Catégorie : Protocoles

Quatuor gagnant: Authentification ADFS SAML 2.0 avec Shibboleth SP 3 sous IIS10 et PHP

Dans cet article nous allons voir comment configurer une fédération SAML 2.0 entre ADFS 2016 et Shibboleth SP 3.0. Dans un second temps, nous verrons comment via PHP récupérer les informations d’identification et claims (assertions) d’un utilisateur précédemment authentifié au travers cette fédération. Prérequis à cette maquette Fournisseur d’identité (Idp) : ADFS (Windows Server 2016) Metadata

Azure AD: ADAL, MSAL (Enregistrement des applications en preview)

Bonne nouvelle! Nous l’avions vu dans ce dernier article, en fonction du point de terminaisons souhaité V1 pour ADAL ou V2 pour MSAL il fallait se connecter à un portail différent: https://portal.azure.com/ pour enregistrer une application avec la V1 et https://apps.dev.microsoft.com/ pour la V2. A présent les 2 portails nous affichent les applications enregistrées qui utilisent les

MaxTokenSize et erreurs HTTP 400

MaxTokenSize? Au fur et à mesure de la vie d’un Active Directory, les comptes utilisateurs deviennent membres de groupes de sécurité de plus en plus nombreux. Cela peut provoquer dans certains cas des problèmes généralement difficiles à reconnaître. Ils apparaissent souvent comme des défaillances d’application aléatoires ou des pannes: Echecs de l’application de stratégie de

Exploration des entêtes HTTP WWW-Authenticate et Authorization

Entêtes HTTP WWW-Authenticate et Autorization? HTTP prend en charge l’utilisation de plusieurs mécanismes d’authentification pour contrôler l’accès aux pages et aux autres ressources. Ces mécanismes sont tous basés sur l’utilisation du code d’état 401 et de l’en-tête de réponse « WWW-Authenticate ». Le client utilise alors l’entête « Autorization » pour fournir au serveur des éléments d’authentification. Les mécanismes

Intégrer une application à Azure AD (MSAL) et authentification avec OpenID Connect

Petit rappel sur le protocole OAuth 2.0 et la couche OpenID Connect (dans le contexte AZURE AD) OpenID Connect (OIDC) est une simple couche d’identification basée sur le protocole OAuth 2.0 (Protocole d’autorisation). Avec OpenID Connect, outre un jeton d’accès, les applications peuvent également obtenir un jeton d’identification auprès d’Azure AD. Les jetons d’identification OpenID

Azure AD: ADAL, MSAL?

Quid est ? / Qu’es aquò ? Ces 2 acronymes sont en réalité les bibliothèques d’authentification Azure Active Directory. ADAL pour Azure Active Directory Authentication Library et MSAL pour Microsoft Authentication Library permettent aux développeurs d’applications d’authentifier les utilisateurs dans une instance locale d’Active Directory (AD), puis d’obtenir des jetons pour sécuriser les appels d’API. Ces 2 protocoles prennent

Protocoles NBT-NS, LLMNR et exploitation des failles

Protocoles NBT-NS, LLMNR? Link-Local Multicast Name Resolution (LLMNR) et Netbios Name Service (NBT-NS) sont deux composants présents en environnement Microsoft. LLMNR a été introduit dans Windows Vista et est le successeur de NBT-NS. Ces composants permettent d’aider à identifier des hôtes sur le même sous-réseau lorsque les services DNS centraux échouent. Ainsi, si une machine tente de

Installer Shibboleth SP 3.0 sous IIS 8 ou 10

Cette article détaille l’installation et la configuration l’extension ISAPI Shibboleth fournisseur de services (Service Provider, SP) en environnent Microsoft IIS 8 (Windows 2012 R2). La méthode appliquée fonctionne aussi parfaitement sous IIS 10 (Windows 2016). Nous procéderons par étapes pour aboutir à un fournisseur de services Shibboleth opérationnel. La première étape consistera à installer les

Intégrer une application utilisant le protocole SAML 2.0 à Azure AD

Dans cet article nous allons voir quels sont les différentes applications et type d’applications présentes sous Azure AD et plus précisément l’ajout d’une application fonctionnant sur le protocole SAML 2.0. Globalement, le portail Azure propose plusieurs type d’applications, pour plusieurs scénarios. Les applications sont ajoutées à Azure AD pour exploiter un ou plusieurs des services fournis,

Exploration du protocole KERBEROS – Déchiffrer le PAC

Rappel concernant le protocole Kerberos L’authentification a lieu en 3 phases (ou sous-protocoles) chacune composées d’une demande et d’une réponse correspondante comme ci dessous: Phase A: Authentication Service (AS): 1 fois par session de logon 1. KRB_AS_REQ: Requête au contrôleur de domaine (KDC) pour l’obtention d’un TGT (Ticket-Granting Ticket) 2. KRB_AS_REP: Le contrôleur de domaine retourne