{"id":30474,"date":"2022-03-21T16:03:20","date_gmt":"2022-03-21T20:03:20","guid":{"rendered":"https:\/\/www.canarie.ca\/?post_type=document&#038;p=30474"},"modified":"2024-11-29T13:29:12","modified_gmt":"2024-11-29T18:29:12","slug":"caf-activation-de-refeds-mfa-dans-votre-fournisseur-didentite-fim","status":"publish","type":"document","link":"https:\/\/www.canarie.ca\/fr\/document\/caf-activation-de-refeds-mfa-dans-votre-fournisseur-didentite-fim\/","title":{"rendered":"CAF &#8211; Activation de REFEDS MFA dans votre fournisseur d&rsquo;identit\u00e9 FIM"},"content":{"rendered":"\n<h1 class=\"wp-block-heading\">Introduction<\/h1>\n\n\n\n<p>Beaucoup de sp\u00e9cialistes en cybers\u00e9curit\u00e9 conviennent que l\u2019authentification multifactorielle (MFA) est sans doute le moyen le plus efficace d\u2019\u00e9viter le piratage des mots de passe. La MFA accro\u00eet la s\u00e9curit\u00e9 en r\u00e9clamant \u00e0 l\u2019utilisateur qu\u2019il s\u2019identifie de deux ou plusieurs mani\u00e8res, ind\u00e9pendantes et distinctes (quelque chose qu\u2019il a, qu\u2019il sait ou qu\u2019il est). L\u2019industrie technologique avance rapidement vers l\u2019authentification bifactorielle (2FA) ou multifactorielle pour autoriser l\u2019acc\u00e8s \u00e0 une application ou \u00e0 un service Web.<\/p>\n\n\n\n<p>CANARIE a r\u00e9cemment men\u00e9 \u00e0 bien un projet de validation aupr\u00e8s d\u2019un petit nombre de participants de la F\u00e9d\u00e9ration canadienne d\u2019acc\u00e8s (FCA) qui souhaitaient ajouter la MFA de la Research and Education FEDerations (REFEDS) \u00e0 leur fournisseur d\u2019identit\u00e9s (IdP) utilisant la gestion f\u00e9d\u00e9r\u00e9e des identit\u00e9s (GFI).<\/p>\n\n\n\n<p>Des questions? Veuillez visiter notre\u00a0<a href=\"https:\/\/www.canarie.ca\/fr\/identite\/soutien\/\" target=\"_blank\" rel=\"noreferrer noopener\">page de soutien<\/a>.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-css-opacity\"\/>\n\n\n\n<h3 class=\"wp-block-heading has-text-align-center\">Qu\u2019est-ce que la REFEDS?<\/h3>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\"><p>La Research and Education FEDerations (REFEDS) est un groupe qui fait valoir les exigences du secteur de la recherche et de l\u2019\u00e9ducation dans l\u2019espace grandissant de la gestion des acc\u00e8s et des identit\u00e9s. Ce groupe \u0153uvre avec d\u2019autres organisations afin d\u2019orienter les activit\u00e9s pertinentes dans le sens que souhaitent ses membres.<\/p><cite><a href=\"https:\/\/refeds.org\/#:~:text=The%20mission%20of%20REFEDS%20(the,and%20education%20identity%20federations%20worldwide.&amp;text=Many%20participants%20represent%20national%20identity,Networks%20('NRENS').\"><em><a href=\"https:\/\/refeds.org\/#:~:text=The%20mission%20of%20REFEDS%20(the,and%20education%20identity%20federations%20worldwide.&amp;text=Many%20participants%20represent%20national%20identity,Networks%20('NRENS').\"><em>Le groupe Research and Education FEDerations (REFEDS)<\/em><\/a><\/em><\/a><\/cite><\/blockquote>\n\n\n\n<hr class=\"wp-block-separator has-css-opacity\"\/>\n\n\n\n<h1 class=\"wp-block-heading\">Configurations couvertes<\/h1>\n\n\n\n<p>Ce guide explique quelles mesures prendre pour configurer les diverses plateformes des fournisseurs d\u2019identit\u00e9s du milieu de la recherche et de l\u2019\u00e9ducation (R-E) avec les techniques MFA populaires de DUO Security ou de Microsoft Azure, en l\u2019occurrence&nbsp;:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Shibboleth avec la MFA de DUO;<\/li>\n\n\n\n<li>Shibboleth Proxy avec la MFA d\u2019Azure;<\/li>\n\n\n\n<li>ADFSToolkit avec la MFA de DUO;<\/li>\n\n\n\n<li>ADFSToolkit avec la MFA d\u2019Azure.<\/li>\n<\/ul>\n\n\n\n<h1 class=\"wp-block-heading\">Qui devrait lire ce guide?<\/h1>\n\n\n\n<p>La configuration est extr\u00eamement technique et ne s\u2019adresse qu\u2019\u00e0 ceux qui ma\u00eetrisent bien la gestion des identit\u00e9s et des acc\u00e8s et qui&nbsp;:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>doivent appliquer et maintenir la GFI dans leur institution;<\/li>\n\n\n\n<li>aimeraient appliquer la MFA sur leur site.<\/li>\n<\/ul>\n\n\n\n<h1 class=\"wp-block-heading\">La MFA et le REFEDS<\/h1>\n\n\n\n<p>L\u2019approche de la REFEDS-MFA rehausse et simplifie l\u2019identification unique par langage de balisage des assertions de s\u00e9curit\u00e9 (SAML SSO) en recourant \u00e0 un signal commun pour amorcer la MFA. Les diverses possibilit\u00e9s qu\u2019offre la MFA sont donc r\u00e9unies par l\u2019attribution d\u2019une seule valeur \u00e0 la variable <em>AuthenticationContextClass<\/em> qui figure dans la demande d\u2019authentification du fournisseur de service. Quand ce dernier ajoute le profil REFEDS-MFA \u00e0 sa demande, l\u2019IdP est tenu d\u2019utiliser une m\u00e9thode d\u2019identification respectant une MFA d\u2019au moins deux facteurs ind\u00e9pendants et distincts, sinon plus.