et exemplesCyber Security Alliance
 
CAS, OpenID, SAML : concepts, différences et exemples
CAS, OpenID, SAML : concepts, différences et exemplesCAS, OpenID, SAML : concepts, différences et exemples
CAS, OpenID, SAML : concepts, différences et exemplesClément OUDOT
 
Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi p...
Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi p...Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi p...
Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi p...Philippe Beraud
 
Securite web is_ima
Securite web is_imaSecurite web is_ima
Securite web is_imaBlidaoui Abdelhak
 
Présentation de l'offre IAM de LINAGORA LinID
Présentation de l'offre IAM de LINAGORA LinIDPrésentation de l'offre IAM de LINAGORA LinID
Présentation de l'offre IAM de LINAGORA LinIDMichel-Marie Maudet
 
ASFWS 2013 - Quels sont les défis de la fédération d’identité dans le Cloud ?...
ASFWS 2013 - Quels sont les défis de la fédération d’identité dans le Cloud ?...ASFWS 2013 - Quels sont les défis de la fédération d’identité dans le Cloud ?...
ASFWS 2013 - Quels sont les défis de la fédération d’identité dans le Cloud ?...Cyber Security Alliance
 
Paris Web 2015 - France Connect et OpenId Connect
Paris Web 2015 - France Connect et OpenId ConnectParis Web 2015 - France Connect et OpenId Connect
Paris Web 2015 - France Connect et OpenId ConnectFrançois Petitit
 
Personnalisation et Extension du Catalogue Applicatif dans System Center 2012...
Personnalisation et Extension du Catalogue Applicatif dans System Center 2012...Personnalisation et Extension du Catalogue Applicatif dans System Center 2012...
Personnalisation et Extension du Catalogue Applicatif dans System Center 2012...Microsoft Technet France
 
Retours d'expériences et bonnes pratiques sur l'implémentation d'ADFS dans Sh...
Retours d'expériences et bonnes pratiques sur l'implémentation d'ADFS dans Sh...Retours d'expériences et bonnes pratiques sur l'implémentation d'ADFS dans Sh...
Retours d'expériences et bonnes pratiques sur l'implémentation d'ADFS dans Sh...Microsoft Technet France
 
Identite-as-a-service pour vos applications B2C - MS Cloud Summit Paris 2017
Identite-as-a-service pour vos applications B2C - MS Cloud Summit Paris 2017Identite-as-a-service pour vos applications B2C - MS Cloud Summit Paris 2017
Identite-as-a-service pour vos applications B2C - MS Cloud Summit Paris 2017Marius Zaharia
 
identité-as-a-service pour vos applications b2c - marius zaharia - samir arez...
identité-as-a-service pour vos applications b2c - marius zaharia - samir arez...identité-as-a-service pour vos applications b2c - marius zaharia - samir arez...
identité-as-a-service pour vos applications b2c - marius zaharia - samir arez...Samir Arezki ☁
 
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...MIM Synchronization Services 2016 -> une solution économique pour créer, modi...
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...Identity Days
 
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...☁️Seyfallah Tagrerout☁ [MVP]
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Décideurs IT
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Technet France
 
Securité des applications web
Securité des applications webSecurité des applications web
Securité des applications webMarcel TCHOULEGHEU
 
Smart forms __fiche_projet_pfe
Smart forms __fiche_projet_pfeSmart forms __fiche_projet_pfe
Smart forms __fiche_projet_pfeAbdelmonem NAAMANE
 
Windows Azure Multi-Factor Authentication, presentation et cas d’usage
Windows Azure Multi-Factor Authentication, presentation et cas d’usageWindows Azure Multi-Factor Authentication, presentation et cas d’usage
Windows Azure Multi-Factor Authentication, presentation et cas d’usageMicrosoft
 
[AzureCamp 24 Juin 2014] Interactions en "temps réel" pour les applications W...
[AzureCamp 24 Juin 2014] Interactions en "temps réel" pour les applications W...[AzureCamp 24 Juin 2014] Interactions en "temps réel" pour les applications W...
[AzureCamp 24 Juin 2014] Interactions en "temps réel" pour les applications W...Microsoft Technet France
 
