SOLABS propose plusieurs options d'authentification ainsi qu’une liaison avec les politiques de mots de passe du client pour garantir une sécurité maximale. Cet article est destiné aux clients qui activent Azure AD en tant que fournisseur externe de SSO (Single Sign-On) pour QM10.
Il existe des différences mineures entre Active Directory (AD DS) et Azure AD, bien que l'une d'entre elles (concernant la validation des mots de passe) nous semble plus importante à prendre en compte. Dans AD DS, lorsque le paramètre "Le mot de passe doit respecter des exigences de complexité" est activé, un utilisateur ne peut pas utiliser son nom d'utilisateur en totalité ou en partie dans son mot de passe. Cette restriction existe également dans Azure AD, mais sous un nom et une section différents appelés "Protection de mot de passe".
Cette fonctionnalité évalue les mots de passe selon les étapes suivantes :
Étape 1 : Normalisation
- Un nouveau mot de passe est d'abord soumis à un processus de normalisation. Cette technique permet de mapper un petit ensemble de mots de passe interdits à un ensemble beaucoup plus large de mots de passe potentiellement faibles.
Étape 2 : Vérification si le mot de passe est considéré comme interdit
- Comportement de correspondance approximative : La correspondance approximative est utilisée sur le mot de passe normalisé pour identifier s'il contient un mot de passe figurant dans les listes globales ou personnalisées de mots de passe interdits. Le processus de correspondance est basé sur une distance d'édition d'une (1) comparaison.
- Correspondance de sous-chaîne (sur des termes spécifiques) : La correspondance de sous-chaîne est utilisée sur le mot de passe normalisé pour vérifier le prénom et le nom de famille de l'utilisateur, ainsi que le nom du locataire. La correspondance avec le nom du locataire n'est pas effectuée lors de la validation des mots de passe sur un contrôleur de domaine AD DS pour des scénarios hybrides sur site.
Vous trouverez plus d'informations sur la fonctionnalité de protection du mot de passe ici.
Pourquoi est-ce pertinent pour les clients de QM10?
La solution QM10 n'autorise pas un utilisateur à inclure son nom d'utilisateur en totalité ou en partie dans sa chaîne de caractères de mot de passe, indépendamment des politiques de mots de passe de votre tenant Azure AD.
Nous vous recommandons donc d'activer la fonctionnalité de Protection du mot de passe dans votre Azure AD lors de l'activation d'Azure AD en tant que fournisseur externe de SSO pour QM10.
Note importante!
Bien que la fonctionnalité de Protection du mot de passe soit activée par défaut, ELLE NE s'applique PAS aux scénarios hybrides sur site. Si tel est votre contexte, veuillez vous référer à cet article pour effectuer la configuration requise.
Références utiles sur les politiques de mots de passe :
Paramètres de stratégie de mot de passe pour AD DS : ici.
Exigences en matière de complexité des mots de passe pour AD DS : ici.
Paramètres de stratégie de mot de passe pour Azure AD : ici.
Commentaires
0 commentaire
Vous devez vous connecter pour laisser un commentaire.