<\/p>\n\n\n\n<p>Soulignons que le fournisseur de service peut rendre la MFA obligatoire en l\u2019incluant dans sa demande d\u2019authentification. Dans un tel cas, les IdP devront tous fournir la preuve qu\u2019il y a eu MFA dans leur r\u00e9ponse, avant que les utilisateurs puissent acc\u00e9der au service. En revanche, le fournisseur d\u2019identit\u00e9s qui souhaite appliquer la MFA pourra le faire, que le fournisseur de service exige cette derni\u00e8re ou pas.<\/p>\n\n\n\n<p>Nous vous sugg\u00e9rons vivement de lire le document <a href=\"https:\/\/wiki.refeds.org\/display\/PRO\/MFA+Profile+FAQ\">REFEDS MFA FAQ<\/a> pour en apprendre davantage.<\/p>\n\n\n\n<p>Le tableau qui suit donne un aper\u00e7u des diff\u00e9rents <em>contextes d\u2019authentification <\/em>SAML. Il vous aidera \u00e0 choisir la bonne m\u00e9thode d\u2019authentification et son contexte. Certains sites sur le campus pourraient d\u00e9j\u00e0 avoir implant\u00e9 la MFA en partie, sans qu\u2019elle soit aussi stricte que la REFEDS-MFA. Nous encourageons ceux qui aimeraient recourir \u00e0 la MFA de fa\u00e7on s\u00e9lective \u00e0 utiliser un attribut <em>AuthenticationContextClass<\/em> qu\u2019ils pourront contr\u00f4ler localement, comme l\u2019illustre la documentation \u00e0 l\u2019URL indiqu\u00e9.<\/p>\n\n\n\n<p>L\u2019application de la MFA s\u00e9lective d\u00e9borde du cadre du guide que vous avez entre les mains.<\/p>\n\n\n\n<figure class=\"wp-block-table is-style-regular\"><table><tbody><tr><td><strong>Nature de l\u2019authentification<\/strong><\/td><td><strong>Contexte et pr\u00e9cisions<\/strong><\/td><\/tr><tr><td>L\u2019utilisateur qui n\u2019ouvre pas de s\u00e9ance active s\u2019authentifie au moyen d\u2019un seul facteur (habituellement son identifiant et son mot de passe).<\/td><td>Contexte&nbsp;:&nbsp;<strong>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport<\/strong><br><br>Contexte par d\u00e9faut employ\u00e9 par le fournisseur de service s\u2019il ne sp\u00e9cifie pas explicitement une autre m\u00e9thode d\u2019authentification<\/td><\/tr><tr><td>L\u2019utilisateur s\u2019authentifie avec le premier facteur auquel s\u2019en ajoute un ou plusieurs autres (quelque chose qu\u2019il sait, qu\u2019il a ou qu\u2019il est), <strong>peu importe la nature du deuxi\u00e8me facteur d\u2019authentification ant\u00e9rieur.<\/strong><\/td><td>Contexte&nbsp;: <a href=\"https:\/\/refeds.org\/profile\/mfa\"><strong>https:\/\/refeds.org\/profile\/mfa<\/strong><\/a> &nbsp; Contexte par d\u00e9faut de la REFEDS MFA. Il doit \u00eatre explicitement configur\u00e9 par le fournisseur de service, ou l\u2019IdP doit le r\u00e9clamer.<\/td><\/tr><tr><td><strong>FACULTATIF&nbsp;: <\/strong>L\u2019utilisateur s\u2019authentifie avec le premier facteur et un ou plusieurs facteurs suppl\u00e9mentaires (quelque chose qu\u2019il sait, qu\u2019il a ou qu\u2019il est). <strong>L\u2019IdP d\u00e9termine la rigueur des facteurs r\u00e9clam\u00e9s.<\/strong><\/td><td>Contexte&nbsp;: <strong>https:\/\/&lt;domain&gt;.ca\/profile\/mfa<\/strong><strong>\/local-enterprise-mfa<\/strong> &nbsp; Contexte optionnel qui englobe les exigences particuli\u00e8res d\u2019un site en mati\u00e8re de MFA. Le fournisseur de service doit le configurer explicitement ou l\u2019IdP doit le r\u00e9clamer.<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h1 class=\"wp-block-heading\">Contraintes applicables au syst\u00e8me et aux composants de l\u2019IdP<\/h1>\n\n\n\n<p>Avant de proc\u00e9der \u00e0 une des configurations MFA expliqu\u00e9es plus loin (voir version requise des composants ci-dessous), le fournisseur d\u2019identit\u00e9s qui aimerait implanter la REFEDS MFA doit disposer d\u2019un service IdP totalement fonctionnel avec la configuration de base.<\/p>\n\n\n\n<figure class=\"wp-block-table is-style-regular\"><table><tbody><tr><td><strong>Configuration de l\u2019IdP et de la MFA<\/strong><\/td><td><strong>Composant<\/strong><\/td><td><strong>Version minimale requise<\/strong><\/td><\/tr><tr><td><strong>Shibboleth et MFA de DUO<\/strong><strong><\/strong><\/td><td>IdP Shibboleth<\/td><td>V4.1.4 pour Linux ou Windows<\/td><\/tr><tr><td><strong>&nbsp;<\/strong><\/td><td>Version OIDC Common<\/td><td>1.1.0<\/td><\/tr><tr><td><strong>&nbsp;<\/strong><\/td><td>Version OIDC OP<\/td><td>3.0.0<\/td><\/tr><tr><td><strong>&nbsp;<\/strong><\/td><td>Version DUO_OIDC<\/td><td>1.1.1 &nbsp;<\/td><\/tr><tr><td><strong>&nbsp;<\/strong><\/td><td>&nbsp;<\/td><td>&nbsp;<\/td><\/tr><tr><td><strong>Shibboleth et MFA d\u2019AzureAD<\/strong><strong><\/strong><\/td><td>IdP Shibboleth Proxy<\/td><td>V4.1.4pour Linux ou Windows<\/td><\/tr><tr><td><strong>&nbsp;<\/strong><\/td><td>&nbsp;<\/td><td>&nbsp;<\/td><\/tr><tr><td><strong>ADFS \/ ADFSToolkit et MFA de DUO <\/strong><strong><\/strong><\/td><td>ADFS et configuration de batterie de serveurs MS-SQL<\/td><td>Server 2019 &nbsp;<\/td><\/tr><tr><td><strong>&nbsp;<\/strong><\/td><td>ADFSToolkit<\/td><td>V2.1.0 RC1&lt;\u00e0 venir&gt;<\/td><\/tr><tr><td><strong>&nbsp;<\/strong><\/td><td>Module