11/01/2023 (6H);

01/02/2022 (4H);

Ateliers solutions cloud

(architecture)
Séance du 11 /01/2023

M. Ferdinand Tchadji, Enseignant chercheur

Cours et exercice
Dates importantes
• CC: QCM + suivi de projet
• + exposé
• Examen + exposé

11/01/2023 Ferdinand TCHADJI, Ens-Chercheur 2

Focus sur Azure AD

11/01/2023 Ferdinand Tchadji, Enseignant-Chercheur 3

Extension d’un AD local vers Azure AD
• l’extension d’un Active
Directory local consiste à
synchroniser des
utilisateurs de l’Active
Directory local vers Azure
Active Directory.

Dans une infrastructure à identité hybride, nous

possédons au moins les composants suivants :
-un annuaire Active Directory
-un serveur AAD Connect
-des utilisateurs/groupes d’utilisateurs - OU
-un annuaire Azure Active Directory
11/01/2023 Ferdinand Tchadji, Enseignant-Chercheur 4
Extension d’un AD local vers Azure AD
• Pourquoi étendre ses utilisateurs vers
Azure Active Directory ?

• Une entreprise qui souhaite bénéficier

de ces services et les proposer à ses
utilisateurs ne va pas leur proposer
èun compte et un mot de passe pour
chaque application et service,
è en plus de leur compte local Active
Directory.
• Cela deviendrait lourd à gérer pour les
utilisateurs et pour les administrateurs.

11/01/2023 Ferdinand Tchadji, Enseignant-Chercheur 5

 Contrainte reglementaire et l’Azure AD
• Il faut savoir que l’emplacement de
stockage des données, en ce qui
concerne les offres cloud Microsoft,
dépend de l’adresse fournie lors de
l’inscription au service Office 365 ou
Azure Active Directory
• Afin de mieux répondre aux
problématiques légales de certains
pays européens concernant la
localisation de leurs données..

11/01/2023 Ferdinand Tchadji, Enseignant-Chercheur 6

 Contrainte reglementaire et l’Azure AD
• La plupart des attributs des utilisateurs • givenName
des entreprises européennes sont
stockés dans les datacenters en Europe, • Name
• UserPrincipalName
• à l’exception des attributs utilisateurs
listés ci-contre qui demeurent entreposés • Domain
dans les datacenters aux USA è • PasswordHash
• SourceAnchor
• AccountEnabled
• Ces attributs permettent
l’authentification et le fonctionnement • PasswordPolicies
des utilisateurs. • StrongAuthenticationRequierme
nt
• Aucune donnée personnelle des
utilisateurs n’est stockée. • ApplicationPassword
• PUID
11/01/2023 Ferdinand Tchadji, Enseignant-Chercheur 7
 l’Azure AD: gestion identité hybrise
Remarquons que
• Architecture Azure Active Directory full cloud sans hybridation :
signifie que l’entreprise utilise uniquement l’annuaire Azure Active
Directory et qu’aucune extension avec l’Active Directory local
n’existe.
• L’authentification se fait directement sur Azure Active Directory via
Internet.
• Adapté pour une entreprise de petite taille

11/01/2023 Ferdinand Tchadji, Enseignant-Chercheur 8

 l’Azure AD
Remarquons que
Schema expliquant la synchronisation de mots de passe (en
anglais, le Password Sync) : • Extension de l’Active
Directory local avec une
synchronisation de mots de
passe :
• cette méthode
d’authentification consiste à
synchroniser le hash du mot
de passe de l’utilisateur afin
qu’il puisse se connecter
auprès des services et
applications cloud.
11/01/2023 Ferdinand Tchadji, Enseignant-Chercheur 9
 l’Azure AD
Schema expliquant l’authentification : pass-through
en français, authentification directe. Remarquons que
• Le Pass-through : Cette méthode
permet d’authentifier les utilisateurs
synchronisés dans Azure Active
Directory auprès des services et
applications cloud.
• C’est une alternative au Password
Sync, car le hash du mot de passe des
utilisateurs n’est pas stocké dans
Azure Active Directory.
• L’authentification des utilisateurs se
fait auprès d’un agent installé sur le
SVR AAD Connect.

11/01/2023 Ferdinand Tchadji, Enseignant-Chercheur 10

 l’Azure AD
le schéma expliquant la fédération avec ADFS
Remarquons que
• La fédération :
l’authentification auprès des
services et applications cloud
est dans ce cas déléguée au
système de validation et de
fédération ADFS de Microsoft

11/01/2023 Ferdinand Tchadji, Enseignant-Chercheur 11

 L’outil IdFix
• il faudra contrôler l’annuaire
Active Directory local afin de rechercher
d’éventuelles erreurs, des utilisateurs
dupliqués, etc.

