Deployment
Deployment
Breadcrumbs

Authentification Windows intégrée

L'authentification Windows intégrée (IWA) permet aux utilisateurs d'un domaine Windows de se connecter à MyQ sans avoir à saisir à nouveau leurs identifiants. Lorsque le serveur MyQ et le périphérique client sont tous deux joints au domaine, l'authentification peut s'effectuer automatiquement à l'aide de l'identité Windows de l'utilisateur.

MyQ prend en charge les protocoles d'authentification utilisés par l'IWA : Kerberos et NTLM. Kerberos est tenté en premier lorsque les conditions le permettent (périphérique affilié au domaine, configuration DNS/SPN correcte). NTLM n'est utilisé que lorsque Kerberos ne peut pas être appliqué (par exemple, pour les périphériques non affiliés au domaine, les environnements hérités ou en raison de SPN mal configurés). Vous pouvez également imposer une authentification Kerberos uniquement sur le serveur MyQ.

Comparaison des protocoles

Fonctionnalité / Comportement

Kerberos

NTLMv2

Niveau de sécurité

Élevée (authentification mutuelle, tickets)

Modérée (défi-réponse)

Appartenance à un domaine requise

Oui

Recommandé, mais peut fonctionner dans d'autres scénarios

Nécessite un SPN

Oui

Non

Accès au serveur

FQDN

Nom de domaine complet (FQDN), adresse IP, nom d'hôte

Compatible avec les périphériques hors domaine

Non

Oui (solution de secours)

Recommandé pour MyQ

Oui

Uniquement lorsque Kerberos n'est pas disponible

Peut être désactivé

Oui (via une stratégie)

Oui, via GPO ou paramètre de configuration MyQ
[Security]
KerberosOnly=true

Conditions préalables

  • Les services de domaine Active Directory (AD DS) sont en cours d'exécution.

  • Le DNS résout correctement le nom de domaine complet (FQDN) de votre serveur MyQ.

  • Le serveur MyQ et les périphériques clients sont joints au même domaine (ou à des domaines de confiance).

  • AD est configuré comme serveur d'authentification dans MyQ, et les utilisateurs sont synchronisés.

  • La connexion via l'authentification Windows est activée dans MyQ > Paramètres > Authentification utilisateur.

  • La synchronisation de l'heure est précise entre les contrôleurs de domaine, les serveurs et les clients.

IWA fonctionne uniquement dans des environnements de domaine ou de domaines de confiance. Les périphériques hors du domaine ne peuvent pas s'authentifier en mode silencieux.

Configuration du serveur

MyQ ne nécessite pas IIS ; MyQ s'appuie sur Windows (http.sys) pour l'authentification basée sur le SPN via l'API du serveur HTTP Windows. Pour cette raison, le SPN doit être enregistré sur le compte d'ordinateur du serveur MyQ, plutôt que sur un compte de service.

Si NTLM est requis pour les systèmes hérités, imposez NTLMv2. Sinon, désactivez complètement NTLM.

Configuration du client

Configurez les navigateurs (Edge, Chrome, Firefox) pour qu'ils considèrent le nom de domaine complet (FQDN) du serveur MyQ comme un site intranet et activez IWA.

Exemple : Microsoft Edge

  • Options Internet > Avancé > Sécurité > Activer l'authentification Windows intégrée.

  • Options Internet > Sécurité > Intranet local > Sites > Avancé, ajoutez les sites intranet ici. Ensuite, allez dans Niveau personnalisé > Authentification utilisateur > Connexion > Connexion automatique uniquement dans la zone Intranet.

Pour activer l'authentification Windows (SSO transparent) sur le Desktop Client pour les périphériques joints au domaine, modifiez son profil de configuration sur le serveur MyQ.

Stratégie de groupe et application de Kerberos

Utilisez les paramètres de stratégie de groupe Windows pour gérer de manière centralisée le comportement d'authentification de tous les systèmes joints au domaine. MyQ propose également une option au niveau du serveur pour appliquer Kerberos sans affecter les autres services.

Portée

Emplacement de la configuration

Objectif

Remarques

MyQ uniquement

config.ini

Applique l'authentification Kerberos pour MyQ

N'affecte pas l'utilisation de NTLM par d'autres services

À l'échelle du domaine (Kerberos)

Computer Configuration → Policies → Windows Settings → Security Settings → Account Policies → Kerberos Policy

Contrôle la durée de vie des tickets Kerberos, les renouvellements et le décalage horaire

S'applique à tous les serveurs et clients membres du domaine

À l'échelle du domaine (NTLM)

Computer Configuration → Policies → Windows Settings → Security Settings → Local Policies → Security Options

Limite ou désactive l'authentification NTLM

La désactivation de NTLM impose l'utilisation de Kerberos dans tout le domaine

Flux de travail Kerberos

  1. Obtention du ticket d'octroi de ticket (TGT) : les clients joints au domaine obtiennent un TGT auprès du centre de distribution de clés (KDC).

