Gérer les identités pour les environnements hybrides à forêt unique à l'aide de l'authentification locale

En quoi ce guide peut-il vous aider ?

Les utilisateurs en entreprise souhaitent pouvoir accéder aux applications résidant dans le cloud, et ce où qu'ils se trouvent et quel que soit l'appareil qu'ils utilisent. Toutefois, sans aucun mode d'authentification, c'est impossible. Le service informatique souhaite pouvoir donner aux utilisateurs la possibilité de s’authentifier auprès de ces applications du cloud, tout en ayant les moyens de contrôler en temps réel les utilisateurs autorisés à accéder à ces applications.

Ce guide fournit une conception normative et testée de l'intégration d'un annuaire local à un annuaire cloud pour permettre aux utilisateurs d'accéder facilement aux applications résidant dans le cloud de n'importe où et sur n'importe quel appareil. Grâce à l'authentification locale, c'est possible. Pour obtenir un exemple d’utilisation de l’authentification cloud, consultez Gérer les identités pour les environnements hybrides à forêt unique à l’aide de l’authentification cloud.

Contenu de ce guide :

• Scénario, énoncé du problème et objectifs

• Quelle est l'approche de conception et de planification recommandée pour cette solution ?

• Pourquoi recommandons-nous cette conception ?

• Quelles sont les principales étapes à suivre pour implémenter cette solution ?

Scénario, énoncé du problème et objectifs

Cette section décrit le scénario, l'énoncé du problème et les objectifs d'une organisation fictive.

Scénario

Votre organisation est une grande entreprise implantée dans le monde entier, notamment en Amérique du Nord et du Sud, en Europe et en Asie. Ses équipes de recherche et développement (R & D) se trouvent principalement en Amérique du Nord et en Europe. Elles développent les formules qui seront ensuite utilisées dans les unités de fabrication situées en majorité en Asie.

Toutes les équipes de R & D travaillent en étroite collaboration pour développer de nouvelles formules ou en améliorer d'existantes. Elles effectuent les mêmes tests standardisés sur leurs sites respectifs en Amérique du Nord et en Europe, puis elles mettent en commun leurs résultats. Ces résultats sont ensuite entérinés et utilisés pour développer de nouvelles formules. Les formules créées sont considérées comme des secrets commerciaux et sont brevetées. Au terme de ce processus, les formules sont envoyées aux unités de fabrication pour commencer la production.

Actuellement, quand un membre d'une équipe de R & D souhaite partager des résultats avec des collègues d'un autre site ou envoyer une formule à l'une des unités situées en Asie, il utilise le système de fichiers EFS (Encrypting File System) pour chiffrer les fichiers et les envoyer par courrier électronique. Le destinataire doit ensuite déchiffrer les fichiers.

Le processus actuel pose plusieurs problèmes pour votre organisation :

• Protection des données : les données envoyées par courrier électronique sont chiffrées, mais elles peuvent quand même être piratées par le biais d’Internet. Par ailleurs, de nombreux employés accèdent à leur messagerie à partir de leurs appareils personnels, sans garantie que ces appareils soient totalement sécurisés.

• Intégrité : le certificat EFS utilisé pour chiffrer les fichiers doit être exporté et envoyé au destinataire. Les utilisateurs envoient ce certificat par courrier électronique, avec le risque d'enfreindre l'intégrité du certificat.

• Confidentialité : le même certificat est souvent utilisé pour chiffrer les résultats des tests et les formules. Les employés travaillant dans les unités de fabrication ont donc la possibilité de déchiffrer ces résultats s'ils en reçoivent une copie par inadvertance.

Pour résoudre ces différents problèmes, votre organisation souhaite installer Office 365 SharePoint dans le cloud et l'utiliser comme portail pour le partage des résultats de tests et des formules. En revanche, votre organisation préfère utiliser son environnement Active Directory local comme fournisseur d'authentification, à la place de l'authentification cloud.

Énoncé du problème

Votre organisation utilise actuellement son fournisseur d'authentification Active Directory local, mais ce fournisseur ne peut pas authentifier les employés qui vont accéder aux nouveaux sites Office 365 SharePoint hébergés dans Azure.

Le problème global que votre organisation souhaite résoudre est le suivant :

En tant qu'architecte système ou administrateur informatique, comment pouvez-vous fournir aux utilisateurs une identité commune leur donnant accès à des ressources locales et cloud ? Comment gérer ces identités et synchroniser les informations entre plusieurs environnements sans utiliser trop de ressources informatiques ?

Pour fournir l'accès aux sites SharePoint de votre organisation, il est indispensable de pouvoir authentifier les employés avec un fournisseur d'authentification, à savoir l'instance locale d'Active Directory. De plus, votre organisation souhaite limiter l’accès uniquement aux équipes de R & D et aux employés en production qui ont besoin d’accéder aux sites. Pour le moment, ce sont les seules personnes qui doivent avoir accès aux sites.

Après avoir examiné les options possibles, vous avez choisi de tirer profit de votre instance existante des services AD FS (Active Directory Federation Services) pour utiliser l'authentification locale avec Azure. Votre organisation avait déjà configuré les services AD FS plusieurs années auparavant. Vous allez donc gagner du temps et de l'argent, car le personnel informatique est déjà familiarisé avec les services AD FS.

