Authentification Windows intégrée

Authentification intégrée de Windows (IWA) permet aux utilisateurs de s'authentifier de manière transparente à l'aide de leurs informations d'identification Windows. Cette méthode s'appuie sur des protocoles tels que NTLM (NT LAN Manager) ou Kerberos pour authentifier les utilisateurs sans qu'ils aient à saisir à nouveau leurs informations d'identification lorsqu'ils accèdent à des services ou à des applications au sein du domaine Windows.

MyQ X prend en charge l'authentification via NTLM, en utilisant un mécanisme défi-réponse. Dans ce processus, l'utilisateur fournit une version hachée de son mot de passe et le serveur la valide sans avoir besoin de connaître le mot de passe réel.

Si votre ordinateur client appartient au domaine (par exemple, une application intranet), l'utilisateur ne doit pas saisir d'informations d'identification.

Conditions préalables

Les conditions suivantes doivent être remplies pour utiliser l'IWA :

• Services de domaine Active Directory (AD DS) doit être installé et configuré.

• Les appareils et les serveurs MyQ doivent être reliés au même domaine local.

• Une configuration DNS correcte est essentielle pour garantir une résolution précise des noms de domaine.

• Les appareils fonctionnent sous Windows.

• Les utilisateurs doivent être synchronisés à partir d'Active Directory et l'utiliser comme serveur d'authentification dans MyQ.

Configuration

L'IWA est généralement activé par défaut et ne nécessite pas de configuration approfondie, à moins que des politiques de sécurité spécifiques ne doivent être appliquées. La configuration est principalement gérée via la stratégie de groupe et IIS (si vous exécutez vos applications ; IIS n'est pas nécessaire pour l'authentification avec MyQ), et elle fonctionne généralement automatiquement dans un environnement de domaine correctement configuré.

Sur les clients, il faut s'assurer que l'authentification Windows est activée dans les navigateurs web et que le serveur MyQ est ajouté en tant que site web intranet dans la même tonalité que les ordinateurs clients.

Contrôleur de domaine

• Les paramètres NTLM peuvent être facilement gérés par le biais de la stratégie de groupe. Pour ce faire, ouvrez la console de gestion des stratégies de groupe (GPMC) et allez à l'adresse suivante Configuration de l'ordinateur -> Stratégies -> Paramètres Windows -> Paramètres de sécurité -> Stratégies locales -> Options de sécurité. Dans cette section, vous trouverez diverses politiques concernant NTLM, notamment Sécurité du réseau : Niveau d'authentification du gestionnaire de réseau local.

• Veuillez vous assurer que ces paramètres répondent à vos exigences de sécurité. Par exemple, vous avez la possibilité de définir le niveau d'authentification du Gestionnaire de réseau local de manière à n'autoriser que les réponses NTLMv2, qui est un choix plus sûr que NTLMv1.

Configuration du client

Assurez-vous que les clients sont configurés pour utiliser l'authentification intégrée de Windows (IWA). Cela nécessite généralement de configurer les navigateurs web (tels que Edge, Chrome ou Firefox) pour permettre la connexion automatique à l'aide du nom d'utilisateur et du mot de passe actuels pour les sites intranet.

Microsoft Edge

• Options Internet → Avancé → Sécurité → Activer l'authentification intégrée de Windows.

• Options Internet -> Sécurité -> Intranet local -> Sites -> Avancé, ajoutez les sites intranet ici. Allez ensuite dans Personnaliser le niveau -> Authentification de l'utilisateur -> Connexion -> Connexion automatique uniquement dans la zone Intranet.

Expérience de connexion des utilisateurs

Authentification Windows sur l'interface web MyQ

L'authentification Windows peut être activée dans Paramètres → Authentification de l'utilisateur. Une fois cette opération effectuée, une nouvelle méthode de connexion est affichée sur l'écran de connexion. Cela garantit que les utilisateurs peuvent toujours utiliser d'autres formes d'authentification si l'IWA ne s'applique pas à eux (par exemple, les utilisateurs invités, les utilisateurs BYOD, le compte *administrateur).

Si l'authentification Windows échoue pour l'utilisateur, celui-ci est redirigé vers l'expérience de connexion standard et peut continuer avec une autre méthode de connexion. Le message d'erreur Informations d'identification invalides s'affiche.

Authentification Windows dans MyQ Desktop Client

L'authentification Windows peut être activée dans Paramètres → MyQ Desktop Client pour des profils de configuration spécifiques. De cette façon, vous pouvez activer cette option uniquement pour certains ordinateurs tout en sélectionnant une connexion standard avec des informations d'identification MyQ ou des informations d'identification validées via LDAP par rapport à un répertoire d'utilisateurs distant (par exemple, AD) sur un autre ensemble d'ordinateurs.

Si l'authentification Windows échoue pour l'utilisateur, celui-ci est redirigé vers l'expérience de connexion standard et peut saisir les informations d'identification MyQ ou se connecter avec des informations d'identification validées via LDAP par rapport à un répertoire d'utilisateurs distant (par exemple, AD).

Ressources et dépannage

• Authentification intégrée de Windows - Wikipedia

• Authentification Windows intégrée - Microsoft Learn

• Activer l'authentification NTLM 2 - Windows Client | Microsoft Learn

• Microsoft NTLM - Win32 apps | Microsoft Learn

• AD FS Troubleshooting - Integrated Windows Authentication | Microsoft Learn