Configurer l’authentification par carte à puce pour Web Studio

Cet article décrit les étapes nécessaires pour configurer et activer l’authentification par carte à puce pour Web Studio :

Étape 1 : installer le pilote de la carte à puce

Étape 2 : émettre des certificats pour les utilisateurs de cartes à puce

Étape 3 : inscrire des certificats pour les utilisateurs de cartes à puce

Étape 4 : configurer les serveurs IIS de Web Studio

Étape 5 (facultatif) : configurer les délégations d’authentification pour Web Studio

Étape 6 : activer l’authentification par carte à puce pour Web Studio

Remarque :

L’authentification par carte à puce est prise en charge uniquement pour les utilisateurs du même domaine Active Directory avec les serveurs Web Studio.

Étape 1 : installer le pilote de la carte à puce

Installez le pilote de carte à puce sur les machines suivantes :

• Contrôleurs de domaine sur lesquels le service de certificats est installé.
• Serveurs Web Studio
• Machines utilisées par les utilisateurs finaux pour accéder à Web Studio
• Machines utilisées pour inscrire les certificats des utilisateurs de cartes à puce

Le pilote est disponible en téléchargement à l’adresse https://support.globalsign.com/ssl/ssl-certificates-installation/safenet-drivers.

Étape 2 : émettre des certificats pour les utilisateurs de cartes à puce

Sur le contrôleur de domaine, procédez comme suit pour terminer la tâche :

1. Accédez au contrôleur de domaine et ouvrez l’autorité de certification.

   

2. Dupliquez le modèle Agent d’inscription. Les étapes détaillées sont les suivantes :

   1. Cliquez avec le bouton droit sur Modèles de certificats et sélectionnez Gérer.

      

   2. Cliquez avec le bouton droit sur Agent d’inscription et sélectionnez Dupliquer le modèle.

   3. Dans l’onglet Nom du sujet, assurez-vous que l’option Inclure l’e-mail dans le nom du sujet n’est pas sélectionnée.

      

   4. Dans l’onglet Cryptographie, sélectionnez Microsoft Base Smart Card Crypto Provider, puis cliquez sur OK. Un modèle nommé Copie d’Agent d’inscription apparaît dans la liste des Modèles de certificats.

      

3. Vérifiez les autorisations du modèle Utilisateur de carte à puce. Les étapes détaillées sont les suivantes :
   1. Cliquez avec le bouton droit sur Modèles de certificats et sélectionnez Gérer.
   2. Cliquez avec le bouton droit sur Utilisateur de carte à puce et sélectionnez Propriétés.

   3. Dans l’onglet Sécurité, vérifiez que les Administrateurs de domaine disposent des autorisations sélectionnées ci-dessous :

      

4. Émettez des certificats pour les cartes à puce. Les étapes détaillées sont les suivantes :
   1. Cliquez avec le bouton droit sur Modèles de certificats, puis sélectionnez Nouveau > Modèle à émettre.
   2. Sélectionnez Copie d’Agent d’inscription et Utilisateur de carte à puce.
   3. Cliquez sur OK.

Étape 3 : inscrire des certificats pour les utilisateurs de carte à puce

Sur une machine Windows physique joint au domaine, procédez comme suit pour inscrire des certificats pour chaque carte à puce :

1. Préparez un ordinateur Windows physique joint à un domaine pour effectuer l’inscription :
   1. Assurez-vous que le pilote de la carte à puce est installé.
   2. Insérez une carte à puce dans la machine.
   3. Ouvrez une session sur la machine utilisant le compte utilisateur que vous souhaitez attribuer à la carte à puce.
2. Ajoutez le composant logiciel enfichable Certificats à la machine que vous avez préparée à l’étape 1. Les étapes détaillées sont les suivantes :
   1. Ouvrez mmc.
   2. Cliquez sur Fichier, puis sur Ajouter/Supprimer un composant logiciel enfichable.
   3. Dans la fenêtre Ajouter ou supprimer des composants logiciels enfichables qui s’affiche, sélectionnez Certificats, puis cliquez sur Ajouter >.
   4. Dans la boîte de dialogue qui apparaît, sélectionnez Mon compte utilisateur et cliquez sur Terminer.

