Qu’est-ce que le SAML et

comment fonctionne-t-il
avec Active Directory ?

Dans le monde du travail actuel, la simplification de la gestion des mots de passe

est essentielle. Alors que les entreprises font un bond en avant dans la digitalisation,
les employés utilisent plus que jamais (page en anglais) des outils collaboratifs, de
messagerie ou de stockage. Cela représente un défi pour la gestion informatique :
comment fournir aux employés un accès sécurisé aux applications internes et aux
données stockées dans le cloud ? Pour beaucoup, la réponse est le SAML (Security
Assertion Markup Language, en français : Langage de Balisage d’Assertion de
Sécurité).

-------------------------------

Qu’est-ce que le SAML ?

Le SAML est une norme ouverte qui simplifie les processus d’authentification.
C’est basé sur le langage XML (Extensible Markup Language), qui normalise la
communication entre les entités à authentifier et le service ou l’application web. En
d’autres termes, le SAML est ce qui rend possible l’utilisation d’un seul identifiant
pour vous connecter à plusieurs applications différentes.

Qu’est-ce que le SAML et comment fonctionne-t-il avec Active Directory ? - Page 1/12
 Qu’en est-il de l’authentification unique SAML ?

L’un des principaux rôles de SAML est de permettre la SSO (page en aglais). Avant le
SAML, la SSO était possible, mais dépendante des cookies et viable que sur un même
domaine.

Le SAML permet l’authentification unique (SSO) en autorisant les utilisateurs à accéder

à plusieurs applications avec une seule connexion et un seul ensemble d’informations
d’identification. Bien que le SAML ne soit pas récent, il existe depuis 2002, de
nombreuses nouvelles applications et entreprises SaaS utilisent le SAML pour la SSO.
Sa version la plus récente, SAML 2.0 permet une SSO inter-domaine (page en anglais)
basée sur le web et constitue la norme pour l’autorisation des ressources.

Dans l’environnement Active Directory, l’authentification unique de SAML permet aux

utilisateurs d’accéder à un large panel d’applications avec seulement une information
de connexion. Les utilisateurs Active Directory peuvent continuer à utiliser une source
d’identité centralisée (AD) pour accéder aux applications Cloud comme Microsoft 365.

Si vous êtes à la recherche d’informations sur le fonctionnement de SAML avec Active

Directory et sur la façon dont le SAML peut s’intégrer à la MFA et à des fournisseurs
d’accès comme UserLock, alors ce Guide est pour vous.

Une introduction à la terminologie SAML

Avant de débuter, voici quelques termes utiles pour naviguer dans le jargon SAML.

Fournisseur d’identité (IdP) :

Un site ou un fournisseur qui identifie l’utilisateur et envoie l’assertion SAML.

Fournisseur de service (SP) :

Un site ou un fournisseur qui reçoit l’assertion SAML et qui reconnait
l’authentification pour permettre la connexion automatique.

Qu’est-ce que le SAML et comment fonctionne-t-il avec Active Directory ? - Page 2/12
Assertion:
Une assertion contient de nombreuses informations appelées « revendications
». Elles sont généralement transmises des IdPs aux SPs. Ces revendications
permettent aux SPs de décider qui a les autorisations nécessaires pour gagner
l’accès. Il existe 3 types de revendications SAML :

1 Revendication d’authentification:
Cette revendication dit au SP que le IdP a authentifié l’utilisateur à un
certain moment et a utilisé une certaine méthode d’authentification. Cette
revendication peut également contenir des informations supplémentaires
sur l’utilisateur appelées contexte d’authentification.

2 Revendication d’attribut :
Un attribut est une paire nom-valeur que les SP et les IdP utilisent pour
décider d’accorder ou non l’accès. Ces revendications déclarent que
l’utilisateur est associé avec certains attributs.

3 Revendication de décision d’autorisation :

Cette revendication confirme, ou affirme, qu’un utilisateur a certaine
autorisation. Habituellement, cela suit une formule simple (page en anglais):
un utilisateur (souvent appelé « principal ») est autorisé à effectuer l’action A
sur la ressource R étant donné la preuve P.

Métadonnées :
Les métadonnées SAML sont contenues dans un document et décrivent
un déploiement SAML. Cela peut être dans le contexte de SP ou de IdP.
Les déploiements partagent des métadonnées pour établir la confiance et
l’intemporalité, puis transmettent à minima :

• L’identité de l’utilisateur

• Des clés cryptographiques

• Des points de contact des protocoles (liaisons et emplacements)

Qu’est-ce que le SAML et comment fonctionne-t-il avec Active Directory ? - Page 3/12
Quels sont les avantages de
l’authentification SAML ?
Le SAML apporte de nombreux avantages pour la sécurité, pour les utilisateurs, et
pour les autres fournisseurs de service.

La simplicité :
Les utilisateurs ne se connectent qu’une seule fois à l’IdP, puis
bénéficient d’un accès transparent et plus sécurisé à toutes les
applications.

