Gestion d'accès chez Microsoft

De Justine's wiki
Aller à la navigation Aller à la recherche

ADFS

https://www.youtube.com/watch?v=l91_X7CfHfM https://www.youtube.com/watch?v=CjarTgjKcX8

Active Directory Federated Services.

Fournit du SSO aux applications web. Il envoie un claim à une webapp en lieu et place d'AD. Le but est l'interopérabilité.

Disons que l'on a besoin de donner un SSO via notre AD à une application qui est dans le cloud. Sans ça, on a:

  • Un tunnel VPN => C'est chiant et trop permissif
  • Exporter un fichier csv, xml, json vers l'app... => Il va falloir le réimporter à chaque modif
  • Isolation complète : On a différents comptes.

Principe d'ADFS :

On voit ici que le principe est le même que pour n'importe quel SSO. Il y'a interrogation de l'AD et création d'un token de connexion. C'est ce que l'on appelle "l'authentifvication fédérée" : c'est un grand mot pour parler d'un simple SSO.

En gros, en imaginant qu'on ait de l'azure ad dans la boucle (qui est encore une variante par rapport à l'exemple ci-dessus) :

  • Alice se connecte sur un site web et doit se loguer avec un SSO.
  • Le site la renvoie vers Azure AD, qui fait la découverte de son domaine en regardant le domaine de son adresse mail dans le login.
  • Azure AD renvoie vers l'ADFS de son orga. Azure AD et ADFS ont une relation de confiance entre eux.
  • L'ADFS authentifie, et fait un POST avec le token à AzureAD.
  • AzureAD fait la même chose au site de base.
  • Alice est connectée.

AzureAD Connect

https://www.youtube.com/watch?v=t1yHJ8DVO4Y

Le principe fondamental est de synchroniser un AD local avec un AD Azure via des API (des "connecteurs" en blabla crosoft). AAD Connect est en soi une base de données.

Cette base de données est un lien entre l'AD local et celui d'azure : les deux ne parlent pas forcément la même langue et du coup, ils ont besoin de cet élément pour se comprendre. Les informations ne font que remonter depuis le local vers l'Azure, et sur l'Azure ne sont là qu'à des fins de consultation. Principe d'une synchro avec la création d'un utilisateur :

Quel intérêt ? Imaginons que nous voulions que nos utilisateurs puissent prendre leur laptop du boulot et l'emmener chez eux, et veuillent ouvrir leur session du boulot depuis chez eux : c'est possible avec Azure-ADConnect. L'authentification peut être faite dans le cloud et non plus en local; cela peut éliminer certains besoins de VPN et de cache.

Récupérée de « https://wiki.squi.fr/index.php?title=Gestion_d%27accès_chez_Microsoft&oldid=2162 »