d\u2019extension d\u2019ADFSToolkit pour REFEDS MFA<\/td><td>V2.1.0 RC1&lt;\u00e0 venir&gt;<\/td><\/tr><tr><td><strong>&nbsp;<\/strong><\/td><td>Module d\u2019extension DUOSecurity ADFS<\/td><td>1.2.0.17<\/td><\/tr><tr><td><strong>&nbsp;<\/strong><\/td><td>DUOSecurity Service<\/td><td>Universal Prompt (PAS iFrame)<\/td><\/tr><tr><td><strong>&nbsp;<\/strong><\/td><td>&nbsp;<\/td><td>&nbsp;<\/td><\/tr><tr><td><strong>ADFS \/ ADFSToolkit et MFA d\u2019AzureAD<\/strong><strong><\/strong><\/td><td>ADFS et dorsale de batteries de serveurs MS-SQL<\/td><td>Server 2019 &nbsp;<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\">Comp\u00e9tences requises<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Installation avec l\u2019IdP Shibboleth<\/strong><\/h3>\n\n\n\n<p>La configuration suppose que vous connaissez l\u2019IdP Shibboleth, que vous savez comment installer le logiciel et que vous connaissez son agencement.<\/p>\n\n\n\n<p>Notez que la version <a href=\"https:\/\/wiki.shibboleth.net\/confluence\/display\/IDP4\/ReleaseNotes\">Shibboleth v4.1<\/a> et les versions ult\u00e9rieures utilisent la nouvelle m\u00e9thode de configuration avec <a href=\"https:\/\/wiki.shibboleth.net\/confluence\/display\/IDP4\/PluginInstallation\">module d\u2019extension<\/a> d\u00e9crite dans ce guide.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>&nbsp;<\/strong><\/h3>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Installation avec l\u2019IdP ADFSToolkit<\/strong><\/h3>\n\n\n\n<p>La configuration suppose que vous savez comment installer et configurer le logiciel ADFS, utiliser PowerShell et ses modules d\u2019extension, et que vous ma\u00eetrisez les commandes de l\u2019Active Directory PowerShell.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-css-opacity\"\/>\n\n\n\n<h1 class=\"wp-block-heading\">Pour mettre en place<\/h1>\n\n\n\n<p><\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Shibboleth et DUO-OIDC<\/h2>\n\n\n\n<p>Si vous avez d\u00e9j\u00e0 un site utilisant DUO, l\u2019id\u00e9al consiste \u00e0 appliquer REFEDS-MFA pour Shibboleth avec la MFA de DUO et l\u2019IdP Shibboleth.<\/p>\n\n\n\n<p><strong>ATTENTION \u2013 Les \u00e9tapes qui suivent commencent toutes avec un IdP Shibboleth autorisant l\u2019ouverture d\u2019une s\u00e9ance avec l\u2019identifiant et le mot de passe de l\u2019utilisateur, et en mesure de r\u00e9soudre les attributs de ce dernier.<\/strong><\/p>\n\n\n\n<h3 class=\"wp-block-heading\">1<sup>re<\/sup>&nbsp;\u00e9tape. V\u00e9rifiez la configuration et assurez-vous qu\u2019elle accepte DUO OIDC.<\/h3>\n\n\n\n<p>Cette installation recourt aux plus r\u00e9centes fonctionnalit\u00e9s de DUO, dont DUO-OpenID Connect (OIDC). Si le site utilise l\u2019approche ant\u00e9rieure (DUO iFrame), vous devriez d\u2019abord lire le billet <a href=\"https:\/\/duo.com\/blog\/breaking-up-with-the-iframe-introducing-our-new-developer-tooling\">Breaking up with the iFrame<\/a> sur le blogue et d\u00e9sinstaller iFrame avant de commencer.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><a><\/a><a><\/a><a><\/a><a><\/a><a><\/a><a><\/a><a><\/a><a><\/a><a><\/a><a><\/a><a><\/a><a><\/a><a><\/a>2<sup>e<\/sup>&nbsp;\u00e9tape. Pr\u00e9parez les modules et les d\u00e9pendances de l\u2019IdP.<\/h3>\n\n\n\n<p>Le Wiki de Shibboleth pr\u00e9cise les techniques et les param\u00e8tres requis dans un guide d\u00e9taill\u00e9 intitul\u00e9 <a href=\"https:\/\/wiki.shibboleth.net\/confluence\/display\/IDPPLUGINS\/DuoOIDCAuthnConfiguration\">Quick Step Guide<\/a>. Voici les t\u00e2ches sp\u00e9cifiques qui activeront DUO OIDC avec la REFEDS MFA.<\/p>\n\n\n\n<p><strong>T\u00e2che&nbsp;<\/strong>: T\u00e9l\u00e9charger les outils d\u2019aide \u00e0 la configuration de l\u2019IdP<\/p>\n\n\n\n<p>Clonez la biblioth\u00e8que des widgets IdP de CANARIE sur GitHub ou t\u00e9l\u00e9chargez-la et d\u00e9comprimez-la localement.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/github.com\/canariecaf\/idp-widgets.git\">Cloner GitHub<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/github.com\/canariecaf\/idp-widgets\/archive\/refs\/heads\/master.zip\">T\u00e9l\u00e9charger le fichier zip<\/a><\/li>\n<\/ul>\n\n\n\n<p><strong>T\u00e2che&nbsp;<\/strong>: Installer les modules d\u2019extension et les biblioth\u00e8ques<\/p>\n\n\n\n<p>Ex\u00e9cutez idp-widgets\/bin\/prep-idp4mfa.sh<\/p>\n\n\n\n<p>Cette commande installe les biblioth\u00e8ques communes de DUO et d\u2019OIDC sur l\u2019IdP.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">3<sup>e<\/sup>&nbsp;\u00e9tape. Autoriser et activer la configuration DUO<\/h3>\n\n\n\n<p><strong>T\u00e2che&nbsp;<\/strong>: Activez la configuration DUO sur le site DUO<\/p>\n\n\n\n<p>Suivez les instructions du <a href=\"https:\/\/duo.com\/docs\/shibboleth\">guide d\u2019application DUO<\/a> pour pr\u00e9parer la configuration DUO.