   5. Cliquez sur OK.

      

3. Demandez de nouveaux certificats pour le composant logiciel enfichable Certificats. Les étapes détaillées sont les suivantes :

   1. Accédez à Certificats - Utilisateur actuel > Personnel, cliquez avec le bouton droit sur Certificats, puis sélectionnez Toutes les tâches > Demander un nouveau certificat.

      

   2. Dans la boîte de dialogue Demander des certificats qui s’affiche, sélectionnez Copie d’Agent d’inscription et d’Utilisateur de carte à puce.

      

   3. Dans la boîte de dialogue ci-dessus, cliquez sur Détails pour Utilisateur de carte à puce, puis sur Propriétés. La boîte de dialogue Propriétés de certificat apparaît.

      

   4. Dans l’onglet Clé privée , développez Fournisseur de services cryptographiques, désactivez Microsoft Strong Cryptographic Provider (Encryption), sélectionnez uniquement Microsoft Base Smart Card Crypto Provider (Encryption), puis cliquez sur OK.
   5. Cliquez sur Inscrire.

   6. Dans la boîte de dialogue Sécurité de Windows qui s’affiche, entrez le code PIN de la carte à puce et cliquez sur OK. Une fois l’inscription terminée, cliquez sur Terminer.

      

Une fois l’inscription réussie, deux certificats apparaissent sous Certificats - Utilisateur actuel -> Personnel -> Certificats, comme indiqué dans la capture d’écran suivante.

Étape 4 : configurer les serveurs IIS de Web Studio

Pour chaque serveur Web Studio, procédez comme suit pour configurer IIS pour l’authentification par carte à puce :

1. Activez Authentification du mappage de certificat client pour la machine Web Studio**.

   L’élément <clientCertificateMappingAuthentication> n’est pas disponible sur l’installation par défaut d’IIS 7 et versions ultérieures. Pour plus d’informations sur l’installation et l’activation, consultez cet article de Microsoft.

2. Démarrez le Gestionnaire IIS de la machine Web Studio.

3. Activez Authentification du certificat client Active Directory pour la machine. Les étapes détaillées sont les suivantes :

   1. Sélectionnez la machine dans le volet de gauche et double-cliquez sur Authentification.

      

   2. Activez Authentification du certificat client Active Directory.

      

4. Configurez le module principal de Web Studio pour sécuriser le protocole HTTPS avec l’authentification par certificat client :

   1. Accédez à Sites > Site Web par défaut > Studio > Principal > Carte à puce, puis double-cliquez sur Paramètres SSL dans la section IIS.

      

   2. Sélectionnez Obligatoire pour les Certificats clients.

      

   3. Revenez à Sites > Site Web par défaut > Studio > Principal > Carte à puce , puis double-cliquez sur Éditeur de configuration dans la section IIS.

      

   4. Assurez-vous que /ClientCertificateMappingAuthentication est activé.

      

5. (Windows 2022 uniquement) Désactivez TLS 3.1 via TCP. Les étapes détaillées sont les suivantes :

   1. Accédez à Sites > Site Web par défaut.
   2. Cliquez sur Modifier site > Liaison.

   3. Dans la boîte de dialogue Liaisons de sites qui apparaît, sélectionnez le dossier https, puis cliquez sur Modifier.

      

   4. Dans la boîte de dialogue Modifier la liaison de site qui apparaît, sélectionnez Désactiver TLS 1.3 sur TCP, puis cliquez sur OK.

      

À savoir :

Web Studio Backend est un module de Web Studio qui propose les fonctions suivantes :

• Authentification par carte à puce.
• Récupération des jetons du porteur FMA à partir d’Orchestration Service avec l’authentification Windows intégrée.

