DirSync avec authentification unique

  • Article

Mise à jour : 25 juin 2015

S’applique à : Azure, Office 365, Power BI, Windows Intune

L’authentification unique, également appelée fédération d’identité, est un scénario d’intégration d’annuaires hybride de Azure Active Directory que vous pouvez implémenter lorsque vous souhaitez simplifier la capacité de votre utilisateur à accéder en toute transparence aux services cloud, tels que Office 365 ou Microsoft Intune, avec leurs informations d’identification d’entreprise Active Directory existantes. Si l'authentification unique n'est pas configurée, les utilisateurs doivent posséder des noms d'utilisateur et des mots de passe distincts pour se connecter à leur compte en ligne et à leur compte local.

Un STS rend possible la fédération d'identité et permet d'étendre la notion de centralisation (en ce qui concerne l'authentification, l'autorisation et l'authentification unique) aux applications et services web situés à divers endroits, y compris les réseaux de périmètre, les réseaux de partenaires et le cloud. Lorsque vous configurez un STS pour fournir l’accès à l’authentification unique avec un service cloud Microsoft, vous créez une approbation fédérée entre votre STS local et le domaine fédéré que vous avez spécifié dans votre client Azure AD.

Azure AD prend en charge les scénarios d'authentification unique qui utilisent l'un des services de jeton de sécurité suivants :

  • Active Directory Federation Services (AD FS)

  • Fournisseur d'identité Shibboleth

  • Fournisseurs d'identité tiers

Le diagramme suivant illustre l'interaction de votre service Active Directory local et de votre batterie de serveurs STS avec le système d'authentification Azure AD pour permettre l'accès à un ou plusieurs services cloud. Lorsque vous configurez l'authentification unique, vous établissez une approbation fédérée entre votre STS et le système d'authentification Azure AD. Les utilisateurs Active Directory locaux obtiennent des jetons d'authentification auprès de votre STS local, qui redirigent les requêtes des utilisateurs par le biais de l'approbation fédérée. Les utilisateurs peuvent ainsi accéder en toute transparence aux services cloud auxquels vous êtes abonné sans qu'il leur soit nécessaire de se connecter au moyen d'informations d'identification différentes.

Directory sync with single sign-on scenario

Avantages liés à l'implémentation de ce scénario

Il existe un avantage clair pour les utilisateurs lorsque vous implémentez l’authentification unique : il leur permet d’utiliser leurs informations d’identification d’entreprise pour accéder au service cloud auquel votre entreprise s’est abonnée. Les utilisateurs n’ont ni à se reconnecter ni à mémoriser plusieurs mots de passe.

Outre ce confort pour l’utilisateur, les avantages sont également nombreux pour les administrateurs :

  • Contrôle de stratégie : L’administrateur peut contrôler les stratégies de compte via Active Directory, ce qui permet à l’administrateur de gérer les stratégies de mot de passe, les restrictions de station de travail, les contrôles de verrouillage, etc. sans avoir à effectuer d’autres tâches dans le cloud.

  • Contrôle d’accès : L’administrateur peut restreindre l’accès au service cloud afin que les services soient accessibles via l’environnement d’entreprise, via des serveurs en ligne ou les deux.

  • Appels de support réduits : Les mots de passe oubliés sont une source courante d’appels de support dans toutes les entreprises. si les utilisateurs ont moins de mots de passe à mémoriser, ils sont moins susceptibles de les oublier.

  • Sécurité: Les identités et informations utilisateur sont protégées, car tous les serveurs et services utilisés dans l’authentification unique sont maîtres et contrôlés localement.

  • Prise en charge de l’authentification forte : Vous pouvez utiliser l’authentification forte (également appelée authentification à deux facteurs) avec le service cloud. Toutefois, si vous utilisez l’authentification forte, vous devez utiliser l’authentification unique. Plusieurs restrictions régissent l’utilisation de l’authentification forte. Si vous envisagez d’utiliser AD FS pour votre STS, consultez Configuration des options avancées pour AD FS 2.0 pour plus d’informations.

Impact de ce scénario sur l'authentification unique des utilisateurs dans le cloud

Lors de l'authentification unique, l'expérience d'un utilisateur varie en fonction de la connexion de son ordinateur au réseau de l'entreprise, du système d'exploitation qu'il utilise et de la façon dont l'administrateur a configuré l'interaction entre l'infrastructure STS et Azure AD.

La section suivante décrit le confort des utilisateurs en matière d’authentification unique depuis l’intérieur du réseau :

  • Ordinateur professionnel sur un réseau d’entreprise : lorsque les utilisateurs sont au travail et connectés au réseau d’entreprise, l’authentification unique leur permet d’accéder au service cloud sans se connecter à nouveau.

Si l'utilisateur se connecte en dehors du réseau de l'entreprise ou qu'il accède à des services à partir d'applications ou de périphériques particuliers, comme dans les situations suivantes, vous devez déployer un proxy STS. Si vous envisagez d’utiliser AD FS pour votre STS, consultez Liste de contrôle : Utilisez AD FS pour implémenter et gérer l’authentification unique pour plus d’informations sur la configuration d’un proxy AD FS.

  • Ordinateur professionnel, itinérance : Les utilisateurs connectés à des ordinateurs joints à un domaine avec leurs informations d’identification d’entreprise, mais qui ne sont pas connectés au réseau d’entreprise (par exemple, un ordinateur professionnel à la maison ou à un hôtel), peuvent accéder au service cloud.

  • Ordinateur personnel ou public : Lorsque l’utilisateur utilise un ordinateur qui n’est pas joint au domaine d’entreprise, l’utilisateur doit se connecter avec ses informations d’identification d’entreprise pour accéder au service cloud.

  • Téléphone intelligent : Sur un téléphone intelligent, pour accéder au service cloud tel que Microsoft Exchange Online à l’aide de Microsoft Exchange ActiveSync, l’utilisateur doit se connecter avec ses informations d’identification d’entreprise.

  • Microsoft Outlook ou d’autres clients de messagerie : l’utilisateur doit se connecter avec ses informations d’identification d’entreprise pour accéder à son e-mail s’il utilise Outlook ou un client de messagerie qui ne fait pas partie de Office; par exemple, un client IMAP ou POP.

    Si vous utilisez Shibboleth en tant que STS, assurez-vous d'installer l'extension Shibboleth Identity Provider ECP pour que l'authentification unique fonctionne avec un smartphone, Microsoft Outlook ou d'autres clients. Pour plus d’informations, consultez Configurer Shibboleth pour une utilisation avec l’authentification unique.

Vous êtes prêt à implémenter ce scénario dans votre organisation ?

Dans ce cas, nous vous recommandons de commencer par suivre les étapes fournies dans la feuille de route de l’authentification unique.

Voir aussi

Concepts

Intégration d’annuaires
Déterminer le scénario d’intégration d’annuaire à utiliser