Ce guide explique comment configurer Notakey Windows Credential Provider (WCP) pour authentifier les connexions au bureau à distance à l’aide d’un second facteur reposant sur le téléphone.
Configuration de l’appliance
Créez l’application. Dans l’appliance Notakey, créez une application nommée Windows Remote Desktop : les visuels correspondants se chargent automatiquement. Activez la prise en charge de la vérification biométrique ; activez force biometric check si les connexions doivent toujours exiger une empreinte digitale ou une reconnaissance faciale.
Définissez les utilisateurs. Créez-les directement ou connectez une source d’utilisateurs externe : Active Directory est le choix le plus courant et sa configuration est décrite dans la documentation de l’appliance. Les utilisateurs synchronisés depuis AD peuvent ensuite se voir appliquer des règles d’escalade ou d’approbation multi-utilisateur.
Configurez les prérequis d’enrôlement pour que l’application apparaisse dans Notakey Authenticator. Si des numéros de téléphone sont présents dans AD, l’enrôlement par SMS ou WhatsApp est disponible. Si vous utilisez de simples identifiants vérifiés auprès d’AD, modifiez le prérequis et cochez Authenticate against remote AUTH user sources.
Générez des identifiants d’API. Créez un client d’API en laissant le champ des scopes vide : le système génère un Client ID et un secret pour le Credential Provider.
Configuration de la machine Windows
Créez un fichier de registre contenant les identifiants d’accès à votre
appliance, enregistrez-le sous wcp_notakey.reg, puis double-cliquez dessus
pour l’importer :
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Notakey]
[HKEY_LOCAL_MACHINE\SOFTWARE\Notakey\WindowsCP]
"ServiceURL"="https://your-appliance.example.com/api/"
"ServiceID"="29afa6c0-907d-40f4-898f-8a96fcdf7230"
"ClientID"="c6df76db-10a7-4349-8e05-8b3656a4d404"
"ClientSecret"="pZ5lSo1Rz_ftCDg4h302794ZlmjMO64sVtiAvHop6dI"
"MessageTtlSeconds"=dword:0000001e
"MessageActionTitle"="Winlogin"
"MessageDescription"="Proceed as {0} on server {1}?"
"AuthCreateTimeoutSecs"=dword:00000014
"AuthWaitTimeoutSecs"=dword:0000003c
Remplacez les quatre premières valeurs par les vôtres : ServiceURL est le
point d’accès de l’API de votre appliance, ServiceID l’identifiant de
l’application, et ClientID/ClientSecret les identifiants d’API générés
ci-dessus. Les autres valeurs sont des valeurs par défaut raisonnables,
exprimées en hexadécimal : MessageTtlSeconds (0x1e = 30 s) correspond à la
durée pendant laquelle la notification push reste approuvable,
AuthCreateTimeoutSecs (0x14 = 20 s) au délai d’attente de WCP pour créer la
requête, et AuthWaitTimeoutSecs (0x3c = 60 s) au délai d’attente de la
réponse de l’utilisateur. Dans MessageDescription, {0} est le nom
d’utilisateur et {1} le nom de la machine.
Installez la dernière version de Windows Credential Provider depuis la
page de téléchargement, redémarrez Windows et connectez-vous
une fois normalement. Vérifiez ensuite LastLoggedOnProvider sous
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI.
Verrouillez la machine et sélectionnez le Notakey Credential Provider. Saisissez le nom d’utilisateur et le mot de passe : Notakey demande l’autorisation de chiffrer le mot de passe, et à partir de là, la connexion se fait avec le nom d’utilisateur et une approbation sur le téléphone.
Passer au tout sans mot de passe
Pour faire de Notakey le seul mode d’accès, désactivez le credential provider
par défaut : repérez son CLSID sous
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers
et ajoutez un DWORD nommé Disabled avec la valeur 1. La stratégie de groupe
(Group Policy) offre le même contrôle à l’échelle d’un parc de machines.
Dès lors, seul le Notakey Credential Provider reste actif : les connexions ne requièrent que le nom d’utilisateur et le second facteur.