×

Topal Solutions SA

Profil SharePoint

Les applications Microsoft Office modernes, dont SharePoint, sont aujourd'hui principalement fournies via la plateforme cloud Microsoft Azure.
Cela a également une incidence sur les mécanismes d'authentification dans Topal FA.
 
Topal FA propose différents mécanismes d'authentification. Les deux premières méthodes sont considérées comme obsolètes (legacy) et non sécurisées.
Elles sont toutefois toujours prises en charge, car certaines infrastructures existantes les utilisent encore.
 
Pour utiliser les nouveaux mécanismes d'authentification plus sûrs, un enregistrement de l'application via Azure Entra ID est nécessaire.
Vous trouverez une description détaillée de l'enregistrement de l'application dans Azure Entra ID <ici>.
 
Mécanismes d'authentification:
 
 
Configuration du portail Azure - Topal FA - Certificat
Exemple d'authentification par certificat.
Figure 1: Processus Portail Azure - Topal FA - Certificat
 
Identifiant / Mot de passe (sur site)
Une méthode d'authentification classique dans laquelle l'utilisateur utilise ses identifiants de connexion au domaine de son entreprise ou au domaine Windows.
Souvent utilisée dans les environnements Azure Entra (Active Directory) ou pour l’authentification unique (SSO) au sein d’une entreprise. Ce mécanisme d’authentification est considéré comme obsolète (legacy) et peu sûr. Il reste toutefois pris en charge pour les infrastructures sur site existantes.
 
Fonctionnement :
  •  L'utilisateur saisit ses identifiants (par exemple, benutzer@firma.com + mot de passe du domaine).
  •  Le système vérifie les informations d'identification auprès du service d'annuaire (par exemple, Active Directory, LDAP).
  • Une fois l'authentification réussie, l'utilisateur obtient l'accès aux systèmes concernés.
 
Avantages :
• Permet une gestion centralisée et un contrôle des accès.
• Prend en charge les politiques de sécurité (par exemple, complexité des mots de passe, durées de validité, MFA).
 
Inconvénients :
• Vulnérable aux attaques de phishing si aucune mesure de sécurité supplémentaire telle que la MFA n'est utilisée.
• Peut entraîner une charge administrative accrue si de nombreux utilisateurs doivent régulièrement réinitialiser leur mot de passe.
 
Figure 2: Paramètres du profil - Identifiant / Mot de passe (sur site)
 
Identifiant / Mot de passe (mot de passe de l'application)
Cette méthode est utilisée lorsqu'une application ne prend pas en charge l'authentification moderne (par exemple, les systèmes hérités). Ce mécanisme est considéré
comme obsolète (hérité) et non sécurisé. À la place du mot de passe habituel, on utilise un mot de passe d'application spécialement généré. Celui-ci reste toutefois
pris en charge pour les infrastructures existantes.
 
Fonctionnement :
1. L'utilisateur génère un mot de passe spécifique à l'application dans son portail Azure.
2. Ce mot de passe est enregistré dans l'application et sert à l'authentification.
3. Le mot de passe de l'application ne peut pas être réinitialisé : il doit être régénéré en cas de perte.
 

Figure 3: Paramètres du profil - Identifiant / Mot de passe (mot de passe de l'application)
 
Identifiant / Mot de passe (mot de passe du domaine sans authentification à deux facteurs)
Si l'on souhaite utiliser une authentification par identifiant utilisateur et mot de passe avec le mot de passe du domaine, celle-ci est proposée par défaut avec une authentification à deux facteurs (2FA).
 
Dans Topal FA, ce mécanisme ne peut être utilisé que si l'authentification à deux facteurs (2FA) est désactivée.
Une authentification à deux facteurs dans le contexte du système de gestion documentaire (DMS) n'a qu'un intérêt limité, car une confirmation via « MS Authenticator » serait nécessaire à chaque connexion.
Les avantages et les inconvénients du mécanisme d'authentification par identifiant utilisateur et mot de passe (sur site) s'appliquent donc ici.
 
Figure 4: Paramètres du profil - Identifiant / Mot de passe (mot de passe du domaine sans 2FA)
 
Authentification via le code de l'appareil
Le processus « Device Code » est une procédure d'authentification destinée aux appareils ne disposant pas d'un moyen de saisie pratique,
tels que les téléviseurs connectés, les appareils IoT ou les terminaux. L'utilisateur lance l'authentification lorsque l'appareil affiche une chaîne de caractères unique (Device Code).
Dans le cadre de ce processus, un jeton est généré. Celui-ci est enregistré et actualisé à chaque utilisation. Si aucune interaction n’est enregistrée pendant 90 jours, le jeton expire et une nouvelle authentification est nécessaire.
 
Avantage :
• Permet une authentification sécurisée, même si l’appareil ne dispose pas lui-même d’un moyen de saisie pratique.
 
 
Plus d'informations
Documentation Microsoft sur le Device Code Flow
 
Figure 5: Paramètres du profil - Authentification via le code de l'appareil
 
Si vous utilisez ce type d'authentification, vous serez invité à copier le code de vérification, puis à le coller dans la boîte de dialogue de demande « Windows » en cliquant sur le lien ci-dessous.



Figure 6: Paramètres du profil - Connexion via le code de l'appareil
 
 
Authentification interactive (processus interactif)
Le processus interactif est utilisé pour les connexions utilisateur permettant une interaction directe avec une fenêtre de connexion.
Dans ce processus, l'utilisateur s'authentifie une seule fois et reçoit un jeton. Celui-ci est enregistré et actualisé à chaque utilisation. Si aucune
interaction n'est enregistrée pendant 90 jours, le jeton expire et une nouvelle authentification est nécessaire. Ce mécanisme est recommandé.
 
Avantages :
• Prise en charge des méthodes d'authentification modernes (par exemple, OAuth, OpenID Connect).
• Intégration de mécanismes de sécurité tels que l'authentification multifactorielle (MFA) ou l'authentification unique (SSO).
• Peut s'effectuer via des URL de redirection ou des fenêtres contextuelles.
 
Plus d'informations:
Documentation Microsoft sur le flux interactif
 
Figure 7: Paramètres du profil - Authentification interactive
 
Lorsque vous utilisez ce type d'authentification, une boîte de dialogue « Windows » vous invite à sélectionner votre profil.
 
Authentification par certificat (processus d'authentification client avec certificats)
Le processus de certificat (également appelé « flux d'informations d'identification client avec certificats ») est utilisé pour les applications et services côté serveur qui doivent être authentifiés sans intervention de l'utilisateur
. Il est souvent utilisé pour les comptes de service, la communication entre machines ou l'accès aux API sans interaction de l'utilisateur.
Ce mécanisme est considéré comme très sûr, mais nécessite un effort supplémentaire pour la distribution des certificats.
 
Fonctionnement :
1. L'appareil client envoie une requête accompagnée du certificat au serveur d'authentification.
2. Le serveur vérifie la validité et l'authenticité du certificat.
3. Si la vérification est réussie, un jeton d'accès est émis.
 
Avantages :
• Sécurité renforcée, car aucun mot de passe n'est stocké ni transmis.
• Authentification automatisée possible sans intervention de l'utilisateur.
 
Inconvénients :
• La gestion des certificats est complexe (par exemple, renouvellement, révocation, protection contre le vol).
 
Plus d'informations:
Documentation Microsoft sur le flux d'informations d'identification du client
 
Figure 8: Paramètres du profil - Authentification par certificat