Contexte
Lors de l’utilisation de l’authentification forte, la carte à puce ou l’empreinte digitale vient remplacer le login/mot de passe utilisé habituellement afin de s’authentifier au poste.
Afin que l’utilisateur ne dispose plus du mot de passe, Windows SSOX peut le modifier en définissant un mot de passe aléatoire par rapport à la date du dernier changement du mot de passe ou en faisant expirer manuellement le mot de passe
Prérequis
- Poste client SSOX 10
- Credential Provider SSOX
- L’utilisateur doit disposer d’un mot de passe pouvant expirer
- L’utilisateur doit pouvoir modifier son mot de passe
- L’authentification doit se faire à l’aide d’un mécanisme exploitant l’authentification forte (carte à puce / biométrie)
Mise en œuvre
Il est nécessaire de positionner les clés de registre suivantes au niveau du poste client :
Nom de la clé de registre | Type | Emplacement | Description | Exemple de valeur |
---|---|---|---|---|
PasswordPolicy | REG_SZ | HKEY_LOCAL_MACHINE\SOFTWARE\Avenci\SSOXGina\Gui\Conf | Permet de personnaliser le mot de passe à l’aide d’un masque qui doit correspondre à la politique de mot de passe de l’Active Directory | xxxxxx |
SpecialCharacters | REG_SZ | HKEY_LOCAL_MACHINE\SOFTWARE\Avenci\SSOXGina\Gui\Conf | Permet de définir les caractères spéciaux pouvant être utilisés dans le masque | $ù%! |
PasswordStrategy | REG_SZ | HKEY_LOCAL_MACHINE\SOFTWARE\Avenci\SSOXGina\Gui\Conf | Permet de sélectionner le mode de changement de mot de passe | Automatic |
CPChangePasswordAfterXDays | REG_SZ | HKEY_LOCAL_MACHINE\SOFTWARE\Avenci\SSOXGina | Permet de définir par rapport au dernier changement de mot de passe quand le mot de passe doit être modifié automatiquement par SSOX | 40 |
CPCheckPasswordBeforeLogin | REG_SZ | HKEY_LOCAL_MACHINE\SOFTWARE\Avenci\SSOXGina | Permet de vérifier si le mot de passe doit être changé avant l’ouverture de la session | Yes |
En termes de fonctionnement on déduit le nombre de jours depuis le dernier changement du mot de passe et on le compare à CPChangePasswordAfterXDays.
Si le mot de passe est plus ancien que la valeur en jour définie dans CPChangePasswordAfterXDays alors le mot de passe Windows est modifié par SSOX
Cela fonctionne également en forçant le changement de mot de passe à la première ouverture de session