Cours et exercice Dates importantes • CC: QCM + suivi de projet • + exposé • Examen + exposé
11/01/2023 Ferdinand TCHADJI, Ens-Chercheur 2
Focus sur Azure AD
11/01/2023 Ferdinand Tchadji, Enseignant-Chercheur 3
Extension d’un AD local vers Azure AD • l’extension d’un Active Directory local consiste à synchroniser des utilisateurs de l’Active Directory local vers Azure Active Directory.
Dans une infrastructure à identité hybride, nous
possédons au moins les composants suivants : -un annuaire Active Directory -un serveur AAD Connect -des utilisateurs/groupes d’utilisateurs - OU -un annuaire Azure Active Directory 11/01/2023 Ferdinand Tchadji, Enseignant-Chercheur 4 Extension d’un AD local vers Azure AD • Pourquoi étendre ses utilisateurs vers Azure Active Directory ?
• Une entreprise qui souhaite bénéficier
de ces services et les proposer à ses utilisateurs ne va pas leur proposer èun compte et un mot de passe pour chaque application et service, è en plus de leur compte local Active Directory. • Cela deviendrait lourd à gérer pour les utilisateurs et pour les administrateurs.
11/01/2023 Ferdinand Tchadji, Enseignant-Chercheur 5
Contrainte reglementaire et l’Azure AD • Il faut savoir que l’emplacement de stockage des données, en ce qui concerne les offres cloud Microsoft, dépend de l’adresse fournie lors de l’inscription au service Office 365 ou Azure Active Directory • Afin de mieux répondre aux problématiques légales de certains pays européens concernant la localisation de leurs données..
11/01/2023 Ferdinand Tchadji, Enseignant-Chercheur 6
Contrainte reglementaire et l’Azure AD • La plupart des attributs des utilisateurs • givenName des entreprises européennes sont stockés dans les datacenters en Europe, • Name • UserPrincipalName • à l’exception des attributs utilisateurs listés ci-contre qui demeurent entreposés • Domain dans les datacenters aux USA è • PasswordHash • SourceAnchor • AccountEnabled • Ces attributs permettent l’authentification et le fonctionnement • PasswordPolicies des utilisateurs. • StrongAuthenticationRequierme nt • Aucune donnée personnelle des utilisateurs n’est stockée. • ApplicationPassword • PUID 11/01/2023 Ferdinand Tchadji, Enseignant-Chercheur 7 l’Azure AD: gestion identité hybrise Remarquons que • Architecture Azure Active Directory full cloud sans hybridation : signifie que l’entreprise utilise uniquement l’annuaire Azure Active Directory et qu’aucune extension avec l’Active Directory local n’existe. • L’authentification se fait directement sur Azure Active Directory via Internet. • Adapté pour une entreprise de petite taille
11/01/2023 Ferdinand Tchadji, Enseignant-Chercheur 8
l’Azure AD Remarquons que Schema expliquant la synchronisation de mots de passe (en anglais, le Password Sync) : • Extension de l’Active Directory local avec une synchronisation de mots de passe : • cette méthode d’authentification consiste à synchroniser le hash du mot de passe de l’utilisateur afin qu’il puisse se connecter auprès des services et applications cloud. 11/01/2023 Ferdinand Tchadji, Enseignant-Chercheur 9 l’Azure AD Schema expliquant l’authentification : pass-through en français, authentification directe. Remarquons que • Le Pass-through : Cette méthode permet d’authentifier les utilisateurs synchronisés dans Azure Active Directory auprès des services et applications cloud. • C’est une alternative au Password Sync, car le hash du mot de passe des utilisateurs n’est pas stocké dans Azure Active Directory. • L’authentification des utilisateurs se fait auprès d’un agent installé sur le SVR AAD Connect.
11/01/2023 Ferdinand Tchadji, Enseignant-Chercheur 10
l’Azure AD le schéma expliquant la fédération avec ADFS Remarquons que • La fédération : l’authentification auprès des services et applications cloud est dans ce cas déléguée au système de validation et de fédération ADFS de Microsoft
11/01/2023 Ferdinand Tchadji, Enseignant-Chercheur 11
L’outil IdFix • il faudra contrôler l’annuaire Active Directory local afin de rechercher d’éventuelles erreurs, des utilisateurs dupliqués, etc.
• L’outil IdFix parcourt tout l’environnement
Active Directory et vous alerte si des erreurs existent avant de faire une première synchronisation vers Azure Active Directory avec AAD Connect. •
11/01/2023 Ferdinand Tchadji, Enseignant-Chercheur 12
Applications intégrées à Azure AD
11/01/2023 Ferdinand Tchadji, Enseignant-Chercheur 13
Les applications intégrées à Azure AD l’annuaire Azure Active Directory, offre les avantages suivants : • authentification contrôlée • centralisation de l’administration des accès au niveau des applications • une seule identité pour l’ensemble des applications • plusieurs milliers d’applications peuvent être intégrées à Azure D • Avec l’intégration de ces applications dans Azure Active Directory, les entreprises pourront répondre aux problématiques liées aux accès et à la sécurité de leurs applications en suivant le principe : qui est autorisé à faire quoi ? • C’est-à-dire le principe IAM (Identity Access and Management). • Le qui représente l’identité de l’utilisateur et le quoi représente la gestion d’accès aux ressources et applications.
