Désactiver les méthodes d’authentification non modernes sur AD FS
Il existe beaucoup d’articles sur l’intérêt de désactiver les méthodes d’authentification dites « non modernes » pour accéder à des services tels qu’Office 365. Dans le cas d’Office 365, cela peut se faire avec des règles de Conditional Access et/ou au niveau des services eux-mêmes (Exchange Online, SharePoint Online, Skype for Business Online/Teams…).
Dans le cas où l’authentification est déléguée à Active Directory Federation Services (AD FS), il est aussi possible, et je le conseille, d’agir au niveau de l’infrastructure AD FS elle-même, ce qui apporte un niveau supplémentaire de sécurité et cela permet aussi de traiter les autres services qui utiliseraient AD FS le cas échéant (c’est-à-dire si AD FS gère aussi d’autres Replying Party Trusts que celui de Microsoft Online 365 Identity Platform).
Le paramétrage suivant est global, c’est-à-dire qu’il s’appliquera à tous les Relying Party Trust déclarés sur AD FS. Il suffit d’aller dans Service / Endpoints, et de faire un clic droit sur chacun de ces points de terminaison dans la section Token Issuance et choisir Disable :
- /adfs/services/trust/2005/windowstransport
- /adfs/services/trust/2005/certificatemixed
- /adfs/services/trust/2005/certificatetransport
- /adfs/services/trust/2005/usernamemixed
- /adfs/services/trust/2005/issuedtokenmixedasymmetricbasic256
- /adfs/services/trust/2005/issuedtokenmixedsymmetricbasic256
- /adfs/services/trust/13/certificatemixed
- /adfs/services/trust/13/usernamemixed
- /adfs/services/trust/13/issuedtokenmixedasymmetricbasic256
- /adfs/services/trust/13/issuedtokenmixedsymmetricbasic256
Note : il est possible de sélectionner l’option Disable pour désactiver au niveau des serveurs AD FS entièrement ou alors Disable on Proxy pour conserver les points de terminaison en interne mais de les bloquer uniquement au niveau des Web Application Proxy (il faut donc utiliser le rôle WAP pour publier AD FS sur Internet).
Cette configuration prend en compte la configuration par défaut qui a déjà quelques points de terminaison désactivés. Au final, il ne doit rester que ces éléments avec Yes dans la colonne Proxy Enabled pour la section Token Issuance:
- /adfs/ls
- /asfs/oauth2/
- /asfs/oauth2/deviceauth (celui-ci est optionnel, en fonction des cas d’usages)
Au niveau de la section Metadata, il est conseillé de conserver les 2 points de terminaison suivants :
- /adfs/services/trust/mex
- /FederationMetadata/2007-06/FederationMetadata.xml
Je ne couvre pas les points de terminaison des autres sections car ce sont des méthodes modernes (OpenID Connect, Proxy, Device registration, WebFinger, Other) mais il est aussi possible de quasiment tous les désactiver (et réactiver en cas de besoin spécifique).
— Stefan