<\/p>\n\n\n\n<p><strong>T\u00e2che&nbsp;<\/strong>: D\u00e9terminez les propri\u00e9t\u00e9s de DUO pour l\u2019IdP dans conf\/aiuthn\/duo-oidc.properties<\/p>\n\n\n\n<p>Modifiez ce qui suit dans <em>conf\/authn\/duo-oidc.properties<\/em> en fonction des param\u00e8tres DUO&nbsp;:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>idp.duo.oidc.apiHost = hostname\nidp.duo.oidc.clientId = clientid\nidp.duo.oidc.redirectURL = https:\/\/&lt;IDP-hostname&gt;\/idp\/profile\/Authn\/Duo\/2FA\/duo-callback\nidp.duo.oidc.secretKey = key \n<\/code><\/pre>\n\n\n\n<h3 class=\"wp-block-heading\"><a>4<sup>e<\/sup> \u00e9tape. Configurer les param\u00e8tres de la MFA dans l\u2019IdP<\/a><\/h3>\n\n\n\n<h4 class=\"wp-block-heading\">T\u00e2che&nbsp;: Modifier idp.properties afin qu\u2019il n\u2019y ait plus qu\u2019un seul flux MFA<\/h4>\n\n\n\n<p>Assurez-vous que le flux MFA est activ\u00e9 dans <em>idp.properties<\/em>&nbsp;:<\/p>\n\n\n\n<p><kbd>idp.authn.flows=MFA<\/kbd><\/p>\n\n\n\n<p>Dans le Wiki de Shibboleth, \u00e0 <a href=\"https:\/\/shibboleth.atlassian.net\/wiki\/spaces\/IDP4\/pages\/1265631610\/MultiFactorAuthnConfiguration\">MFA<\/a>, on peut lire ce qui suit (traduction).<\/p>\n\n\n\n<p><mark style=\"background-color:#F4F4F5\" class=\"has-inline-color has-dark-grey-color\">Notez que lorsqu\u2019on utilise le flux MFA, il est normal qu\u2019il soit le seul \u00e0 \u00eatre activ\u00e9 par <strong>idp.authn.flows<\/strong>. Les flux MFA command\u00e9s par des r\u00e8gles ou un script ne devraient <strong>pas <\/strong>\u00eatre activ\u00e9s, car ils pourraient \u00eatre ex\u00e9cut\u00e9s par l\u2019IdP d\u2019une mani\u00e8re qui irait \u00e0 l\u2019encontre de ce que vous souhaitez.<\/mark><\/p>\n\n\n\n<p><strong>T\u00e2che&nbsp;<\/strong>: Actualiser le flux MFA dans mfa-authn-config.xml<\/p>\n\n\n\n<p>Voici, aux fins d\u2019illustration, un flux d\u00e9fini dans le fichier <em>conf\/authn\/mfa-authn-config.xml<\/em>. Si vous ne voyez pas ce fichier, c\u2019est que le module \u00ab&nbsp;idp.authn.MFA&nbsp;\u00bb n\u2019a pas encore \u00e9t\u00e9 activ\u00e9 (lire la <a href=\"https:\/\/shibboleth.atlassian.net\/wiki\/spaces\/IDPPLUGINS\/pages\/1374027959\/DuoOIDCAuthnConfiguration\">documentation<\/a>).<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>&lt;util:map id=\"shibboleth.authn.MFA.TransitionMap\"&gt;\n        &lt;!-- First rule runs the Password login flow. --&gt;\n        &lt;entry key=\"\"&gt;\n            &lt;bean parent=\"shibboleth.authn.MFA.Transition\" p:nextFlow=\"authn\/Password\" \/&gt;\n        &lt;\/entry&gt;\n \n        &lt;!-- Second rule runs a function if Password succeeds, to determine whether an additional factor is required. --&gt;       \n        &lt;entry key=\"authn\/Password\"&gt;\n            &lt;bean parent=\"shibboleth.authn.MFA.Transition\" p:nextFlowStrategy-ref=\"checkSecondFactor\" \/&gt;\n        &lt;\/entry&gt;\n        &lt;!-- An implicit final rule will return whatever the final flow returns. --&gt;\n&lt;\/util:map&gt;\n \n    &lt;!-- Example script to see if second factor is required. Currently just returns the DuoOIDC flow --&gt;\n    &lt;bean id=\"checkSecondFactor\" parent=\"shibboleth.ContextFunctions.Scripted\" factory-method=\"inlineScript\"&gt;\n        &lt;constructor-arg&gt;\n            &lt;value&gt;\n            &lt;!&#91;CDATA&#91;\n                nextFlow = \"authn\/DuoOIDC\";\n \n                \/\/ Check if second factor is necessary for request to be satisfied.\n                \/\/authCtx = input.getSubcontext(\"net.shibboleth.idp.authn.context.AuthenticationContext\");\n               \/\/ mfaCtx = authCtx.getSubcontext(\"net.shibboleth.idp.authn.context.MultiFactorAuthenticationContext\");\n                \/\/if (mfaCtx.isAcceptable()) {\n                \/\/    nextFlow = null;\n                \/\/}\n                 \n                nextFlow;   \/\/ pass control to second factor or end with the first\n            ]]&gt;\n            &lt;\/value&gt;\n        &lt;\/constructor-arg&gt;\n    &lt;\/bean&gt;\n<\/code><\/pre>\n\n\n\n<p><strong>T\u00e2che<\/strong>&nbsp;: Actualiser conf\/authn\/authn.properties pour appliquer la REFEDS MFA<\/p>\n\n\n\n<p>Mettez le fichier <em>authn.properties<\/em> \u00e0 jour afin qu\u2019il inclue les valeurs principales de la REFEDS MFA que permet la MFA (surlign\u00e9es en vert). Ces cha\u00eenes sont identiques \u00e0 celles de l\u2019<em>AuthenticationContext<\/em> que devrait traiter l\u2019IdP.<\/p>\n\n\n\n<p>&#8230;<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>idp.authn.Duo.supportedPrincipals = \\\n    saml2\/https:\/\/refeds.org\/profile\/mfa, \\\n    saml2\/http:\/\/example.org\/ac\/classes\/mfa, \\\n    saml1\/http:\/\/example.org\/ac\/classes\/mfa\n \n...