Réinitialisation de mot de passe en libre-service

Lors de la sortie de Windows Server 2003, il était possible d’appliquer une stratégie de mot de passe unique pour l’ensemble de son organisation, cela a très vite évolué avec la version 2008. L’apparition des Password Settings Objects (PSO) a permis d’appliquer des stratégies de mot de passe différentes en fonction des utilisateurs. Dès lors, ces stratégies ont forcé l’utilisateur à créer un mot de passe qui respecte une certaine complexité et temporalité.

La multiplication des comptes utilisateurs combinée à l’obligation de disposer d’un mot de passe complexe a très nettement amplifié la problématique de gestion des mots de passe pour les services informatiques.

La possibilité d’utiliser un système de Single Sign On (SSO) peut nettement optimiser les sources d’authentifications. Il n’en reste pas moins que la gestion des mots de passe et leur perte représente un coût significatif pour les entreprises.

Cet article va donc présenter les solutions de réinitialisation de mot de passe en libre-service proposées par Microsoft.

Premièrement, nous aborderons la solution proposée par Microsoft Forefront Identity Manager (FIM) puis dans un second temps, nous décrypterons la solution novatrice proposée par Azure Active Directory (AAD).

#Self-Service Password Reset (SSPR) et Forefront Identity Manager 2010 R2

FIM 2010 R2 propose un module de réinitialisation de mot de passe en libre-service pour les utilisateurs. Ce module est nativement proposé pour les clients qui utilisent le portail utilisateur de FIM.

D’un point de vue administrateur, il sera nécessaire de déployer le portail prévu à cet effet. Il sera également nécessaire de réaliser une configuration sur le contrôleur de domaine afin d’autoriser le service FIM à réinitialiser le mot de passe pour les utilisateurs. Pour finir, un add-in est déployable sur les postes clients pour permettre aux utilisateurs de réinitialiser leur mot de passe au niveau de l’interface d’authentification.

SSPR au travers de FIM offre la possibilité de :

• Définir les questions

• Définir le nombre de questions

• Définir le nombre de questions que l’utilisateur doit renseigner

• Définir le nombre de questions présenté aléatoirement à l’utilisateur

• Définir le nombre de bonnes réponses que l’utilisateur doit apporter pour réinitialiser son mot de passe

Il est également possible d’implémenter une solution d’OTP pour vérifier l’identité de la personne. Cet OTP peut être envoyé par email ou par SMS.

L’autre avantage est de déployer l’add-in FIM afin de permettre la réinitialisation du mot de passe avant même d’accéder à sa session utilisateur. Bien entendu, il sera nécessaire d’avoir renseigné le formulaire au préalable. A noter que la stratégie de mot de passe s’appuie sur celle mise en place au niveau du contrôleur de domaine. Il sera également possible de customiser les interfaces.

La mise en place de cette fonctionnalité nécessitera forcément un minimum d’analyse par rapport à la façon de procéder. La réflexion sur les questions à poser aux utilisateurs reste un point essentiel. Le fait de publier ce service sur l’extranet représente un point non négligeable sur la mise en place de ce module. Pour finir, il ne faut pas négliger la charge d’administration et de configuration pour la mise en œuvre ainsi que pour l’exploitation de cette fonctionnalité.

#Self-Service Password Reset proposé dans azure active directory

Avec l’arrivée des derniers outils de synchronisation DirSync (version 1.0.6862.0000 et supérieur) et AAD Sync (Azure Active Directory Synchronization Services), il est maintenant possible de « Réinitialiser un mot de passe en libre-service pour les utilisateurs dotés de droits d’écriture différée sur les annuaires locaux ». Plus communément, la fonction s’appelle « Self-service password reset with on-premises write-back ».

Pour bénéficier de cette fonctionnalité, il faudra néanmoins disposer d’un compte Azure Active Directory Premium. La version « De base », offre la réinitialisation du mot de passe pour les identités stockées dans le cloud. Si l’on regarde un peu le fonctionnement de ce service, il s’apparente à celui présent dans FIM avec quelques divergences.

Le principal avantage de cette solution est la facilité de mise en œuvre et de configuration. Ici les problématiques de DMZ et de publication de service ne rentrent pas en compte car c’est le service de synchronisation qui traite les demandes de réinitialisation de mot de passe.

Concernant les choix possibles en termes de réinitialisation de mot de passe, contrairement à FIM, il n’est plus question de pré-renseigner un formulaire Questions/Réponses mais de préciser un numéro de téléphone (fixe ou mobile) ou une adresse email alternative. Ainsi, lors de la réinitialisation du mot de passe, l’utilisateur devra renseigner son numéro de téléphone pour recevoir un code lui permettant de changer son mot de passe.

Le plus gros inconvénient reste au niveau de la licence attribuée et la nécessité de disposer d’un compte Premium pour la partie on-premises write-back. Pour les entreprises adeptes de la marque blanche, là aussi les limitations se feront très rapidement ressentir.

Alors supprimons tous les mots de passe…

Au grand dam des équipes support, cette utopie n’est guère réalisable. C’est pourquoi, il est vraiment intéressant de se pencher sur ce type d’implémentation.

Pour ceux qui n’ont pas encore pris le virage du cloud, la version SSPR proposée dans FIM répondra parfaitement aux attentes d’une autogestion de mot de passe par les utilisateurs. SSPR dans Azure séduira sans aucune évidence un large public grâce à sa configuration intuitive et rapide.