Gérer les identités pour les environnements hybrides à forêt unique à l'aide de l'authentification cloud

  • Article

 

En quoi ce guide peut-il vous aider ?

Les utilisateurs en entreprise souhaitent pouvoir accéder aux applications résidant dans le cloud, et ce où qu'ils se trouvent et quel que soit l'appareil qu'ils utilisent. Toutefois, sans aucun mode d'authentification, c'est impossible.

Ce guide fournit une conception normative et testée de l'intégration d'un annuaire local à un annuaire cloud pour permettre aux utilisateurs d'accéder facilement aux applications résidant dans le cloud de n'importe où et sur n'importe quel appareil. Cet accès est réalisé à l'aide de l'authentification cloud. Pour obtenir un exemple d’utilisation de l’authentification locale, consultez Gérer les identités pour les environnements hybrides à forêt unique à l’aide de l’authentification locale.

Problème d'authentification dans le cloud

Contenu de ce guide :

  • Scénario, énoncé du problème et objectifs

  • Quelle est l'approche de conception et de planification recommandée pour cette solution ?

  • Pourquoi recommandons-nous cette conception ?

  • Quelles sont les principales étapes à suivre pour implémenter cette solution ?

Scénario, énoncé du problème et objectifs

Cette section décrit le scénario, l'énoncé du problème et les objectifs d'une organisation utilisés comme exemples dans ce guide.

Scénario

Votre organisation est une entreprise de taille moyenne. Ses commerciaux se déplacent dans le monde entier. Quand ils réalisent une vente, ils doivent normalement accéder à un ordinateur appartenant au réseau d'entreprise, à partir d'un hub ou via un VPN, puis enregistrer cette vente dans une application personnalisée qui s'exécute sur le réseau d'entreprise.

Comme ces ventes ne sont pas toujours enregistrées en temps réel, la gestion des inventaires est devenue difficile, ce qui a donné lieu à des commandes en souffrance et en retard. En outre, les commerciaux se plaignent souvent qu'ils ne peuvent pas accéder au réseau d'entreprise quand ils se trouvent chez leurs clients. Ils souhaitent aussi pouvoir entrer les informations en utilisant leurs propres tablettes ou smartphones.

Les développeurs de votre entreprise viennent de développer une nouvelle application de gestion des relations avec la clientèle (CRM). Avec cette application, les commerciaux en déplacement pourront plus facilement envoyer leurs commandes à partir de n'importe quel appareil ayant un accès à Internet.

Votre organisation a choisi d'héberger cette application dans le cloud. Chaque commercial pourra donc enregistrer la vente qu'il vient de réaliser directement à partir de sa tablette ou de son smartphone, sans avoir besoin de se connecter d'abord au réseau d'entreprise. Votre organisation prévoit que ce changement va considérablement améliorer la gestion des inventaires.

Énoncé du problème

Votre organisation a choisi d'héberger la nouvelle application dans Microsoft Azure. Toutefois, elle n'a pas de fournisseur d'authentification en mesure d'authentifier les commerciaux qui accéderont à la nouvelle application hébergée dans Azure.

Le problème global que vous voulez résoudre est le suivant :

En tant qu'architecte système ou administrateur informatique, comment pouvez-vous fournir aux utilisateurs une identité commune leur donnant accès à des ressources locales et cloud ? Comment gérer ces identités et synchroniser les informations entre plusieurs environnements sans utiliser trop de ressources informatiques ?

Pour fournir l'accès à cette application, il est indispensable de pouvoir authentifier les commerciaux avec un fournisseur d'authentification. Votre organisation souhaite limiter l'accès à l'application CRM aux commerciaux uniquement, car ce sont actuellement les seuls employés qui ont besoin de cet accès.

Après avoir examiné les options possibles, elle a choisi d'autoriser l'authentification cloud auprès d'une instance d'Azure AD. Votre organisation a déterminé que cette option sera moins coûteuse et plus facile à configurer, car elle n'utilise actuellement aucune instance locale des services AD FS (Active Directory Federation Services). De plus, les commerciaux se déplaçant partout dans le monde, l'authentification cloud leur fournira une meilleure expérience de connexion, en particulier dans les zones à faible bande passante. Votre organisation s'inquiète des ressources nécessaires pour gérer ces identités. Il n'y a qu'un seul administrateur d'Active Directory, et il doit pouvoir configurer et implémenter cette solution rapidement.