Comment publier vos applications Web avec Windows Server 2012 R2
Comment publier vos applications Web avec Windows Server 2012 R2 Comment publier vos applications Web avec Windows Server 2012 R2
Comment publier vos applications Web avec Windows Server 2012 R2 Microsoft Technet France
 
Sécurisation de jitsi en SAAS (OSXP 2023)
Sécurisation de jitsi en SAAS (OSXP 2023)Sécurisation de jitsi en SAAS (OSXP 2023)
Sécurisation de jitsi en SAAS (OSXP 2023)Soisik FROGER
 
Windows Azure Multi-Factor Authentication, presentation et cas d'usage
Windows Azure Multi-Factor Authentication, presentation et cas d'usageWindows Azure Multi-Factor Authentication, presentation et cas d'usage
Windows Azure Multi-Factor Authentication, presentation et cas d'usagePhilippe Beraud
 
Nouvelles expériences d'authentification avec Windows 8.1 pour vos applicatio...
Nouvelles expériences d'authentification avec Windows 8.1 pour vos applicatio...Nouvelles expériences d'authentification avec Windows 8.1 pour vos applicatio...
Nouvelles expériences d'authentification avec Windows 8.1 pour vos applicatio...Microsoft
 
Provider Hosted app… Quel intérêt pour l’entreprise
Provider Hosted app… Quel intérêt pour l’entrepriseProvider Hosted app… Quel intérêt pour l’entreprise
Provider Hosted app… Quel intérêt pour l’entrepriseWalid Hadjadj
 
TechDays 2010 (CLO305) : Windows Azure App Fabric
TechDays 2010 (CLO305) : Windows Azure App FabricTechDays 2010 (CLO305) : Windows Azure App Fabric
TechDays 2010 (CLO305) : Windows Azure App FabricGeoffrey DANIEL
 
CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?Identity Days
 
Retour d'expérience : rendre votre IT agile grâce au cloud hybride
Retour d'expérience : rendre votre IT agile grâce au cloud hybrideRetour d'expérience : rendre votre IT agile grâce au cloud hybride
Retour d'expérience : rendre votre IT agile grâce au cloud hybrideMicrosoft Décideurs IT
 
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex Microsoft Technet France
 
Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10Microsoft Technet France
 

Mais conteúdo relacionado

Semelhante a (Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)

Personnalisation et Extension du Catalogue Applicatif dans System Center 2012...
Personnalisation et Extension du Catalogue Applicatif dans System Center 2012...Personnalisation et Extension du Catalogue Applicatif dans System Center 2012...
Personnalisation et Extension du Catalogue Applicatif dans System Center 2012...Microsoft Technet France
 
Retours d'expériences et bonnes pratiques sur l'implémentation d'ADFS dans Sh...
Retours d'expériences et bonnes pratiques sur l'implémentation d'ADFS dans Sh...Retours d'expériences et bonnes pratiques sur l'implémentation d'ADFS dans Sh...
Retours d'expériences et bonnes pratiques sur l'implémentation d'ADFS dans Sh...Microsoft Technet France
 
Identite-as-a-service pour vos applications B2C - MS Cloud Summit Paris 2017
Identite-as-a-service pour vos applications B2C - MS Cloud Summit Paris 2017Identite-as-a-service pour vos applications B2C - MS Cloud Summit Paris 2017
Identite-as-a-service pour vos applications B2C - MS Cloud Summit Paris 2017Marius Zaharia
 
identité-as-a-service pour vos applications b2c - marius zaharia - samir arez...
identité-as-a-service pour vos applications b2c - marius zaharia - samir arez...identité-as-a-service pour vos applications b2c - marius zaharia - samir arez...
identité-as-a-service pour vos applications b2c - marius zaharia - samir arez...Samir Arezki ☁
 
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...MIM Synchronization Services 2016 -> une solution économique pour créer, modi...
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...Identity Days
 
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...☁️Seyfallah Tagrerout☁ [MVP]
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Décideurs IT
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Technet France
 
Securité des applications web
Securité des applications webSecurité des applications web
Securité des applications webMarcel TCHOULEGHEU
 
Smart forms __fiche_projet_pfe
Smart forms __fiche_projet_pfeSmart forms __fiche_projet_pfe
Smart forms __fiche_projet_pfeAbdelmonem NAAMANE
 