Étape 5 (facultatif) : configurer les délégations d’authentification pour Web Studio

Lorsque Web Studio et les Delivery Controller sont installés sur des serveurs différents, vous devez configurer les délégations pour chaque serveur Web Studio des Delivery Controller pour les services HOST et HTTPS.

Procédez comme suit pour effectuer la tâche pour chaque serveur Web Studio :

1. Importer le certificat Delivery Controller Orchestration HTTPS
2. Configurer la délégation pour le serveur Web Studio
3. (Facultatif) Configurer la délégation pour le compte de service du serveur IIS de Web Studio

Importer le certificat Delivery Controller Orchestration HTTPS

Sur le serveur Web Studio, importez le certificat Delivery Controller Orchestration HTTPS vers Autorités de certification racines de confiance. Les étapes détaillées sont les suivantes :

1. Démarrez Réglages > Gérer les certificats de l’ordinateur.

2. Cliquez avec le bouton droit sur Autorités de certification racines de confiance > Certificats et sélectionnez Toutes les tâches > Importer.

   

3. Suivez les instructions qui s’affichent à l’écran pour importer le certificat Delivery Controller Orchestration HTTPS.

Configurer la délégation pour le serveur Web Studio

Sur le contrôleur de domaine, configurez la délégation du serveur Web Studio sur Delivery Controller pour les services HOST et HTTP. Pour terminer la tâche, procédez comme suit :

1. Sur le contrôleur de domaine, démarrez le Centre d’administration Active Directory.
2. Localisez le compte d’ordinateur du serveur Web Studio pour lequel vous souhaitez configurer la délégation (par exemple, Dan002).

3. Cliquez avec le bouton droit sur le compte, sélectionnez Propriétés, puis procédez comme suit :

   

   1. Accédez à l’onglet Délégation.

      

   2. Sélectionnez l’option Faire confiance à cet utilisateur pour déléguer vers les services spécifiés uniquement > Utiliser n’importe quel protocole d’authentification.
   3. Cliquez sur Ajouter pour spécifier les services auxquels ce compte d’ordinateur peut être délégué.
   4. Dans la boîte de dialogue Ajouter un service qui apparaît, cliquez sur Ajouter des utilisateurs ou des ordinateurs pour trouver le nom de l’ordinateur du Delivery Controller (par exemple, Dan001).
   5. Sélectionnez les services HOST et HTTP, puis cliquez sur OK.

Les résultats de configuration sont présentés dans la capture d’écran suivante.

(Facultatif) Configurer la délégation pour le compte de service du serveur IIS de Web Studio

Si vous avez configuré un compte de service pour le serveur IIS de Web Studio, vous devez également configurer la délégation de ce compte de service au Delivery Controller pour les services HOST et HTTP. Une fois cette délégation établie, le serveur Web Studio peut utiliser son compte de service pour emprunter l’identité de l’utilisateur de la carte à puce actuel afin d’accéder au Delivery Controller pour les services HOST et HTTP. Pour terminer la configuration, procédez comme suit :

1. Sur le contrôleur de domaine, démarrez le Centre d’administration Active Directory.
2. Trouvez le compte d’utilisateur du serveur IIS de Web Studio (compte de service) pour lequel vous souhaitez configurer la délégation (par exemple, svr-stud-002).
3. Cliquez avec le bouton droit sur le compte et sélectionnez Propriétés.
4. Suivez la procédure décrite à l’étape 3 de Configurer la délégation pour le serveur Web Studio afin de déléguer le compte de service du serveur IIS de Web Studio au Delivery Controller pour les services HOST et HTTP.

Les résultats de configuration sont présentés dans la capture d’écran suivante.

Étape 6 : activer l’authentification par carte à puce pour Web Studio

Pour activer l’authentification par carte à puce pour Web Studio, procédez comme suit :

1. Connectez-vous à Web Studio et sélectionnez Paramètres dans le volet de gauche.
2. Sélectionnez Authentification par carte à puce ou Identifiants de domaine ou authentification par carte à puce selon vos besoins.

3. Cliquez sur Appliquer.