\n \nidp.authn.MFA.supportedPrincipals = \\\n    saml2\/https:\/\/refeds.org\/profile\/mfa, \\\n    saml2\/http:\/\/example.org\/ac\/classes\/mfa, \\\n    saml2\/urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport, \\\n    saml2\/urn:oasis:names:tc:SAML:2.0:ac:classes:Password, \\\n    saml1\/http:\/\/example.org\/ac\/classes\/mfa, \\\n    saml1\/urn:oasis:names:tc:SAML:1.0:am:password\n<\/code><\/pre>\n\n\n\n<p><strong>T\u00e2che&nbsp;<\/strong>: Relancer l\u2019IdP et le tester<\/p>\n\n\n\n<p>Pour tester l\u2019IdP, vous devrez recourir au fournisseur d\u2019un service d\u2019essai. Celui-ci amorcera sa demande avec l\u2019<em>AuthenticationContext<\/em> de la REFEDS-MFA. Apr\u00e8s avoir relanc\u00e9 votre IdP, visitez le site d\u2019essai de la FCA \u00e0 <a href=\"https:\/\/validator.caftest.canarie.ca\">https:\/\/validator.caftest.canarie.ca<\/a> et s\u00e9lectionnez l\u2019ouverture de s\u00e9ance avec la MFA pour v\u00e9rifier votre configuration et la valider.<\/p>\n\n\n\n<p>Notez que pour qu\u2019il y ait validation, vos m\u00e9tadonn\u00e9es doivent d\u00e9j\u00e0 \u00eatre en circulation. Pour implanter votre propre fournisseur de service d\u2019essai, veuillez lire la partie \u00ab&nbsp;Installation de la MFA avec le fournisseur de service Shibboleth&nbsp;\u00bb, plus bas.<\/p>\n\n\n\n<p>Apr\u00e8s ouverture de la s\u00e9ance, v\u00e9rifiez le statut du fournisseur de service ici&nbsp;: <a href=\"http:\/\/validator.cafteste.canarie.ca\/Shibboleth.sso\/Session\">http:\/\/validator.cafteste.canarie.ca\/Shibboleth.sso\/Session<\/a><\/p>\n\n\n\n<p>La s\u00e9ance devrait s\u2019ouvrir avec la REFEDS MFA.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-css-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Shibboleth et la MFA d&rsquo;Azure<\/strong><\/h2>\n\n\n\n<p>L\u2019application de la REFEDS-MFA pour Shibboleth avec la MFA d\u2019Azure exige que l\u2019IdP Shibboleth soit configur\u00e9 comme une procuration SAML. En d\u2019autres termes, l\u2019IdP enverra la demande \u00e0 Azure AD avec un <em>AuthenticationContext<\/em> sp\u00e9cifique qui d\u00e9clenchera la MFA. La demande est ensuite reconvertie sous sa forme originale au retour.<\/p>\n\n\n\n<p><mark style=\"background-color:#F4F4F5\" class=\"has-inline-color has-dark-grey-color\">Remarquez que s\u2019il ne recourt pas d\u00e9j\u00e0 \u00e0 la MFA, l\u2019utilisateur d\u2019Azure AD ne pourra ouvrir de s\u00e9ance tant qu\u2019il n\u2019aura pas s\u00e9lectionn\u00e9 ni activ\u00e9 les fonctionnalit\u00e9s MFA sur son compte.<\/mark><\/p>\n\n\n\n<p>Plus de pr\u00e9cisions \u00e0 ce sujet dans le <a href=\"https:\/\/shibboleth.atlassian.net\/wiki\/spaces\/KB\/pages\/1467056889\/Using+SAML+Proxying+in+the+Shibboleth+IdP+to+connect+with+Azure+AD\">Wiki de Shibboleth<\/a>.<\/p>\n\n\n\n<p>La sixi\u00e8me t\u00e2che par procuration, qui convertit la demande, pr\u00e9sente un int\u00e9r\u00eat particulier.<\/p>\n\n\n\n<p>6<sup>e<\/sup> t\u00e2che par procuration \u2013 Traitement des demandes REFEDS AuthnContext<\/p>\n\n\n\n<p>Pour l\u2019instant, Azure n\u2019explique pas comment modifier le comportement de l\u2019attribut <em>AuthnContext<\/em> dans ses assertions SAML. Cependant, Shibboleth autorise la conversion des demandes par procuration et de leur r\u00e9ponse avec <em>authn\/authn-comparison.xml<\/em>. L\u2019exemple que voici montre comment sont trait\u00e9es les demandes REFEDS MFA.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>&lt;util:map id=\"shibboleth.PrincipalProxyRequestMappings\"&gt;\n    &lt;entry&gt;\n         &lt;key&gt;\n            &lt;bean parent=\"shibboleth.SAML2AuthnContextClassRef\"\n                  c:classRef=\"https:\/\/refeds.org\/profile\/mfa\" \/&gt;\n        &lt;\/key&gt;\n        &lt;list&gt;\n            &lt;bean parent=\"shibboleth.SAML2AuthnContextClassRef\"\n                  c:classRef=\"http:\/\/schemas.microsoft.com\/claims\/multipleauthn\" \/&gt;\n        &lt;\/list&gt;\n    &lt;\/entry&gt;\n&lt;\/util:map&gt;\n&lt;util:map id=\"shibboleth.PrincipalProxyResponseMappings\"&gt;\n    &lt;entry&gt;\n         &lt;key&gt;\n            &lt;bean parent=\"shibboleth.SAML2AuthnContextClassRef\"\n                          c:classRef=\"http:\/\/schemas.microsoft.com\/claims\/multipleauthn\" \/&gt;\n        &lt;\/key&gt;\n        &lt;list&gt;\n            &lt;bean parent=\"shibboleth.SAML2AuthnContextClassRef\"\n                          c:classRef=\"https:\/\/refeds.org\/profile\/mfa\" \/&gt;\n        &lt;\/list&gt;\n    &lt;\/entry&gt;\n&lt;\/util:map&gt;\n<\/code><\/pre>\n\n\n\n<p>Pour tester votre configuration, visitez le <a href=\"https:\/\/validator.caftest.canarie.ca\">site d\u2019essai de la FCA<\/a> et s\u00e9lectionnez l\u2019ouverture de s\u00e9ance MFA afin d\u2019activer la configuration et de la valider.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-css-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>ADFS\/ADFSToolkit <\/strong><\/h2>\n\n\n\n<p>&nbsp;<\/p>\n\n\n\n<p>Marche \u00e0 suivre pour qu\u2019ADFS accepte la REFEDS-MFA<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Utilisez la version la plus r\u00e9cente d\u2019ADFSToolkit.<\/li>\n\n\n\n<li>Installez la plus r\u00e9cente version de votre technologie MFA et assurez-vous qu\u2019elle fonctionne de fa\u00e7on ind\u00e9pendante, ainsi qu\u2019elle devrait le faire.<\/li>\n\n\n\n<li>Activez le th\u00e8me \u00ab\u00a0pagination\u00a0\u00bb d\u2019ADFS.