Les informations d’identification itinérantes permettent aux organisations de stocker des certificats et des clés privés dans les services de domaine Active Directory (AD DS), séparément de l’état de l’application ou des informations de configuration.

Fonctionnement des informations d’identification itinérantes

Les informations d’identification itinérantes utilisent les mécanismes existants d’ouverture de session et d’inscription automatique pour télécharger des clés et des certificats en toute sécurité sur un ordinateur local dès qu’un utilisateur ouvre une session et, éventuellement, pour les supprimer lorsque l’utilisateur ferme la session. En outre, l’intégrité de ces informations d’identification est conservée dans toutes les situations, lorsque les certificats sont mis à jour et que les utilisateurs ouvrent une session sur plusieurs ordinateurs à la fois, par exemple.

Les étapes ci-dessous décrivent le fonctionnement des informations d’identification itinérantes.

  1. Un utilisateur ouvre une session sur un ordinateur client qui est connecté à un domaine Active Directory.

  2. Dans le cadre du processus d’ouverture de session, la stratégie de groupe des informations d’identification itinérantes est appliquée à l’ordinateur de l’utilisateur.

  3. S’il s’agit de la première utilisation des informations d’identification itinérantes, les certificats du magasin de l’utilisateur sur l’ordinateur client sont copiés dans les services AD DS.

  4. Si l’utilisateur dispose déjà de certificats dans les services AD DS, les certificats du magasin de certificats de l’utilisateur sur l’ordinateur client sont comparés à ceux de l’utilisateur dans les services AD DS.

  5. Si les certificats du magasin de certificats de l’utilisateur sont actuels, aucune action supplémentaire n’est nécessaire. Toutefois, si des certificats plus récents sont stockés dans les services AD DS, ces informations d’identification sont copiées sur l’ordinateur client. Si des certificats plus récents sont stockés dans l’ordinateur client, ces informations d’identification sont alors copiées sur AD DS.

  6. Si d’autres certificats sont requis sur l’ordinateur client, les demandes d’inscription automatique de certificats en attente sont traitées.

    Remarques

    Les certificats nouvellement émis sont stockés dans le magasin de certificats sur l’ordinateur client et répliqués sur AD DS.

  7. Lorsque l’utilisateur ouvre une session sur un autre ordinateur client connecté au domaine, le même paramètre de stratégie de groupe est appliqué et les informations d’identification sont à nouveau répliquées à partir d’AD DS. Les informations d’identification itinérantes synchronisent et résolvent tout conflit entre les certificats et les clés privées de n’importe quel nombre d’ordinateurs clients sur lesquels l’utilisateur ouvre une session, ainsi que dans les services AD DS.

    Important

    Dans des environnements à plusieurs domaines et des domaines avec plusieurs contrôleurs de domaine, les informations d’identification risquent de ne pas être immédiatement disponibles lorsqu’un utilisateur se connecte au réseau à l’aide d’un contrôleur de domaine, peu après l’émission d’un certificat sur un ordinateur qui valide l’identité de l’utilisateur avec un autre contrôleur de domaine. Ces informations deviennent uniquement disponibles une fois la réplication terminée entre deux domaines ou contrôleurs de domaine.

  8. Lorsque le certificat de l’utilisateur expire, l’ancien certificat est archivé automatiquement dans le profil de l’utilisateur sur l’ordinateur et dans les services AD DS.

Les informations d’identification itinérantes sont déclenchées dès qu’une clé privée ou un certificat du magasin de certificats local de l’utilisateur change, lorsque l’utilisateur verrouille ou déverrouille l’ordinateur et lorsque la stratégie de groupe est actualisée.

Toutes les communications liées au certificat entre les composants de l’ordinateur local et entre l’ordinateur local et AD DS sont signées et chiffrées.


Table des matières