• L’outil IdFix parcourt tout l’environnement

Active Directory et vous alerte si des erreurs
existent avant de faire une première
synchronisation vers Azure Active Directory
avec AAD Connect.
•

11/01/2023 Ferdinand Tchadji, Enseignant-Chercheur 12

Applications intégrées à Azure AD

11/01/2023 Ferdinand Tchadji, Enseignant-Chercheur 13

 Les applications intégrées à Azure AD
l’annuaire Azure Active Directory, offre les avantages suivants :
• authentification contrôlée
• centralisation de l’administration des accès au niveau des applications
• une seule identité pour l’ensemble des applications
• plusieurs milliers d’applications peuvent être intégrées à Azure D
• Avec l’intégration de ces applications dans Azure Active Directory, les entreprises pourront
répondre aux problématiques liées aux accès et à la sécurité de leurs applications en
suivant le principe : qui est autorisé à faire quoi ?
• C’est-à-dire le principe IAM (Identity Access and Management).
• Le qui représente l’identité de l’utilisateur et le quoi représente la gestion d’accès aux
ressources et applications.

11/01/2023 Ferdinand Tchadji, Enseignant-Chercheur 14

 Les applications intégrées à Azure AD
Si vous achetez une application SaaS sur
Internet, que signifie le fait de l’intégrer à
votre Azure Active Directory ?
Cela veut dire que tous les utilisateurs qui
font partie de votre annuaire Azure Active
Directory pourront accéder à cette
application avec leur compte Azure Active
Directory.

• Ci-contre une appli en SAAS non intégrée à

• Azure AD
11/01/2023 Ferdinand Tchadji, Enseignant-Chercheur 15
 Les applications intégrées à Azure AD
Ici, l’administrateur de l’application est obligé de
créer des comptes applicatifs pour tous les
utilisateurs de l’entreprise ;
l’utilisateur se connecte sur son poste de travail
avec son compte Active Directory local
Et après seulement il se connectera avec un
autre compte sur son application SaaS SAP.
Il y a donc deux comptes et deux mots de passe.
Double job pour les Admin: (création,
réinitialisation de mot de passe, suppression,
etc.).
11/01/2023 Ferdinand Tchadji, Enseignant-Chercheur 16
 Les applications intégrées à Azure AD
exemple avec l’application
intégrée dans Azure Active
Directory.
Le User se connecte à
l’application SaaS SAP avec
son compte Azure Active
Directory
Et même aux autres
ressources de l’entreprise,
cloud et internes:
Ex en SSO

11/01/2023 Ferdinand Tchadji, Enseignant-Chercheur 17

 Les applications intégrées à Azure AD
Azure Active Directory est ici l’annuaire qui fournit l’identité aux
utilisateurs,
il va également vérifier celles-ci au niveau des utilisateurs et
applications,
puis émettra les jetons de sécurité une fois l’authentification
réalisée.

• Une application qui délègue la partie authentification à Azure

Active Directory doit être intégrée dans cet annuaire afin de
rendre cela possible ;
• ce qui veut dire que ce n’est plus l’application qui va gérer et
vérifier les identités, mais bel et bien Azure AD

11/01/2023 Ferdinand Tchadji, Enseignant-Chercheur 18

 Les applications intégrées à Azure AD

• Une fois authentifié, l’application valide le jeton de sécurité

afin de bien vérifier l’authentification de l’utilisateur.

• Il est possible d’utiliser des bibliothèques d’authentification

open source Azure Active Directory.

• Protocol: OpenId connect, OAuth2.0, SAML2.0 ,

WS-Federation.

11/01/2023 Ferdinand Tchadji, Enseignant-Chercheur 19

 Les applications intégrées à AAD : avantages

• Avantages Pour les utilisateurs

• une seule identité pour toutes les applications et ressources
• moins de comptes à mémoriser et donc moins de mots de passe
• un accès simplifié avec du SSO,
• ce qui offre une connexion directe sans besoin de taper son mot de passe
quand l’utilisateur se trouve dans le réseau de l’entreprise
• des utilisateurs plus productifs qui pourront se connecter à plusieurs
applications avec la même connexion

11/01/2023 Ferdinand Tchadji, Enseignant-Chercheur 20

 Les applications intégrées à AAD : avantages
Pour les équipes internes informatiques
• une facilité d’administration des comptes et mots de passe
• le risque de fuite de mots de passe est réduit, donc plus de sécurité
• une gestion de l’identité centralisée au niveau d’Azure Active Directory
• la possibilité de durcir la sécurité en ajoutant des briques au niveau de
l’authentification,
• ècomme par exemple l’authentification à doubles facteurs
• è ou encore des conditions d’accès basées sur:
• l’emplacement des utilisateurs,
• leurs appareils,
• leur comportement,
11/01/2023 Ferdinand Tchadji, Enseignant-Chercheur 21
Examen:
EXPOSÉ NOTÉ

11/01/2023 Ferdinand TCHADJI, Ens-Chercheur 22

Projet de veille : Microsoft training
• https://azure.microsoft.com/fr-fr/free/students/
• https://learn.microsoft.com/fr-fr/training/
• https://learn.microsoft.com/fr-fr/training/modules/describe-core-
architectural-components-of-azure/1-introduction
• https://learn.microsoft.com/fr-fr/training/paths/describe-basic-
concepts-of-cybersecurity/
• https://learn.microsoft.com/fr-fr/
• https://learn.microsoft.com/fr-fr/training/modules/describe-basic-
cybersecurity-threats-attacks-mitigations/3-describe-threat-landscape

11/01/2023 Ferdinand TCHADJI, Ens-Chercheur 23

Réviser son cours est une marque de respect
pour vous-même …!

merci

11/01/2023 Ferdinand TCHADJI, Ens-Chercheur 24