Les développeurs de votre organisation ont ajouté le code à cet effet. Les administrateurs d'Active Directory doivent maintenant configurer leur instance d'Azure AD. L'administrateur d'Active Directory doit être en mesure d'utiliser l'instance locale d'Active Directory pour remplir l'instance d'Azure AD. Il doit pouvoir effectuer cette opération rapidement, car il n'a pas le temps de nettoyer son environnement Active Directory actuel ni de recréer chaque compte d'utilisateur dans Azure. De plus, votre organisation souhaite que les commerciaux puissent conserver le même mot de passe que celui qu'ils utilisent pour se connecter au réseau d'entreprise, pour leur éviter d'avoir à mémoriser plusieurs mots de passe.

Objectifs de l'organisation

Votre organisation cherche à mettre en place une solution d'identité hybride qui répond aux objectifs suivants :

  • Pouvoir gérer les identités dans l'annuaire local et dans le cloud.

  • Pouvoir configurer rapidement la synchronisation avec l'annuaire de forêt unique local.

  • Pouvoir proposer un fournisseur d'authentification cloud.

  • Pouvoir configurer rapidement la synchronisation avec son annuaire local.

  • Pouvoir contrôler les comptes et les données à synchroniser avec le cloud.

  • Pouvoir fournir la même expérience de connexion sécurisée que l'actuelle.

  • Pouvoir nettoyer et gérer rapidement les systèmes d'identité locaux de manière à ce qu'ils puissent servir de source pour le cloud.

Quelle est l'approche de conception et de planification recommandée pour cette solution ?

Cette section décrit la conception de solution qui permet de répondre au problème énoncé dans la section précédente, puis recense les principales considérations de planification pour cette conception.

Avec Azure AD, votre organisation est en mesure d'intégrer l'instance locale d'Active Directory avec l'instance d'Azure AD. Cette instance sera ensuite utilisée pour fournir une authentification cloud, comme illustré dans le schéma suivant.

Solution d'authentification dans le cloud

Le tableau suivant répertorie les éléments qui font partie de la conception de cette solution et décrit la raison de chaque choix de conception.

Élément de conception de la solution

Pourquoi est-il inclus dans cette solution ?

Outil de synchronisation Azure Active Directory

Permet de synchroniser les objets d'annuaire locaux avec Azure AD. Pour une vue d’ensemble de cette technologie, consultez Feuille de route pour la synchronisation d’annuaire.

Synchronisation de mot de passe

Fonctionnalité de l'outil de synchronisation Microsoft Azure Active Directory qui synchronise les mots de passe des utilisateurs entre votre instance locale d'Active Directory et Azure AD. Pour une vue d’ensemble de cette technologie, consultez Implémenter la synchronisation de mot de passe.

Outil de correction des erreurs DirSync IdFix

Permet aux clients d'identifier et de résoudre la plupart des erreurs de synchronisation d'objets dans les forêts Active Directory correspondantes. Pour une vue d’ensemble de cette technologie, consultez Outil de correction des erreurs DirSync IdFix.

La synchronisation de mot de passe est une fonctionnalité de l'outil de synchronisation Azure Active Directory qui synchronise les mots de passe des utilisateurs entre votre instance locale d'Active Directory et Azure AD. Grâce à cette fonctionnalité, les utilisateurs peuvent se connecter à leurs services Azure AD (par exemple, Office 365, Intune et CRM Online) avec le même mot de passe que celui qu'ils utilisent pour se connecter à votre réseau local. Les utilisateurs profitent ainsi de la même expérience de connexion sécurisée que pour accéder au réseau d'entreprise.

L'outil de correction des erreurs DirSync IdFix peut être utilisé pour découvrir et corriger des objets d'identité et leurs attributs dans un environnement Active Directory local en vue de la migration. Cela vous permet d'identifier rapidement les problèmes susceptibles de se produire lors de la synchronisation avant même son lancement. En tenant compte de ces informations, vous pouvez modifier votre environnement et éviter ces erreurs.

Pourquoi recommandons-nous cette conception ?

Cette conception est recommandée, car elle répond aux objectifs de votre organisation en matière de conception. Autrement dit, il existe deux moyens de fournir l'authentification aux ressources Azure : par le biais de l'authentification cloud ou via l'authentification locale avec un service STS (Security Token Service).