Windows Azure Multi-Factor Authentication, presentation et cas d’usage
Windows Azure Multi-Factor Authentication, presentation et cas d’usageWindows Azure Multi-Factor Authentication, presentation et cas d’usage
Windows Azure Multi-Factor Authentication, presentation et cas d’usageMicrosoft
 
[AzureCamp 24 Juin 2014] Interactions en "temps réel" pour les applications W...
[AzureCamp 24 Juin 2014] Interactions en "temps réel" pour les applications W...[AzureCamp 24 Juin 2014] Interactions en "temps réel" pour les applications W...
[AzureCamp 24 Juin 2014] Interactions en "temps réel" pour les applications W...Microsoft Technet France
 
Comment publier vos applications Web avec Windows Server 2012 R2
Comment publier vos applications Web avec Windows Server 2012 R2 Comment publier vos applications Web avec Windows Server 2012 R2
Comment publier vos applications Web avec Windows Server 2012 R2 Microsoft Technet France
 
Sécurisation de jitsi en SAAS (OSXP 2023)
Sécurisation de jitsi en SAAS (OSXP 2023)Sécurisation de jitsi en SAAS (OSXP 2023)
Sécurisation de jitsi en SAAS (OSXP 2023)Soisik FROGER
 
Windows Azure Multi-Factor Authentication, presentation et cas d'usage
Windows Azure Multi-Factor Authentication, presentation et cas d'usageWindows Azure Multi-Factor Authentication, presentation et cas d'usage
Windows Azure Multi-Factor Authentication, presentation et cas d'usagePhilippe Beraud
 
Nouvelles expériences d'authentification avec Windows 8.1 pour vos applicatio...
Nouvelles expériences d'authentification avec Windows 8.1 pour vos applicatio...Nouvelles expériences d'authentification avec Windows 8.1 pour vos applicatio...
Nouvelles expériences d'authentification avec Windows 8.1 pour vos applicatio...Microsoft
 
Provider Hosted app… Quel intérêt pour l’entreprise
Provider Hosted app… Quel intérêt pour l’entrepriseProvider Hosted app… Quel intérêt pour l’entreprise
Provider Hosted app… Quel intérêt pour l’entrepriseWalid Hadjadj
 
TechDays 2010 (CLO305) : Windows Azure App Fabric
TechDays 2010 (CLO305) : Windows Azure App FabricTechDays 2010 (CLO305) : Windows Azure App Fabric
TechDays 2010 (CLO305) : Windows Azure App FabricGeoffrey DANIEL
 
CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?Identity Days
 
Retour d'expérience : rendre votre IT agile grâce au cloud hybride
Retour d'expérience : rendre votre IT agile grâce au cloud hybrideRetour d'expérience : rendre votre IT agile grâce au cloud hybride
Retour d'expérience : rendre votre IT agile grâce au cloud hybrideMicrosoft Décideurs IT
 

Semelhante a (Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie) (20)

Personnalisation et Extension du Catalogue Applicatif dans System Center 2012...
Personnalisation et Extension du Catalogue Applicatif dans System Center 2012...Personnalisation et Extension du Catalogue Applicatif dans System Center 2012...
Personnalisation et Extension du Catalogue Applicatif dans System Center 2012...
 
Retours d'expériences et bonnes pratiques sur l'implémentation d'ADFS dans Sh...
Retours d'expériences et bonnes pratiques sur l'implémentation d'ADFS dans Sh...Retours d'expériences et bonnes pratiques sur l'implémentation d'ADFS dans Sh...
Retours d'expériences et bonnes pratiques sur l'implémentation d'ADFS dans Sh...
 
Identite-as-a-service pour vos applications B2C - MS Cloud Summit Paris 2017
Identite-as-a-service pour vos applications B2C - MS Cloud Summit Paris 2017Identite-as-a-service pour vos applications B2C - MS Cloud Summit Paris 2017
Identite-as-a-service pour vos applications B2C - MS Cloud Summit Paris 2017
 
identité-as-a-service pour vos applications b2c - marius zaharia - samir arez...
identité-as-a-service pour vos applications b2c - marius zaharia - samir arez...identité-as-a-service pour vos applications b2c - marius zaharia - samir arez...
identité-as-a-service pour vos applications b2c - marius zaharia - samir arez...
 