<\/li>\n\n\n\n<li>Lisez le guide <a href=\"https:\/\/github.com\/fedtools\/adfstoolkit\/blob\/dev\/doc\/mfa.md\">d\u2019installation et de configuration de la REFEDS MFA pour ADFSToolkit<\/a> (en anglais).<\/li>\n\n\n\n<li>Pr\u00e9voyez comment le service MFA et ses fonctionnalit\u00e9s seront d\u00e9ploy\u00e9s entre les utilisateurs.<\/li>\n<\/ul>\n\n\n\n<p>Installer la REFEDS-MFA n\u2019est qu\u2019une facette de l\u2019application de la MFA \u00e0 vos utilisateurs. Ce guide se concentre sur l\u2019infrastructure technique qu\u2019exige l\u2019installation de la MFA. Il n\u2019aborde pas la logistique n\u00e9cessaire pour apprendre \u00e0 l\u2019utilisateur comment s\u2019inscrire \u00e0 la MFA, comment s\u2019en servir et comment r\u00e9tablir l\u2019usage de jetons MFA pour acc\u00e9der \u00e0 nouveau \u00e0 son compte.<\/p>\n\n\n\n<p>Suivez les instructions pour installer et configurer la MFA d\u2019ADFSToolkit <a href=\"https:\/\/github.com\/fedtools\/adfstoolkit\/blob\/dev\/doc\/mfa.md\">ici<\/a> afin que votre instance ADFS ait le nouveau module d\u2019extension DLL n\u00e9cessaire \u00e0 la REFEDS-MFA<em>.<\/em> Vous disposerez aussi de quelques cmdlets PowerShell pour vous aider dans l\u2019installation et la configuration.<\/p>\n\n\n\n<p>Une fois que vous aurez install\u00e9 les modules de soutien de la REFEDS-MFA, le recalcul des parties utilisatrices d\u2019ADFS que supervise ADFSToolkit garantira le bon fonctionnement de la m\u00e9thode MFA que vous aurez choisie (\u00e0 savoir, DUO-OICD ou Azure MFA).&nbsp;<\/p>\n\n\n\n<p>Pour que les modules d\u2019extension d\u2019ADFSToolkit fonctionnent correctement par DLL, vous devrez installer une connexion pagin\u00e9e, c\u2019est-\u00e0-dire la <a href=\"https:\/\/docs.microsoft.com\/fr-ca\/windows-server\/identity\/ad-fs\/operations\/ad-fs-paginated-sign-in\">version de base de Microsoft<\/a> ou une version sp\u00e9cifiquement adapt\u00e9e \u00e0 vos besoins.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-css-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>ADFS\/ADFS Toolkit et DUO-OIDC<\/strong><\/h2>\n\n\n\n<p>Pour installer la REFEDS-MFA pour ADFS\/ADFSToolkit et permettre l\u2019int\u00e9gration de DUO-OIDC, lisez la documentation sur la <a href=\"https:\/\/duo.com\/docs\/adfs\">configuration \u00e0 partir de DUO<\/a> et proc\u00e9dez de la mani\u00e8re indiqu\u00e9e.<\/p>\n\n\n\n<p><mark style=\"background-color:#F4F4F5\" class=\"has-inline-color has-dark-grey-color\">Signalons que si certains sites utilisent l\u2019ancienne approche iFrame de DUO, vous devrez lire le billet <a href=\"https:\/\/duo.com\/blog\/breaking-up-with-the-iframe-introducing-our-new-developer-tooling\">Breaking up with the iFrame<\/a> du blogue et d\u2019abord d\u00e9sinstaller iFrame.<\/mark><\/p>\n\n\n\n<p>L\u2019installation de DUO termin\u00e9e, nous vous recommandons de proc\u00e9der \u00e0 un test ind\u00e9pendant avec une de vos parties utilisatrices pour v\u00e9rifier que tout fonctionne, ou d\u2019utiliser <a href=\"https:\/\/adfshelp.microsoft.com\/ClaimsXray\/TokenRequest\">Claims X-Ray<\/a>, la partie utilisatrice d\u2019essai de Microsoft. Choisissez le processus de v\u00e9rification SAML-P qui vous permettra de v\u00e9rifier rapidement comment se d\u00e9roule l\u2019ouverture de la s\u00e9ance.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-css-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>ADFS\/ADFS Toolkit <strong>et la MFA d\u2019Azure<\/strong><\/strong><\/h2>\n\n\n\n<p>Pour implanter la MFA d\u2019Azure avec ADFS, vous devrez&nbsp;:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>synchroniser votre Active Directory et votre locataire Azure AD;<\/li>\n\n\n\n<li>configurer les param\u00e8tres MFA appropri\u00e9s du locataire.<\/li>\n<\/ul>\n\n\n\n<p>Nous vous recommandons de prendre connaissance des d\u00e9tails sur la <a href=\"https:\/\/docs.microsoft.com\/en-us\/azure\/active-directory\/authentication\/concept-mfa-howitworks\">MFA d\u2019Azure AD<\/a> et de lire la <a href=\"https:\/\/wiki.refeds.org\/display\/PRO\/MFA+Profile+FAQ\">FAQ sur la REFEDS MFA<\/a> afin de vous assurer que les modes d\u2019acc\u00e8s souhait\u00e9s sont bien support\u00e9s.<\/p>\n\n\n\n<p>On ne consid\u00e8re plus le service SMS (texto) comme un facteur de s\u00e9curit\u00e9 suppl\u00e9mentaire assez s\u00fbr, car les messages peuvent \u00eatre facilement modifi\u00e9s ou intercept\u00e9s. Cette solution ne convient donc pas \u00e0 la MFA. Bien qu\u2019on la propose toujours en option, on en d\u00e9courage vivement l\u2019usage comme facteur d\u2019authentification.<\/p>\n\n\n\n<p>Microsoft explique en d\u00e9tail <a href=\"https:\/\/docs.microsoft.com\/fr-ca\/windows-server\/identity\/ad-fs\/operations\/configure-ad-fs-and-azure-mfa\">comment s\u2019inscrire au service MFA d\u2019Azure AD avec ADFS<\/a>. Nous vous encourageons \u00e0 ne le faire qu\u2019apr\u00e8s l\u2019avoir test\u00e9 le service avec un utilisateur sur un syst\u00e8me d\u2019essai, afin de vous assurer qu\u2019il est possible de le configurer sans perturbation des utilisateurs sur la plateforme de production.