11/01/2023 Ferdinand Tchadji, Enseignant-Chercheur 14
Les applications intégrées à Azure AD Si vous achetez une application SaaS sur Internet, que signifie le fait de l’intégrer à votre Azure Active Directory ? Cela veut dire que tous les utilisateurs qui font partie de votre annuaire Azure Active Directory pourront accéder à cette application avec leur compte Azure Active Directory.
• Ci-contre une appli en SAAS non intégrée à
• Azure AD 11/01/2023 Ferdinand Tchadji, Enseignant-Chercheur 15 Les applications intégrées à Azure AD Ici, l’administrateur de l’application est obligé de créer des comptes applicatifs pour tous les utilisateurs de l’entreprise ; l’utilisateur se connecte sur son poste de travail avec son compte Active Directory local Et après seulement il se connectera avec un autre compte sur son application SaaS SAP. Il y a donc deux comptes et deux mots de passe. Double job pour les Admin: (création, réinitialisation de mot de passe, suppression, etc.). 11/01/2023 Ferdinand Tchadji, Enseignant-Chercheur 16 Les applications intégrées à Azure AD exemple avec l’application intégrée dans Azure Active Directory. Le User se connecte à l’application SaaS SAP avec son compte Azure Active Directory Et même aux autres ressources de l’entreprise, cloud et internes: Ex en SSO
11/01/2023 Ferdinand Tchadji, Enseignant-Chercheur 17
Les applications intégrées à Azure AD Azure Active Directory est ici l’annuaire qui fournit l’identité aux utilisateurs, il va également vérifier celles-ci au niveau des utilisateurs et applications, puis émettra les jetons de sécurité une fois l’authentification réalisée.
• Une application qui délègue la partie authentification à Azure
Active Directory doit être intégrée dans cet annuaire afin de rendre cela possible ; • ce qui veut dire que ce n’est plus l’application qui va gérer et vérifier les identités, mais bel et bien Azure AD
11/01/2023 Ferdinand Tchadji, Enseignant-Chercheur 18
Les applications intégrées à Azure AD
• Une fois authentifié, l’application valide le jeton de sécurité
afin de bien vérifier l’authentification de l’utilisateur.
• Il est possible d’utiliser des bibliothèques d’authentification
open source Azure Active Directory.
• Protocol: OpenId connect, OAuth2.0, SAML2.0 ,
WS-Federation.
11/01/2023 Ferdinand Tchadji, Enseignant-Chercheur 19
Les applications intégrées à AAD : avantages
• Avantages Pour les utilisateurs
• une seule identité pour toutes les applications et ressources • moins de comptes à mémoriser et donc moins de mots de passe • un accès simplifié avec du SSO, • ce qui offre une connexion directe sans besoin de taper son mot de passe quand l’utilisateur se trouve dans le réseau de l’entreprise • des utilisateurs plus productifs qui pourront se connecter à plusieurs applications avec la même connexion
11/01/2023 Ferdinand Tchadji, Enseignant-Chercheur 20
Les applications intégrées à AAD : avantages Pour les équipes internes informatiques • une facilité d’administration des comptes et mots de passe • le risque de fuite de mots de passe est réduit, donc plus de sécurité • une gestion de l’identité centralisée au niveau d’Azure Active Directory • la possibilité de durcir la sécurité en ajoutant des briques au niveau de l’authentification, • ècomme par exemple l’authentification à doubles facteurs • è ou encore des conditions d’accès basées sur: • l’emplacement des utilisateurs, • leurs appareils, • leur comportement, 11/01/2023 Ferdinand Tchadji, Enseignant-Chercheur 21 Examen: EXPOSÉ NOTÉ
11/01/2023 Ferdinand TCHADJI, Ens-Chercheur 22
Projet de veille : Microsoft training • https://azure.microsoft.com/fr-fr/free/students/ • https://learn.microsoft.com/fr-fr/training/ • https://learn.microsoft.com/fr-fr/training/modules/describe-core- architectural-components-of-azure/1-introduction • https://learn.microsoft.com/fr-fr/training/paths/describe-basic- concepts-of-cybersecurity/ • https://learn.microsoft.com/fr-fr/ • https://learn.microsoft.com/fr-fr/training/modules/describe-basic- cybersecurity-threats-attacks-mitigations/3-describe-threat-landscape
11/01/2023 Ferdinand TCHADJI, Ens-Chercheur 23
Réviser son cours est une marque de respect pour vous-même …!