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...MIM Synchronization Services 2016 -> une solution économique pour créer, modi...
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...
 
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
 
Securité des applications web
Securité des applications webSecurité des applications web
Securité des applications web
 
Smart forms __fiche_projet_pfe
Smart forms __fiche_projet_pfeSmart forms __fiche_projet_pfe
Smart forms __fiche_projet_pfe
 
Windows Azure Multi-Factor Authentication, presentation et cas d’usage
Windows Azure Multi-Factor Authentication, presentation et cas d’usageWindows Azure Multi-Factor Authentication, presentation et cas d’usage
Windows Azure Multi-Factor Authentication, presentation et cas d’usage
 
[AzureCamp 24 Juin 2014] Interactions en "temps réel" pour les applications W...
[AzureCamp 24 Juin 2014] Interactions en "temps réel" pour les applications W...[AzureCamp 24 Juin 2014] Interactions en "temps réel" pour les applications W...
[AzureCamp 24 Juin 2014] Interactions en "temps réel" pour les applications W...
 
Comment publier vos applications Web avec Windows Server 2012 R2
Comment publier vos applications Web avec Windows Server 2012 R2 Comment publier vos applications Web avec Windows Server 2012 R2
Comment publier vos applications Web avec Windows Server 2012 R2
 
Sécurisation de jitsi en SAAS (OSXP 2023)
Sécurisation de jitsi en SAAS (OSXP 2023)Sécurisation de jitsi en SAAS (OSXP 2023)
Sécurisation de jitsi en SAAS (OSXP 2023)
 
Windows Azure Multi-Factor Authentication, presentation et cas d'usage
Windows Azure Multi-Factor Authentication, presentation et cas d'usageWindows Azure Multi-Factor Authentication, presentation et cas d'usage
Windows Azure Multi-Factor Authentication, presentation et cas d'usage
 
Nouvelles expériences d'authentification avec Windows 8.1 pour vos applicatio...
Nouvelles expériences d'authentification avec Windows 8.1 pour vos applicatio...Nouvelles expériences d'authentification avec Windows 8.1 pour vos applicatio...
Nouvelles expériences d'authentification avec Windows 8.1 pour vos applicatio...
 
Provider Hosted app… Quel intérêt pour l’entreprise
Provider Hosted app… Quel intérêt pour l’entrepriseProvider Hosted app… Quel intérêt pour l’entreprise
Provider Hosted app… Quel intérêt pour l’entreprise
 
TechDays 2010 (CLO305) : Windows Azure App Fabric
TechDays 2010 (CLO305) : Windows Azure App FabricTechDays 2010 (CLO305) : Windows Azure App Fabric
TechDays 2010 (CLO305) : Windows Azure App Fabric
 
CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?
 
Retour d'expérience : rendre votre IT agile grâce au cloud hybride
Retour d'expérience : rendre votre IT agile grâce au cloud hybrideRetour d'expérience : rendre votre IT agile grâce au cloud hybride
Retour d'expérience : rendre votre IT agile grâce au cloud hybride
 

Mais de Microsoft Technet France

Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex Microsoft Technet France
 
Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10Microsoft Technet France
 
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
Fusion, Acquisition - Optimisez la migration et la continuité des outils col... Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...Microsoft Technet France
 
Wavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semainesWavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semainesMicrosoft Technet France
 
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureRetour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureMicrosoft Technet France
 
Scénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + SecurityScénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + SecurityMicrosoft Technet France
 
SharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle générationSharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle générationMicrosoft Technet France
 
Stockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeStockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeMicrosoft Technet France
 
Bien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a ServiceBien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a ServiceMicrosoft Technet France
 
Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Microsoft Technet France
 
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...Microsoft Technet France
 
Comprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de MicrosoftComprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de MicrosoftMicrosoft Technet France
 
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...Microsoft Technet France
 
Déploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloudDéploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloudMicrosoft Technet France
 
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...Microsoft Technet France
 
SharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybridesSharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybridesMicrosoft Technet France
 
Gestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderneGestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderneMicrosoft Technet France
 
Office 365 dans votre Système d'Informations
Office 365 dans votre Système d'InformationsOffice 365 dans votre Système d'Informations
Office 365 dans votre Système d'InformationsMicrosoft Technet France
 

Mais de Microsoft Technet France (20)

Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
 
Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10
 
OMS log search au quotidien
OMS log search au quotidienOMS log search au quotidien
OMS log search au quotidien
 
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
Fusion, Acquisition - Optimisez la migration et la continuité des outils col... Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
 
Wavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semainesWavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semaines
 
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureRetour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
 
Scénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + SecurityScénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + Security
 
SharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle générationSharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle génération
 
Stockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeStockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le monde
 
Bien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a ServiceBien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a Service
 
Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365
 
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
 
Comprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de MicrosoftComprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de Microsoft
 
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
 
Sécurité des données
Sécurité des donnéesSécurité des données
Sécurité des données
 
Déploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloudDéploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloud
 
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
 
SharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybridesSharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybrides
 
Gestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderneGestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderne
 
Office 365 dans votre Système d'Informations
Office 365 dans votre Système d'InformationsOffice 365 dans votre Système d'Informations
Office 365 dans votre Système d'Informations
 

(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)

  • 2. SEC307 (Azure) Active Directory + BYOD = Tranquillité d’esprit, chiche ! (2nde Partie) Philippe Beraud Jean-Yves Grasset Direction technique et Sécurité Microsoft France http://aka.ms/hi
  • 4. • Joindre un lieu de travail AD • Authentification de l’appareil • Support intégré pour l’authentification multifacteur (MFA) • Prise en charge extensible de fournisseurs d’authentification multifacteur avec des partenaires
  • 5. • Conception d’IHM réactive à destination des appareils • Choix de l’authentification de l’utilisateur • Messages d’accès refusé personnalisés par RP
  • 6. • Politique d’authentification configurable au niveau global • Contrôle d’accès conditionnel configurable par application
  • 13. • • - Par défaut – Authentification Windows intégrée (WIA) - Options : - WIA avec bascule sur les formulaires, - Authentification par formulaires, - Authentification par certificat/carte à puce • - Par défaut – Authentification par formulaires - Options : - Authentification par formulaires, - Authentification par certificat/carte à puce PS > Get/Set-AdfsGlobalAuthenticationPolicy
  • 14. tech.days 2015#mstechdays • • • • • • • PS > $ExtranetObservationWindow = New-Timespan -Minutes 30 PS > Set-ADFSProperties -EnableExtranetLockout $true –ExtranetLockoutThreshold 3 -ExtranetObservationWindow $ExtranetObservationWindow
  • 18. * MFATriggerClaimRule – Règle de revendication sDéclencheur MFA au format chaîne de caractères. PS > Set-AdfsRelyingPartyTrust – AdditionalAuthenticationRules $MFATriggerClaimRule PS > Set-AdfsAdditionalAuthenticationRule – AdditionalAuthenticationRules $MFATriggerClaimRule*
  • 19. The Federation Service could not authorize token issuance for caller ‘DOMAINUser’. The caller is not authorized to request a token for the relying party 'urn:dumptoken'. See event 501 with the same Instance ID for caller identity. Additional Data Instance ID: xxxxxxxxxxx Relying party: yyyy Exception details: Microsoft.IdentityServer.Service.IssuancePipeline.CallerAuthorizationException: MSIS5007: The caller authorization failed for caller identity xxxxxx for relying party trust yyyy. at Microsoft.IdentityModel.Threading.AsyncResult.End(IAsyncResult result) at Microsoft.IdentityModel.Protocols.WSTrust.WSTrustServiceContract.ProcessCoreAsyncResult.End(IAsyncResult ar) at Microsoft.IdentityModel.Protocols.WSTrust.WSTrustServiceContract.EndProcessCore(IAsyncResult ar, String requestAction, String responseAction, String trustNamespace) User Action Use the AD FS Management snap-in to ensure that the caller is authorized to request a token for the relying party. Problème : Les règles MFA bloquent l’accès depuis les protocoles actifs (Office 365 – Lync, Outlook etc.) Solution : Utiliser la revendication ‘x-ms-endpoint-absolute-path’ pour dispenser un point de terminaison actif de devoir faire une authentification multifacteur dans votre règle de déclencheur Note : ‘adfs/ls’  Requêtes WS-Fed, SAML ‘/adfs/oauth2’  Requêtes OAuth Règle exemples: c:[Type == "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value == "false"] && c1:[Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path", Value =~ `"(/adfs/ls)|(/adfs/oauth2)"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", Value = "http://schemas.microsoft.com/claims/multipleauthn");