  2. Demande de ticket de service : le client demande un ticket de service HTTP/<FQDN> auprès du KDC.

  3. Validation du jeton : le serveur MyQ valide le ticket de service par rapport au SPN enregistré.

Expérience de connexion de l'utilisateur

IWA dans l'interface Web MyQ

L'authentification Windows peut être activée dans MyQ > Paramètres > Authentification utilisateur. Une fois activée, une méthode de connexion IWA apparaît sur l'écran de connexion, tandis que d'autres méthodes restent disponibles pour les utilisateurs non couverts par IWA (par exemple, les utilisateurs BYOD, les invités ou les administrateurs).

Lorsqu'un utilisateur accède à l'interface Web MyQ depuis un périphérique Windows joint à un domaine, MyQ tente d'abord l'authentification via Kerberos, en recourant à NTLM en cas d'échec, sauf si le recours à NTLM est désactivé.

Si l'authentification Windows échoue, l'utilisateur est redirigé vers l'écran de connexion standard avec le message d'erreur « Identifiants non valides ».

MyQ X Login Screen

IWA dans le Desktop Client MyQ

L'authentification Windows peut être activée pour des profils de configuration spécifiques dans Paramètres > Desktop Client MyQ.

Lorsqu'un utilisateur lance le Desktop Client sur un périphérique Windows joint à un domaine, MyQ tente d'abord l'authentification via Kerberos. Si Kerberos n'est pas disponible ou échoue, MyQ utilise NTLM à la place, sauf si le recours à NTLM est désactivé.

Si l'authentification Windows échoue, les utilisateurs sont redirigés vers l'écran de connexion standard pour utiliser les identifiants MyQ ou la validation LDAP par rapport à un annuaire utilisateur distant.

Dépannage

Journaux d'authentification et vérification

Lors de l'utilisation de l'IWA, l'authentification est gérée par Windows et Active Directory. Pour cette raison, il n'existe pas de journaux spécifiques à MyQ indiquant explicitement le protocole utilisé pour une connexion particulière.

Vous pouvez consulter l'activité d'authentification dans le journal des événements de sécurité Windows sur le contrôleur de domaine :

  • Les événements d'authentification Kerberos comprennent généralement :

    • Connexion réussie : ID d'événement 4624 (type de connexion 3 ou 10)

    • Demande de TGT : 4768

    • Demande de ticket de service : 4769

    • Échecs d'authentification : 4771, 4775

  • Les tentatives d'authentification NTLM sont consignées en tant qu'événements de sécurité, ce qui indique l'utilisation de NTLM.

Ces événements indiquent si Kerberos ou NTLM a été utilisé et identifient l'ordinateur d'origine (nom d'hôte ou adresse IP). Ces événements n'identifient pas MyQ comme l'application à l'origine de la demande.

Mappage de domaine

Dans les environnements Windows, le nom de domaine utilisé lors de l'authentification peut apparaître sous différents formats, le plus souvent sous la forme d'un nom NetBIOS (nom court) ou d'un nom de domaine DNS (FQDN). Pour que l'IWA aboutisse, le domaine présenté par le client doit correspondre au domaine configuré dans le serveur d'authentification MyQ.

L'authentification peut échouer si ces formats diffèrent – par exemple, l'utilisateur se connecte en tant que ACME\jdoe mais MyQ est configuré pour acme.example.com. Ce cas est particulièrement fréquent avec NTLM, où la valeur du domaine est évaluée de manière stricte.

Pour prendre en charge de tels environnements, MyQ fournit le domainsMapping , qui vous permet de mapper les noms de domaine NetBIOS à leurs noms de domaine DNS correspondants. Pour plus d’informations sur l’utilisation de ce paramètre, consultez laAdvanced Configuration section (10.2) Référence de configuration avancée.

Enregistrement du SPN

Pour enregistrer le SPN requis sur le compte de l'ordinateur serveur MyQ :

  1. Ouvrez l'invite de commande en tant qu'administrateur sur un contrôleur de domaine.

  2. Exécutez :
    setspn -S HTTP/myqserver.domain.com MYQSERVER

  3. Vérifiez l'enregistrement :
    setspn -L MYQSERVER

  4. Vérifiez que l'entrée HTTP/myqserver.domain.com apparaît.

Ressources