Augmentation de la sécurité :
De nombreux SP n’ont ni le temps ni les ressources de mettre en
œuvre et d’appliquer une authentification utilisateur sécurisée lors
de la connexion. En règle générale, les IdP sont mieux équipés pour
authentifier les identités des utilisateurs. En renvoyant l’authentification
à l’IdP, le SAML permet une authentification sécurisée qui peut
appliquer plusieurs niveaux de sécurité, comme la MFA.

Les avantages pour les utilisateurs

Amélioration de l’expérience utilisateurs :

Grâce au SAML, vos utilisateurs peuvent dire adieu aux maux de tête
en essayant de retenir de nombreux noms d’utilisateur et mots de
passe.

Gain de temps :
Le SAML accélérant le processus d’authentification, les utilisateurs
perdent moins de temps.

Qu’est-ce que le SAML et comment fonctionne-t-il avec Active Directory ? - Page 4/12
 Les avantages pour les fournisseurs de service

Réduire la charge de gestion :

Les fournisseurs de service peuvent améliorer la sécurité de leur plateforme
sans pour autant stocker les mots de passe.

Réduire les coûts et les charges du service support :

N’ayant plus besoin de gérer les problèmes de mots de passe oubliés, le service
support réduit les coûts et libère les équipes techniques pour traiter d’autres
demandes plus urgentes.

-------------------------------

La différence entre le SAML initié

par le IdP et le SAML initié par le SP

Il est important de signaler que l’IdP et le SP, peuvent tous les deux initier une requête
SAML. Avec l’initiation SP, la demande de connexion est initiée par l’application
à laquelle l’utilisateur veut accéder. L’utilisateur est ensuite redirigé vers l’IdP, qui
vérifie alors si l’utilisateur est actuellement connecté et s’il est authentifié ou non.
L’IdP génère alors une réponse SAML vers le SP qui donne à l’utilisateur l’accès à
l’application.

Dans le cas d’une connexion initiée par l’IdP, l’utilisateur se connecte directement à
l’IdP. Lorsque l’utilisateur ouvre ensuite les applications compatibles, le SP envoie
une demande d’authentification à l’IdP. Une fois authentifié, l’IdP indique que
l’utilisateur est authentifié et l’utilisateur accède à l’application.

-------------------------------

Qu’est-ce que le SAML et comment fonctionne-t-il avec Active Directory ? - Page 5/12
Comment le SAML fonctionne-t-il
avec Active Directory ?

AD sur site est la marque de fabrique dans la gestion des identités depuis des
décennies. Maintenant, alors que les entreprises passent à un environnement
hybride ou cloud, elles veulent tirer profit de l’investissement réalisé dans AD.
Les entreprises ont besoin d’un moyen de continuer à utiliser AD pour gérer les
authentifications sur les applications cloud, sans perturber les utilisateurs ou les
opérations informatiques.

Avec le SAML, les utilisateurs AD sur site, peuvent accéder à une multitude d’applications
web, comme Microsoft 365, en utilisant seulement leurs informations de connexion.

Comment ça marche exactement ? Cette pratique courante utilise une identité

fédérée (page en anglais) : des ID utilisateurs stockées dans des applications et des
entreprises distinctes. Le SAML est un langage courant qui permet à ces applications
et entreprises fédérées de communiquer et de faire confiance à leurs utilisateurs
respectifs.

Tout d’abord, le SAML transmet l’information d’authentification (comment la

connexion, l’état d’authentification, l’identifiant, etc.), entre l’IdP (Active Directory) et
le SP (applications Cloud et services web). Lorsqu’un utilisateur essaie d’accéder à
un site, AD transmet l’authentification SAML au SP, qui peut alors accorder l’accès à
l’utilisateur.

-------------------------------

Comment configurer la SSO SAML avec

Active Directory ?
Il y a plusieurs manières différentes de configurer le SAML avec AD sur site. Regardons
ensemble les exemples les plus courants :

Qu’est-ce que le SAML et comment fonctionne-t-il avec Active Directory ? - Page 6/12
 Configurer la SSO SAML avec Microsoft AD FS ou AD Azure

Tout d’abord, Microsoft propose des solutions qui s’appuient sur le

SAML pour fournir une SSO : Active Directory Federation Service (AD
FS) et Azure AD.

AD FS est une solution autonome d’identité fédérée qui peut fournir

des fonctionnalités SSO pour les utilisateurs AD sur site, mais c’est
compliqué à déployer et à gérer (page en anglais).

Azure AD brings Microsoft’s identity management platform to the cloud

– away from the on-premises server. Microsoft Azure AD Connect
enables SSO capabilities for AD users to access cloud apps. Microsoft
now recommends Azure AD Connect for all but AD FS legacy systems.

Azure AD transpose la plateforme de gestion des identités de Microsoft

sur le Cloud, loin du serveur sur site. Microsoft Azure AD permet aux
utilisateurs AD d’accéder aux fonctionnalités SSO pour se connecter
aux applications cloud. Microsoft recommande désormais Azure AD
Connect pour tous les systèmes existants, à l’exception de AD FS.