Le premier objectif de conception de votre organisation est de pouvoir configurer rapidement la synchronisation avec son instance locale d'Active Directory. Cette conception constitue le moyen le plus rapide de synchroniser votre instance locale d'Active Directory avec Azure AD.

L'autre objectif de votre organisation est de pouvoir fournir la même expérience de connexion sécurisée que l'actuelle. Avec cette conception, les utilisateurs pourront se connecter avec leurs nom d'utilisateur et mot de passe actuels, sans aucune différence.

Quelles sont les principales étapes à suivre pour implémenter cette solution ?

Suivez les étapes décrites dans cette section pour implémenter la solution. Assurez-vous de la réalisation correcte de chaque étape avant de passer à l'étape d'après.

  1. Préparez la synchronisation d'annuaires.

    Vérifiez la configuration requise, créez les autorisations appropriées et tenez compte des performances. Pour plus d’informations, consultez Préparer la synchronisation d’annuaires. Une fois cette étape terminée, vérifiez que vous disposez d'une feuille de calcul indiquant les options de conception de solution que vous avez sélectionnées.

  2. Activez la synchronisation d'annuaires.

    Activez la synchronisation d'annuaires pour votre entreprise. Pour plus d’informations, consultez Activer la synchronisation d’annuaires. Une fois cette étape terminée, vérifiez que les fonctionnalités sont configurées.

  3. Configurez votre ordinateur de synchronisation d'annuaires.

    Installez l'outil de synchronisation Windows Azure AD. Si vous avez déjà effectué cette opération, apprenez à le mettre à niveau, à le désinstaller ou à le déplacer vers un autre ordinateur. Pour plus d’informations, consultez Configurer votre ordinateur de synchronisation d’annuaires. Une fois cette étape terminée, vérifiez que les fonctionnalités sont configurées.

  4. Synchronisez vos annuaires.

    Effectuez une première synchronisation et vérifiez que les données sont synchronisées. Vous découvrirez aussi comment configurer l'outil de synchronisation Azure AD pour mettre en place une synchronisation récurrente et comment forcer la synchronisation d'annuaires. Pour plus d’informations, consultez Utiliser l’Assistant Configuration pour synchroniser vos annuaires. Une fois cette étape terminée, vérifiez que les fonctionnalités sont configurées.

  5. Activez les utilisateurs synchronisés.

    Vous devez activer les utilisateurs dans le portail Office 365 pour qu'ils puissent utiliser les services auxquels vous êtes abonné. Vous devez notamment leur assigner une licence d'utilisation d'Office 365. Vous pouvez procéder individuellement ou par lots. Pour plus d’informations, consultez Activer les utilisateurs synchronisés. Une fois cette étape terminée, vérifiez que les fonctionnalités sont configurées. Notez que cette étape est facultative et qu'elle est uniquement nécessaire si vous utilisez Office 365.

  6. Vérifiez la solution.

    Une fois les utilisateurs synchronisés, testez la connexion à https://myapps.microsoft.com. Si vous avez des applications Office 365, celles-ci apparaissent ici. Un utilisateur standard peut s'y connecter sans avoir besoin d'un abonnement Azure.

Voir aussi

Type de contenu

Références

Évaluation/prise en main

Guide de laboratoire de test : création d’un environnement Microsoft Azure AD et Windows Server AD à l’aide de DirSync avec synchronisation de mot de passe

Guide de laboratoire de test : création d’un environnement Microsoft Azure AD et Windows Server AD à l’aide de la fédération (SSO)

Planification et conception

Guide de conception AD FS dans Windows Server 2012

Intégration d’annuaire

Déploiement

Guide de déploiement des services AD FS Windows Server 2012 R2

Feuille de route pour la synchronisation d'annuaire

Feuille de route pour l’authentification unique

Opérations

Opérations AD FS

Prise en charge

Résoudre les problèmes de synchronisation d’annuaires

Forum Forefront Identity Manager

Forums Microsoft Azure

Référence

Liste de vérification : utiliser les services AD FS pour implémenter et gérer l’authentification unique

Déterminer le scénario d’intégration d’annuaire à utiliser

Ressources de la communauté

Identité de cloud

Solutions connexes

Gérer les appareils mobiles et les PC en effectuant une migration vers Configuration Manager avec Windows Intune

Technologies connexes

Azure

Forefront Identity Manager 2010 R2

Services de fédération Active Directory