Office 365 : Bénéficier du SSO avec Outlook grâce à l’authentification moderne

Capture d’écran 2016-03-03 à 12.16.37

Cet article s’adresse à toutes les personnes désirant bénéficier de la fonctionnalité SSO avec leur compte Office365 sur Outlook. Pour rappel, le SSO, pour « Single Sign On » (authentification unique) consiste à authentifier directement un utilisateur auprès d’un service Microsoft sans demander de mot de passe. L’utilisateur n’entre donc qu’une fois son mot de passe : à l’ouverture de sa session Windows.

Le tableau ci-dessous référence les différents scénarios proposés par Microsoft avant la mise en place de « l’authentification moderne » :

Tableau_SSO

Grâce à l’authentification moderne (OAuth) et l’ADFS, il est désormais possible de bénéficier de l’authentification unique en utilisant le client Outlook.

Par contre, l’authentification moderne couplée avec une architecture « Synchronisation des mots de passes » ne permet pas à l’utilisateur de bénéficier de l’authentification unique. Cela garanti uniquement que le mot de passe n’est pas stocké dans le gestionnaire d’authentification Windows.

Les prérequis & rappel du contexte

L’authentification moderne n’est disponible qu’à partir d’Office 2013 après la mise en place des clés de registre ci-dessous:

HKLM

Le protocole « OAuth » est automatiquement pris en charge par Outlook 2016.

Sans cette configuration, le client Outlook s’authentifiera toujours en « authentification Basique ». Cela oblige donc l’utilisateur à retaper son mot de passe à minima à chaque fois qu’il change de mot de passe si ce dernier coche la case « Mémoriser mon mot de passe ».

Pour bénéficier de l’authentification unique (complète) avec Outlook, vous devez disposez d’une infrastructure ADFS.

Mise en place du SSO pour Outlook

L’activation du SSO pour Outlook pour les utilisateurs Office365 s’effectue en se connectant aux services Office365 en Powershell:

Enable_OAuth

Afin de vérifier que l’authentification par SSO est fonctionnelle, effectuez le test suivant:

  • Fermer Outlook
  • Changer votre mot de passe
  • Vérifiez en connectant un client Outlook 2013 ou 2016 qu’aucun mot de passe n’est demandé et que vous êtes bien connectés
  • Accéder au gestionnaire d’identification Windows pour vérifier qu’aucune information d’identification Windows n’est enregistré: rundll32.exe keymgr.dll, KRShowKeyMgr
Credentials

On voit bien qu’aucune information Windows n’est stockée sur le poste. Seul les jetons ADAL sont présents.

Trouvez la matrice de compatibilité Office365 ici: https://blogs.office.com/2015/11/19/updated-office-365-modern-authentication-public-preview/

Comment ça marche ?

L’authentification moderne utilise les librairies ADAL (Active Directory Authentication Library) dans Office 2013 ou 2016 pour authentifier et stocker l’accès aux identifiants.

Cela est possible grâce au protocole « OAuth » se basant sur un système de jetons (Token).

Plus précisémment, on parle de deux types de jetons :

  • Jeton de rafraichissement (Refresh token) d’une durée de validité de 14 jours.
  • Jeton d’accès (Access Token) d’une durée de validité d’une heure
    • C’est ce jeton qui permet l’accès aux services Office 365

Explication avec un processus d’authentifcation basé sur les librairies ADAL:

  • Prenons l’exemple d’un client authentifié dans son domaine AD :
    • 1) L’utilisateur s’authentifie automatiquement auprès du serveur ADFS
    • 2) L’utilisateur reçoit en retour un « Refresh Token »
    • 3) L’utilisateur envoie un « Access Token » à Office 365 pour accéder aux services
OAuth_Token

Conclusion

Grâce à l’authentification unique du client Outlook basée sur une nouvelle méthode d’authentification, Microsoft simplifie à la fois l’usage et améliore la sécurité en ne stockant plus le mot de passe de l’utilisateur sur son poste.

Enfin, n’oubliez pas que pour bénéficier d’une solution d’authentification unique complète, il vous faut obligatoirement un serveur ADFS.

Sources :
Image du schéma d’authentification ADAL : http://searchexchange.techtarget.com/
https://support.office.com/en-us/article/How-modern-authentication-works-for-Office-2013-and-Office-2016-client-apps-e4c45989-4b1a-462e-a81b-2a13191cf517?ui=en-US&rs=en-US&ad=US