Etape 2 : Authentification des utilisateurs

de passe oublié,
par exemple – ils peuvent utiliser
n’importe quel navigateur Web (la station
de travail d’un collègue, par exemple) pour accéder à  l’application
d’administration de compte. (D’autres
solutions plus solides, comme l’intégration
à  un système de répondeur vocal
interactif ou la modification de
l’écran de logon, existent auprès des
ISV. Et aussi, si l’on possède les compétences
et les ressources nécessaires,
par l’ingénierie et le développement
interne.) Comme l’application n’utilise
pas un mécanisme d’authentification
classique, vous devrez configurer
toutes les pages Web d’administration
pour utiliser l’accès Anonymous.

L’application d’administration
exemple commence par ssa.asp, que
l’on voit dans le listing Web 3. Cette
page d’authentification initiale utilise
le code du listing 6, pour inviter l’utilisateur
à  présenter un peu d’information
de base, comme l’UPN, l’adresse
e-mail, ou la combinaison nom de domaine/
nom d’utilisateur, le numéro
d’identification de l’employé, ou toute
autre identification unique dans l’entreprise.
Pour plus de sécurité, on peut
aussi songer à  poser l’une des questions
d’authentification (nom de jeune
fille de la mère, par exemple), comme
le montre la figure 2.

Cette page initiale empêche les invités
de l’entreprise d’examiner la liste
complète des critères servant à  authentifier
les utilisateurs et elle facilite
l’utilisation des couples questiondéfi/
réponse propres à  l’utilisateur. Un
champ caché sur cette page stocke le
numéro de la question présentée dans
l’authentification initiale, afin que la
question ne soit pas répétée sur la
page d’authentification principale.