La direction a autorisé l'achat d'abonnements à Office 365 et à Azure. Les administrateurs d’Active Directory doivent maintenant configurer leur instance d’Azure AD et la fédérer avec l’instance locale d’Active Directory.

Les administrateurs d'Active Directory doivent être en mesure d'utiliser l'instance locale d'Active Directory pour remplir l'instance d'Azure AD. Cette opération doit pouvoir s'effectuer rapidement. Ensuite, les administrateurs d'Active Directory doivent fédérer l'instance locale d'Active Directory avec Azure AD. Par ailleurs, votre organisation souhaite fournir aux employés qui accéderont aux sites SharePoint une vraie expérience d’authentification unique et leur permettre d’accéder aux sites uniquement s’ils sont connectés au réseau d’entreprise. Votre organisation souhaite empêcher l'accès à ces sites à partir d'ordinateurs ou d'appareils externes. Votre organisation veut pouvoir désactiver rapidement tout utilisateur qui quitte la société afin qu'il ne puisse plus accéder au site SharePoint après la désactivation de son compte. Enfin, votre organisation veut pouvoir personnaliser la page de connexion pour informer les utilisateurs qu'ils se connectent à un site d'entreprise.

Objectifs de l'organisation

Votre organisation cherche à mettre en place une solution d'identité hybride qui répond aux objectifs suivants :

• Pouvoir gérer les identités dans l’annuaire local avec des identités dans le cloud.

• Pouvoir configurer rapidement la synchronisation avec l'annuaire de forêt unique local.

• Pouvoir fournir un annuaire d’authentification local.

• Pouvoir contrôler les comptes et les données à synchroniser avec le cloud.

• Pouvoir fournir l'authentification unique (SSO). Des alertes sont reçues en cas de dysfonctionnement de la synchronisation ou de l’authentification unique.

• Pouvoir limiter l'accès uniquement aux équipes de R & D et aux employés en production qui se connectent à partir d'un emplacement local sécurisé.

• Pouvoir immédiatement empêcher l'accès aux ressources cloud par un utilisateur qui quitte la société.

• Pouvoir nettoyer et gérer rapidement les systèmes d'identité locaux de manière à ce qu'ils puissent servir de source pour le cloud.

• Pouvoir personnaliser la page de connexion afin de lui donner une identité d'entreprise.

Quelle est l'approche de conception et de planification recommandée pour cette solution ?

Cette section décrit la conception de solution qui permet de répondre au problème énoncé dans la section précédente, puis recense les principales considérations de planification pour cette conception.

Avec Azure AD, votre organisation est en mesure d'intégrer l'instance locale d'Active Directory avec l'instance d'Azure AD. Cette instance servira ensuite à rediriger les utilisateurs vers la page de connexion AD FS où ils pourront obtenir le jeton nécessaire pour être présenté et authentifié dans Azure AD.

Le tableau suivant répertorie les éléments qui font partie de la conception de cette solution et décrit la raison de ce choix.

AD FS est une fonctionnalité de Windows Server 2012 R2 qui permet de fédérer votre instance locale d'Active Directory avec Azure AD. Grâce à cette fonctionnalité, les utilisateurs peuvent se connecter à leurs services Azure AD (par exemple, Office 365, Intune et CRM Online) via une expérience d'authentification unique. Les utilisateurs disposent ainsi d'une méthode d'authentification unique qui utilise votre instance locale d'Active Directory comme fournisseur d'authentification.

L'outil de correction des erreurs DirSync IdFix peut être utilisé pour découvrir et corriger des objets d'identité et leurs attributs dans un environnement Active Directory local en vue de la migration. Cela vous permet d'identifier rapidement les problèmes susceptibles de se produire lors de la synchronisation avant même son lancement. En tenant compte de ces informations, vous pouvez modifier votre environnement et éviter ces erreurs.

Pourquoi recommandons-nous cette conception ?

Cette conception est recommandée, car elle répond aux objectifs de votre organisation en matière de conception. Autrement dit, il existe deux moyens de fournir l'authentification aux ressources Azure : par le biais de l'authentification cloud ou via l'authentification locale avec un service STS.

Une des principales préoccupations de votre organisation est de pouvoir immédiatement désactiver l'accès aux ressources cloud pour tout utilisateur qui ne travaille plus dans la société. Entre l'utilisation de l'outil de synchronisation Azure Active Directory et l'authentification cloud, il peut y avoir un délai allant jusqu'à trois heures. Cela signifie que, si vous désactivez un compte d'utilisateur local, cette modification ne sera peut-être répercutée que trois heures après dans Azure. Cela ne sera pas le cas si l'utilisateur doit revenir dans l'environnement local pour s'authentifier. Si un compte d'utilisateur est désactivé en local, cet utilisateur ne recevra pas de jeton et il ne sera donc pas autorisé à accéder aux ressources cloud.

Votre organisation souhaite pouvoir fournir une authentification unique. Cela n'est possible que si vous fédérez votre instance locale d'Active Directory avec Azure AD.