  • 21. • • Si de multiples méthodes d’authentification supplémentaires sont activées • PS > Set-AdfsGlobalAuthenticationPolicy – AdditionalAuthenticationProvider “CertificateAuthentication”
  • 33.
  • 34.
  • 36. © 2015 Microsoft Corporation. All rights reserved. tech days• 2015 #mstechdays techdays.microsoft.fr
  • 38. http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarygroupsid SID de groupe principal en refus seul de l’utilisateur http://schemas.microsoft.com/ws/2008/06/identity/claims/denyonlyprimarysid SID principal en refus seul de l’utilisateur http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid SID de groupe de l’utilisateur Vous pouvez utiliser cette revendication pour vérifier si l’utilisateur est membre d’un groupe donné. http://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsid SID de groupe principal de l’utilisateur http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid SID principal de l’utilisateur http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname Nom du compte de domaine de l’utilisateur sous la forme domaineutilisateur http://schemas.xmlsoap.org/claims/CommonName Nom courant de l’utilisateur http://schemas.xmlsoap.org/ws/2005/05/identity/claims/denyonlysid SID de groupe en refus seul de l’utilisateur http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name Nom unique de l’utilisateur http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn UPN (Nom principal de l’utilisateur) de l’utilisateur http://schemas.microsoft.com/2012/01/devicecontext/claims/displayname Nom d’affichage de l’enregistrement de l’appareil http://schemas.microsoft.com/2012/01/devicecontext/claims/identifier Identificateur de l’appareil http://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser L’utilisateur est enregistré pour utiliser cet appareil Lorsque la valeur de cette revendication est true, cela signifie que l’utilisateur qui est authentifié est celui qui a enregistré à l’origine l’appareil. http://schemas.microsoft.com/2012/01/devicecontext/claims/ostype Type d’OS de l’appareil http://schemas.microsoft.com/2012/01/devicecontext/claims/osversion Version de l’OS de l’appareil
  • 39. http://schemas.microsoft.com/2012/01/requestcontext/claims/client-request-id Identificateur pour une session utilisateur (à des fins de diagnostic) http://schemas.microsoft.com/2012/01/requestcontext/claims/relyingpartytrustid Identificateur pour la ressource/RP http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-application Type d’application client http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-ip Adresse IP du client http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-user-agent Type d’appareil utilisé par le client pour accéder à l’application http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute- path Chemin absolu du point de terminaison qui peut être utilisé pour distinguer un client actif d’un client passif. Comme l’authentification multifacteur est seulement prise en charge pour les applications navigateur, vous pouvez utiliser cette revendication pour distinguer les requêtes émanant d’un navigateur de celles qui ne le sont pas, dans l’hypothèse où vous auriez les deux sortes de protocoles dans la même relation de confiance, ce qui est typiquement le cas lorsque des jetons délivrés à un STS fournisseur de fédération. http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-forwarded-client-ip Adresse IP de l’utilisateur http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-proxy Nom DNS du proxy d’application web (WAP) par lequel est passée la requête http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork Utilisé pour indiquer si la requête a pour origine le réseau d’entreprise. Lorsque cette valeur est false, cela signifie que la requête est passée à travers le proxy d’application web. A true, cela signifie que la requête vient directement du navigateur vers le STS. http://schemas.microsoft.com/2012/12/certificatecontext/* (multiple claim types) Revendications qui représentent différents champs et extensions du certificat client X509 lorsque utilisé comme méthode d’authentification Un cas d’usage intéressant ici est d’utiliser la revendication EKU (http://schemas.microsoft.com/2012/12/certificatecontext/extension/eku) pour vérifier si l'utilisateur a utilisé une carte à puce (l’EKU exacte dépend de l'infrastructure PKI du client) http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod La méthode d’authentification principale utilisée pour authentifier l’utilisateur http://schemas.microsoft.com/claims/authnmethodsreferences Utilisée pour indiquer toutes les méthodes d’authentification utilisée pour authentifier l’utilisateur http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstant Utilisée pour afficher la date et l’heure auxquelles l’utilisateur a été authentifié