❮ back   

Utilisation de jetons matériels programmables avec Azure AD B2C

Le 16 août 2022, Microsoft a annoncé la disponibilité générale de l'authentification multifactorielle (MFA) basée sur TOTP pour Azure AD (Microsoft Entreprise ID) B2C. Le nom utilisé pour cette méthode d'authentification est "OATH software tokens", qui est un autre nom pour les applications d'authentification TOTP telles que Google Authenticator ou Microsoft Authenticator.

Cela signifie malheureusement que les jetons OATH classiques actuellement disponibles avec Azure AD (Microsoft Entreprise ID) (encore en préversion) ne peuvent pas être utilisés pour Azure AD (Microsoft Entreprise ID) B2C.

Heureusement, vous pouvez toujours bénéficier des jetons programmables de Token2 car ils agissent comme un remplacement direct pour les applications TOTP. La seule étape supplémentaire requise dans ce cas est le transfert de la clé secrète TOTP (affichée sous forme de code QR lors de l'inscription à la MFA) sur le Token à l'aide de l'une de nos applications (NFC Burner ou USB Config tool, en fonction du modèle de Token que vous possédez).

Le guide ci-dessous fournira des instructions de base sur la façon de provisionner un Token pour l'authentification multifactorielle Azure AD (Microsoft Entreprise ID) B2C.

Prérequis

  • Un Token programmable Token2.
  • Un iPhone ou un appareil Android avec NFC* - cela est nécessaire uniquement pour l'inscription, les connexions ultérieures ne nécessiteront que le Token.
  • La méthode d'authentification TOTP doit être activée pour le flux d'utilisateurs souhaité, veuillez consulter l'article Microsoft pour les étapes exactes.
    Using programmable hardware tokens with  Azure AD (Microsoft Entra ID) B2C

* Les versions Android et Windows sont disponibles pour tous les modèles, mais ce guide utilisera l'application iPhone à titre d'exemple. Les applications iPhone sont compatibles uniquement avec les modèles "-i". Linux et macOS peuvent être utilisés pour certains modèles en utilisant un dispositif d'écriture NFC spécial.

Provisionnement du Token

Lorsqu'une application Azure AD (Microsoft Entreprise ID) B2C active l'authentification multifactorielle (MFA) en utilisant l'option TOTP, les utilisateurs finaux doivent utiliser une application d'authentification pour générer des codes TOTP. Dans notre cas, nous allons remplacer l'application d'authentification par un Token. Cependant, pour transférer le contenu du code QR sur le Token, nous avons toujours besoin d'une application qui écrira le secret sur le Token (ou, en d'autres termes, le gravera via NFC, dans cet exemple). Cela peut être fait par les utilisateurs finaux (tant qu'ils ont un appareil compatible NFC et l'une de nos applications NFC Burner installées), ou alternativement, un administrateur système Azure AD (Microsoft Entreprise ID) B2C ou une personne du support technique peut aider les utilisateurs finaux en suivant les étapes ci-dessous :

  1. Téléchargez et installez l'application NFC Burner sur votre appareil mobile Android ou iOS. L'application exacte doit être choisie dans cette table en sélectionnant le modèle de Token dans la colonne de gauche.
  2. Ouvrez l'application qui nécessite l'utilisation de TOTP pour la MFA, par exemple l'application web Contoso, puis connectez-vous ou inscrivez-vous en saisissant les informations requises.
  3. Si on vous demande d'inscrire votre compte en scannant un code QR à l'aide d'une application d'authentification, ouvrez l'application NFC Burner et suivez les étapes ci-dessous :

Gravure d'un Token


  • Lancez l’app NFC Burner sur votre Androïde et activer le bouton QR
    image002
  • Pointez-la camera sur le code QR qui est afficher sur votre page. Si le scan du QR code a marché, la caméra devrait disparaitre.
  • Allumer le token et plaquer l’a la caméra du téléphone, puis appuyer sur « Connect » sur l’app.
  • Si la connexion est réussie, appuyer sur « Burn seed ». Si le lien NFC est établi et le code scanné, le statu « Burning… » serai affiché, puis le message « burn seed successful… » (cela prend 1 a 2 seconde) Une image contenant texte Description générée automatiquement

Suivez ces étapes pour configurer votre token avec l’App Windows.

1. Lancez le fichier .exe puis sélectionnez l’appareil NFC dans la liste déroulante et cliquez sur « Connecter ». Une boite de dialogue devra apparaitre et afficher que la connexion à marcher.

Token2 NFC Burner app for Windows

 

2. Entrer le seed generé ici dans le partie Base32

3. Placer le token sur l’appareil NFC et attendez que son numéro de série s’affiche

Token2 NFC Burner app for Windows

4. Cliquez sur “Burn seed”. La entré de journal avec le numéro de série et « Successful operation » sera enregistrer dans le  journal.

Token2 NFC Burner app for Windows


  • Lancez l’app NFC Burner sur votre iPhone et appuyer sur scan QR code.
    Une image contenant texte Description générée automatiquement
  • Pointez-la caméra vers le code QR afficher sur la page de votre compte. Si le scan a marché, la caméra disparaitra et le champ « seed » sera rempli avec la valeur hex du seed.
  • Appuyer sur le bouton “Burn » puis allumer le token et collez le a l’iPhone.
  • Vérifier le résultat dans le « Results log »

Veuillez noter que les procédures ci-dessus ne sont présentées qu'à titre d'exemple et ne sont valables que pour les token2 TOTP à profil unique. La procédure pour les appareils multi-profils et programmables par USB est similaire mais légèrement différente

Veuillez noter que les procédures ci-dessus sont présentées uniquement à titre d'exemples et sont valables uniquement pour les jetons TOTP à profil unique. La procédure pour les dispositifs multi-profils et programmables par USB est similaire mais légèrement différente.

Après que le Token a été provisionné avec succès, poursuivez avec l'application web :

  • Dans l'application (par exemple, l'application web Contoso), sélectionnez Continuer.
  • Éteignez puis rallumez le Token (pour vous assurer que le nouveau secret écrit est utilisé pour générer le OTP).
  • Dans Saisissez votre code, entrez le code qui apparaît sur l'écran de votre Token.
  • Sélectionnez Vérifier.

Lors des connexions ultérieures à l'application, saisissez le code qui apparaît sur le Token ; l'application NFC Burner ainsi que l'appareil utilisé pour la configurer ne seront plus nécessaires.