La personnalisation de la page de connexion n’est possible qu’en utilisant AD FS et sa fonctionnalité de personnalisation.

Quelles sont les principales étapes à suivre pour implémenter cette solution ?

Suivez les étapes décrites dans cette section pour implémenter la solution. Assurez-vous de la réalisation correcte de chaque étape avant de passer à l'étape d'après.

1. Préparez l'authentification unique (SSO).

   Pour cela, assurez-vous que votre environnement présente la configuration requise pour l'authentification unique, et vérifiez qu'Active Directory et le client Azure AD sont configurés de manière appropriée par rapport à la configuration requise pour l'authentification unique. Pour plus d’informations, consultez Préparer l’authentification unique.

2. Configurez votre service d'émission de jeton de sécurité local AD FS.

   Après avoir préparé votre environnement pour l'authentification unique, vous devez configurer une nouvelle infrastructure AD FS locale qui fournira aux utilisateurs d'Active Directory locaux et distants un accès SSO au service cloud. Si vous avez déjà une infrastructure AD FS dans votre environnement de production, vous pouvez l'utiliser pour le déploiement de l'authentification unique plutôt que de configurer une nouvelle infrastructure (si cette option est prise en charge par Azure AD). Pour plus d’informations sur la façon de commencer à configurer un service STS AD FS, suivez les étapes fournies dans Liste de vérification : utiliser les services AD FS pour implémenter et gérer l’authentification unique.

3. Installez Windows PowerShell pour l'authentification unique avec AD FS.

   Le module Azure AD pour Windows PowerShell est disponible en téléchargement. Il permet de gérer les données de votre organisation dans Azure AD. Ce module installe un ensemble d'applets de commande dans Windows PowerShell que vous devez exécuter pour configurer l'accès par authentification unique à Azure AD, puis à chaque service cloud auquel vous vous êtes abonné. Pour plus d’informations, consultez Installer Windows PowerShell pour l’authentification unique avec AD FS.

4. Configurez une relation d'approbation entre AD FS et Azure AD.

   Vous devez établir une relation d'approbation entre Azure AD et votre Active Directory local. Chaque domaine que vous souhaitez fédérer doit avoir été ajouté en tant que domaine d’authentification unique ou converti en ce type de domaine. L'ajout ou la conversion d'un domaine configure une relation d'approbation entre AD FS et Azure AD. Pour plus d’informations, consultez Configurer une relation d’approbation entre AD FS et Azure AD.

5. Préparez la synchronisation d'annuaires.

   Vérifiez la configuration requise, créez les autorisations appropriées et tenez compte des performances. Pour plus d’informations, consultez Préparer la synchronisation d’annuaires. Une fois cette étape terminée, vérifiez que vous disposez d'une feuille de calcul indiquant les options de conception de solution que vous avez sélectionnées.

6. Activez la synchronisation d'annuaires.

   Activez la synchronisation d'annuaires pour votre entreprise. Pour plus d’informations, consultez Activer la synchronisation d’annuaires. Une fois cette étape terminée, vérifiez que les fonctionnalités sont configurées.

7. Configurez votre ordinateur de synchronisation d'annuaires.

   Installez l'outil de synchronisation Azure AD. Si vous avez déjà effectué cette opération, apprenez à le mettre à niveau, à le désinstaller ou à le déplacer vers un autre ordinateur. Pour plus d’informations, consultez Configurer votre ordinateur de synchronisation d’annuaires. Une fois cette étape terminée, vérifiez que les fonctionnalités sont configurées.

8. Synchronisez vos annuaires.

   Effectuez une première synchronisation et vérifiez que les données sont synchronisées. Vous découvrirez aussi comment configurer l'outil de synchronisation Azure AD pour mettre en place une synchronisation récurrente et comment forcer la synchronisation d'annuaires. Pour plus d’informations, consultez Utiliser l’Assistant Configuration pour synchroniser vos annuaires. Une fois cette étape terminée, vérifiez que les fonctionnalités sont configurées.

9. Activez les utilisateurs synchronisés.

   Vous devez activer les utilisateurs dans le portail Office 365 pour qu'ils puissent utiliser les services auxquels vous êtes abonné. Vous devez notamment leur assigner une licence d'utilisation d'Office 365. Vous pouvez procéder individuellement ou par lots. Pour plus d’informations, consultez Activer les utilisateurs synchronisés. Une fois cette étape terminée, vérifiez que les fonctionnalités sont configurées. Notez que cette étape est facultative et qu'elle est uniquement nécessaire si vous utilisez Office 365.

10. Vérifiez la solution.

    Une fois les utilisateurs synchronisés, testez la connexion à https://myapps.microsoft.com. Vous devez normalement être redirigé vers la page de connexion AD FS. Une fois que vous êtes connecté et que les services AD FS ont authentifié l'utilisateur, celui-ci est redirigé vers https://myapps.microsoft.com. Si vous avez des applications Office 365, celles-ci apparaissent ici. Un utilisateur standard peut s'y connecter sans avoir besoin d'un abonnement Azure.

Voir aussi