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-css-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong><strong>Installation de la MFA avec le fournisseur de service Shibboleth<\/strong><\/strong><\/h2>\n\n\n\n<p>Les fournisseurs de service qui utilisent Shibboleth SP liront les documents de r\u00e9f\u00e9rence mentionn\u00e9s ci-dessous pour savoir comment configurer correctement la REFEDS MFA (Authentication Context) et permettre \u00e0 l\u2019application d\u2019acc\u00e9der \u00e0 la MFA.<\/p>\n\n\n\n<p><\/p>\n\n\n\n<p><a href=\"https:\/\/wiki.shibboleth.net\/confluence\/display\/SP3\/Requiring+Multi-Factor+Authentication\">https:\/\/wiki.shibboleth.net\/confluence\/display\/SP3\/Requiring+Multi-Factor+Authentication<\/a><\/p>\n\n\n\n<p><a href=\"https:\/\/spaces.ais.ucla.edu\/display\/iamucladocs\/Configuring+Shibboleth+Service+Provider+with+REFEDS+MFA\">https:\/\/spaces.ais.ucla.edu\/display\/iamucladocs\/Configuring+Shibboleth+Service+Provider+with+REFEDS+MFA<\/a><\/p>\n\n\n\n<p>Des questions? Veuillez visiter notre\u00a0<a href=\"https:\/\/www.canarie.ca\/fr\/identite\/soutien\/\" target=\"_blank\" rel=\"noreferrer noopener\">page de soutien<\/a>.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-css-opacity\"\/>\n\n\n\n<p><a id=\"_msocom_1\"><\/a><\/p>\n","protected":false},"featured_media":18472,"parent":0,"template":"","program":[137],"document_type":[225,229,198],"class_list":["post-30474","document","type-document","status-publish","has-post-thumbnail","hentry","program-fca","document_type-bulletins-gfi","document_type-configuration-gfi","document_type-documents-et-publications"],"acf":[],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v27.4 - https:\/\/yoast.com\/product\/yoast-seo-wordpress\/ -->\n<title>CAF - Activation de REFEDS MFA dans votre fournisseur d&#039;identit\u00e9 FIM - CANARIE<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.canarie.ca\/fr\/document\/caf-activation-de-refeds-mfa-dans-votre-fournisseur-didentite-fim\/\" \/>\n<meta property=\"og:locale\" content=\"fr_FR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"CAF - Activation de REFEDS MFA dans votre fournisseur d&#039;identit\u00e9 FIM - CANARIE\" \/>\n<meta property=\"og:description\" content=\"Introduction Beaucoup de sp\u00e9cialistes en cybers\u00e9curit\u00e9 conviennent que l\u2019authentification multifactorielle (MFA) est sans doute le moyen le plus efficace d\u2019\u00e9viter [&hellip;]\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.canarie.ca\/fr\/document\/caf-activation-de-refeds-mfa-dans-votre-fournisseur-didentite-fim\/\" \/>\n<meta property=\"og:site_name\" content=\"CANARIE\" \/>\n<meta property=\"article:modified_time\" content=\"2024-11-29T18:29:12+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/www.canarie.ca\/wp-content\/uploads\/2021\/01\/News-image_caf.png\" \/>\n\t<meta property=\"og:image:width\" content=\"800\" \/>\n\t<meta property=\"og:image:height\" content=\"405\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/png\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\\\/\\\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"https:\\\/\\\/www.canarie.ca\\\/fr\\\/document\\\/caf-activation-de-refeds-mfa-dans-votre-fournisseur-didentite-fim\\\/\",\"url\":\"https:\\\/\\\/www.canarie.ca\\\/fr\\\/document\\\/caf-activation-de-refeds-mfa-dans-votre-fournisseur-didentite-fim\\\/\",\"name\":\"CAF - Activation de REFEDS MFA dans votre fournisseur d'identit\u00e9 FIM - CANARIE\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/www.canarie.ca\\\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\\\/\\\/www.canarie.ca\\\/fr\\\/document\\\/caf-activation-de-refeds-mfa-dans-votre-fournisseur-didentite-fim\\\/#primaryimage\"},\"image\":{\"@id\":\"https:\\\/\\\/www.canarie.ca\\\/fr\\\/document\\\/caf-activation-de-refeds-mfa-dans-votre-fournisseur-didentite-fim\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/www.canarie.ca\\\/wp-content\\\/uploads\\\/2021\\\/01\\\/News-image_caf.png\",\"datePublished\":\"2022-03-21T20:03:20+00:00\",\"dateModified\":\"2024-11-29T18:29:12+00:00\",\"breadcrumb\":{\"@id\":\"https:\\\/\\\/www.canarie.ca\\\/fr\\\/document\\\/caf-activation-de-refeds-mfa-dans-votre-fournisseur-didentite-fim\\\/#breadcrumb\"},\"inLanguage\":\"fr-FR\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\\\/\\\/www.canarie.ca\\\/fr\\\/document\\\/caf-activation-de-refeds-mfa-dans-votre-fournisseur-didentite-fim\\\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"fr-FR\",\"@id\":\"https:\\\/\\\/www.canarie.ca\\\/fr\\\/document\\\/caf-activation-de-refeds-mfa-dans-votre-fournisseur-didentite-fim\\\/#primaryimage\",\"url\":\"https:\\\/\\\/www.canarie.ca\\\/wp-content\\\/uploads\\\/2021\\\/01\\\/News-image_caf.png\",\"contentUrl\":\"https:\\\/\\\/www.canarie.ca\\\/wp-content\\\/uploads\\\/2021\\\/01\\\/News-image_caf.png\",\"width\":800,\"height\":405},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\\\/\\\/www.canarie.ca\\\/fr\\\/document\\\/caf-activation-de-refeds-mfa-dans-votre-fournisseur-didentite-fim\\\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Accueil\",\"item\":\"https:\\\/\\\/www.canarie.ca\\\/fr\\\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"CAF &#8211; Activation de REFEDS MFA dans votre fournisseur d&#8217;identit\u00e9 FIM\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\\\/\\\/www.canarie.ca\\\/#website\",\"url\":\"https:\\\/\\\/www.canarie.ca\\\/\",\"name\":\"CANARIE\",\"description\":\"\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\\\/\\\/www.canarie.ca\\\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"fr-FR\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"CAF - Activation de REFEDS MFA dans votre fournisseur d'identit\u00e9 FIM - CANARIE","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.canarie.ca\/fr\/document\/caf-activation-de-refeds-mfa-dans-votre-fournisseur-didentite-fim\/","og_locale":"fr_FR","og_type":"article","og_title":"CAF - Activation de REFEDS MFA dans votre fournisseur d'identit\u00e9 FIM - CANARIE","og_description":"Introduction Beaucoup de sp\u00e9cialistes en cybers\u00e9curit\u00e9 conviennent que l\u2019authentification multifactorielle (MFA) est sans doute le moyen le plus efficace d\u2019\u00e9viter [&hellip;]","og_url":"https:\/\/www.canarie.ca\/fr\/document\/caf-activation-de-refeds-mfa-dans-votre-fournisseur-didentite-fim\/","og_site_name":"CANARIE","article_modified_time":"2024-11-29T18:29:12+00:00","og_image":[{"width":800,"height":405,"url":"https:\/\/www.canarie.ca\/wp-content\/uploads\/2021\/01\/News-image_caf.png","type":"image\/png"}],"twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"https:\/\/www.canarie.ca\/fr\/document\/caf-activation-de-refeds-mfa-dans-votre-fournisseur-didentite-fim\/","url":"https:\/\/www.canarie.ca\/fr\/document\/caf-activation-de-refeds-mfa-dans-votre-fournisseur-didentite-fim\/","name":"CAF - Activation de REFEDS MFA dans votre fournisseur d'identit\u00e9 FIM - CANARIE","isPartOf":{"@id":"https:\/\/www.canarie.ca\/#website"},"primaryImageOfPage":{"@id":"https:\/\/www.canarie.ca\/fr\/document\/caf-activation-de-refeds-mfa-dans-votre-fournisseur-didentite-fim\/#primaryimage"},"image":{"@id":"https:\/\/www.canarie.ca\/fr\/document\/caf-activation-de-refeds-mfa-dans-votre-fournisseur-didentite-fim\/#primaryimage"},"thumbnailUrl":"https:\/\/www.canarie.ca\/wp-content\/uploads\/2021\/01\/News-image_caf.png","datePublished":"2022-03-21T20:03:20+00:00","dateModified":"2024-11-29T18:29:12+00:00","breadcrumb":{"@id":"https:\/\/www.canarie.ca\/fr\/document\/caf-activation-de-refeds-mfa-dans-votre-fournisseur-didentite-fim\/#breadcrumb"},"inLanguage":"fr-FR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.canarie.ca\/fr\/document\/caf-activation-de-refeds-mfa-dans-votre-fournisseur-didentite-fim\/"]}]},{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/www.canarie.ca\/fr\/document\/caf-activation-de-refeds-mfa-dans-votre-fournisseur-didentite-fim\/#primaryimage","url":"https:\/\/www.canarie.ca\/wp-content\/uploads\/2021\/01\/News-image_caf.png","contentUrl":"https:\/\/www.canarie.ca\/wp-content\/uploads\/2021\/01\/News-image_caf.png","width":800,"height":405},{"@type":"BreadcrumbList","@id":"https:\/\/www.canarie.ca\/fr\/document\/caf-activation-de-refeds-mfa-dans-votre-fournisseur-didentite-fim\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Accueil","item":"https:\/\/www.canarie.ca\/fr\/"},{"@type":"ListItem","position":2,"name":"CAF &#8211; Activation de REFEDS MFA dans votre fournisseur d&#8217;identit\u00e9 FIM"}]},{"@type":"WebSite","@id":"https:\/\/www.canarie.ca\/#website","url":"https:\/\/www.canarie.ca\/","name":"CANARIE","description":"","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.canarie.ca\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"fr-FR"}]}},"_links":{"self":[{"href":"https:\/\/www.canarie.ca\/fr\/wp-json\/wp\/v2\/document\/30474","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.canarie.ca\/fr\/wp-json\/wp\/v2\/document"}],"about":[{"href":"https:\/\/www.canarie.ca\/fr\/wp-json\/wp\/v2\/types\/document"}],"version-history":[{"count":1,"href":"https:\/\/www.canarie.ca\/fr\/wp-json\/wp\/v2\/document\/30474\/revisions"}],"predecessor-version":[{"id":44640,"href":"https:\/\/www.canarie.ca\/fr\/wp-json\/wp\/v2\/document\/30474\/revisions\/44640"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.canarie.ca\/fr\/wp-json\/wp\/v2\/media\/18472"}],"wp:attachment":[{"href":"https:\/\/www.canarie.ca\/fr\/wp-json\/wp\/v2\/media?parent=30474"}],"wp:term":[{"taxonomy":"program","embeddable":true,"href":"https:\/\/www.canarie.ca\/fr\/wp-json\/wp\/v2\/program?post=30474"},{"taxonomy":"document_type","embeddable":true,"href":"https:\/\/www.canarie.ca\/fr\/wp-json\/wp\/v2\/document_type?post=30474"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}