Azure AD Connect
En élargissant les services
d’infrastructure d’une entreprise à des services comme Azure
et Office 365, la gestion et
l’authentification des utilisateurs deviennent rapidement des points de
discussions avec les responsables de la sécurité et les auditeurs.
Microsoft a développé un
mécanisme qui permet de synchroniser les profils, mots de passe, groupes et
comptes d’ordinateur contenus dans le répertoire de l’entreprise (Active Directory - AD) avec Azure AD (Office 365).
Ce mécanisme, Azure AD Connect, permet
d’effectuer une synchronisation selon certains critères comme Domaines, OU, Groupes,
… Il va également appliquer les changements de mots de passe effectuer par
l’utilisateur au moyen des outils des portails d’Azure
et Office 365 dans l’AD de l’entreprise (Password
Writeback).
Les administrateurs d’AD n’auront donc pas à se soucier de la création
des comptes dans Azure AD car ils y seront
créés automatiquement.
Cette synchronisation des profils
et mots de passe va permettre une identification simplifiée (SSO) en plus d’apporter une transparence
aux utilisateurs dans l’utilisation de services d’infrastructure situés à
l’externe.
Il faut retenir que l’utilisation
d’Azure AD Connect n’affecte pas le
mécanisme d’authentification aux services de Microsoft. L’accès aux services
sera toujours assuré par Azure AD. Ce qui
peut occasionner des situations embarrassantes comme le fait qu’un utilisateur désactivé
dans l’AD de l’entreprise pourra continuer à
utiliser les services d’Office 365 ou Azure.
C’est précisément pour éviter ce
genre de situation qu’il est préférable de mettre en place la fédération entre
l’AD de l’entreprise et Azure AD.
ADFS
ADFS
(Active Directory Federation Services)
va permettre l’utilisation du répertoire de l’entreprise (AD) pour l’authentification aux services de Microsoft.
ADFS |
Le service ADFS qui sera installé sur un
serveur dans le réseau de l’entreprise va recevoir les requêtes d’authentification
et, après vérification auprès d’un DC, attribuera
un jeton (Token) à la requête afin de
donner accès à l’utilisateur aux services de Microsoft.
Le service ADFS permet de modifier les modalités d’authentification
(claims) et la personnalisation de la
page d’accueil lors de l’accès aux services de Microsoft.
Quant au service ADFS Web Application Proxy (ADFS Proxy) il sera installé dans la DMZ. Son rôle étant essentiellement de de ne pas
exposer le service ADFS au réseau Internet.