Azure Active Directory Domain Services est un service géré et facultatif

qui déploie des contrôleurs de domaine Windows Server dans Azure.
Azure AD Domain Services offre un soutien aux entreprises qui
disposent de services et de protocoles hérités qu’elles souhaitent
transférer dans le cloud.

Bien qu’Azure AD offre la possibilité aux environnements AD sur site

d’utiliser la SSO, de nombreuses entreprises, pour des raisons de
sécurité, de simplicité, etc. préfèrent conserver leur authentification
d’identité ID sur site.

-------------------------------

Qu’est-ce que le SAML et comment fonctionne-t-il avec Active Directory ? - Page 7/12
Configurer la SSO SAML sécurisée pour les
Active Directory sur site avec UserLock

UserLock étend l’authentification d’identité AD sur site au cloud, tout en veillant à ce

que l’authentification se fasse via le serveur AD sur site. Avec UserLock, les entreprises
peuvent aussi combiner la SSO avec l’authentification multifacteur (MFA) pour un
accès sécurisé et fluide aux ressources tant du réseau que du cloud.

Installée et configurée en quelques minutes sur un serveur Windows standard, la SSO

de UserLock prend en charge le protocole SAML 2.0 (page en anglais) pour permettre
l’authentification fédérée des applications cloud. Les utilisateurs ne se connectent
qu’une seule fois avec leurs identifiants AD pour accéder aux applications et aux
ressources cloud de l’entreprise.

Comment fonctionne UserLock SSO – Un exemple SAML

pour Active Directory

Bob, comme la plupart des guerriers de bureau, commence sa journée en se connectant

à son ordinateur. Il tape ses identifiants AD de connexion. Puisque son entreprise
a mis en place un double facteur d’authentification (2FA) avec UserLock, il scanne
rapidement l’empreinte de son pouce en utilisant sa clé de sécurité Token2-Bio. Puis
il ouvre sa boite à outils quotidienne : Slake, Salesforce et Microsoft 365. Etant donné
que la SSO de UserLock est en place pour ces applications, Bob peut accéder à toutes
les applications sans entrer de mots de passe supplémentaires.

-------------------------------

Etude de cas : comment UserLock SSO

exploite le SAML pour Active Directory

Voici quelques façons dont le SAML fonctionne avec UserLock SSO.

Qu’est-ce que le SAML et comment fonctionne-t-il avec Active Directory ? - Page 8/12
 Cas n°1 : La SSO pour les applications SaaS compatibles

UserLock prend en charge une liste croissante d’applications SaaS. En utilisation la

SSO SAML, l’utilisateur est authentifié grâce à ses identifiants de connexion existants
sur site. UserLock peut également demander une authentification à deux facteurs,
selon les conditions définies. Découvrez quelles sont les applications prises en charge
et comment les configurer.

Qu’est-ce que le SAML et comment fonctionne-t-il avec Active Directory ? - Page 9/12
 Cas n°2 : La SSO pour Microsoft 365 avec Active Directory

Grâce à UserLock, les utilisateurs peuvent également profiter de l’accès transparent à

la suite Microsoft 365 après s’être connecté a AD. Les administrateurs informatiques,
quant à eux, peuvent alors profiter des contrôles complets de UserLock pour gérer
l’accès des utilisateurs à Microsoft 365.

Qu’est-ce que le SAML et comment fonctionne-t-il avec Active Directory ? - Page 10/12
 Cas n°3 : La SSO pour Microsoft 3655 avec Azure AD Domain Services

Pour les écosystèmes qui utilisent Azure AD Domain Services, UserLock peut sécuriser
et gérer les accès pour Microsoft 365.

Qu’est-ce que le SAML et comment fonctionne-t-il avec Active Directory ? - Page 11/12
 Cas n°4 : La SSO pour les applications SaaS non compatibles

Les administrateurs informatiques peuvent aussi configurer une application non prise
en charge à l’aide du protocole SAML. En utilisant leurs informations d’authentification
Windows AD, les utilisateurs peuvent bénéficier d’un accès sécurisé et transparent
aux applications SaaS les plus utilisées par votre équipe.

-------------------------------

UserLock : la SSO sécurisée pour les

identités AD sur site à l’aide de SAML

Avec UserLock, les entreprises peuvent fournir une SSO plus sécurisée et rapide grâce
à SAML. Puisque les authentifications d’identité AD restent sur site, il n’y a pas besoin
de créer et de gérer un nouvel annuaire pour les identités des utilisateurs. Aussi, les
entreprises peuvent facilement appliquer des politiques de gestion pour les comptes,
les services, les rôles et les groupes.

Vous voulez en savoir plus sur la façon dont UserLock peut aider votre
organisation à mettre en place une SSO sécurisé pour les identités AD sur site ?
Planifiez une démo UserLock aujourd’hui.

Voyez par vous-même à quel point

UserLock est facile à utiliser.

Téléchargez un essai gratuit

Qu’est-ce que le SAML et comment fonctionne-t-il avec Active Directory ? - Page 12/12