Evaluation de Enterprise Mobility + Security. Seconde partie : mise en service de la plateforme Azure AD Connect

Voici le second article de la série dédiée à la suite EMS (Enterprise Mobility + Security). L’article précédent était dédié à la procédure de mise en place d’un abonnement d’évaluation, nous allons à présent continuer la mise en place de notre environnement avec pour objectif la gestion des identités dont le rôle est prépondérant dès lors que l’on parle de mobilité et de sécurité. Pour cela, l’étape obligatoire consiste à mettre en place AZURE AD Connect, permettant de faire le lien entre les identités d’entreprise et les identités cloud.

AZURE AD Connect est le successeur des différentes versions de DIRSYNC, partenaire historique des offres OnLine de Microsoft depuis 2009. Son rôle est de fournir des mécanismes d’approvisionnement des comptes d’utilisateurs dans le cloud, et en particulier d’établir des règles de provisionnement basées sur les identités d’entreprise. Conçu au départ pour des simples opérations d’approvisionnement de comptes d’utilisateurs pour les offres OnLine, l’outil s’est enrichi de multiples fonctionnalités relatives à la gestion des identités (SSO, synchronisation de comptes, synchronisation de mots de passe …)que nous allons à présent explorer.

AZURE AD Connect en mode Simple Sign On

Oui, vous avez bien lu : Simple Sign On et non pas Single Sign On. Dans son scénario le plus simple, AZURE AD Connect permet de faire du Simple Sign On, c’est-à-dire de restituer aux utilisateurs une expérience d’ouverture de session simplifiée dès lors qu’il est question d’accéder à des services OnLine comme EMS, AZURE ou Office 365 (mais pas que, comme nous verrons plus tard …)

A la différence du Single Sign On (SSO) qui se caractérise par un point d’authentification unique, le Simple Sign On se contente d’établir des règles de synchronisation entre les identités d’entreprise et les indentés correspondantes dans le cloud, de sorte que les utilisateurs n’aient pas à se préoccuper de retenir différents identifiants et différents mots de passe. L’annuaire d’entreprise On Premise sert de référentiel pour l’approvisionnement des comptes d’utilisateurs dans l’annuaire AZURE AD.

Dans son mode de fonctionnement le plus simple, AZURE AD Connect va permettre de peupler AZURE AD sur la base des données de l’annuaire d’entreprise (Active Directory), il sait traiter les attributs LDAP propres à la gestion des identités de même que les Hash de mots de passe, cette synchronisation étant maintenue après la création initiale. La mise en place de ce scénario permet donc de dupliquer les identités d’entreprise dans le Cloud, apportant aux utilisateurs la possibilité d’utiliser leurs identifiants d’entreprise (login / mot de passe) pour accéder à l’ensemble des services pris en charge par la plateforme AZURE AD.

D’un regard informatique, le Simple Sign On permet d’offrir à moindre cout un scénario d’authentification simple et tout à fait fonctionnel :

  • Seul le composant AZURE AD Connect est à déployer
  • La synchronisation des comptes se fait par défaut toutes les 30 minutes
  • Les hash de mots de passe sont transmis et stockés de façon sécurisées dans l’annuaire AZURE AD
  • L’expérience utilisateur est satisfaisante

Voici à quoi ressemble une installation AZURE AD Connect en mode Simple Sign On

L’outil AZURE AD Connect fait régulièrement l’objet d’améliorations. La version actuelle datée du 12 Décembre 2016 est estampillée du numéro de version 1.1.371.0, elle est disponible sur la page https://www.microsoft.com/en-us/download/details.aspx?id=47594

AZURE AD Connect – Déploiement en mode Express

La procédure de mise en œuvre d’AZURE AD Connect en mode Simple Sign On est très simple. L’installation du mode Express vous demandera de cliquer 4 fois sur Next et une fois sur Install.

Ce mode Express va droit au but et ne pourra raisonnablement satisfaire que les petites entreprises dont le seul besoin est de synchroniser l’ensemble des identités d’entreprise dans le cloud.

Le mode Express traite :

  • L’installation d’une base de données locale utilisant le moteur SQL Express 2012
  • La synchronisation de l’ensemble des comptes d’utilisateurs du domaine
  • La synchronisation des hash de mots de passe

Voici ce qui vous attend si vous envisagez le déploiement d‘AZURE AD CONNECT en mode Express :




AZURE AD Connect – Déploiement en mode Customize

Même si le mode Express peut convenir aux situations les plus simples, nous lui préférerons le mode Customize, plus en adéquation avec une réelle problématique de gestion d’identités dans les entreprises.

Pour accéder au mode Customize, il suffit de cliquer sur Customize en lieu et place de Use Express Settings sur la deuxième page de l’assistant.

Nous allons mettre en place le mode Simple Sign On en utilisant le mode Customize et regarder les différentes options apportées par ce choix :


Ce choix nous offre des options d’installation personnalisées :

 

 

 

 

 

Specify a custom installation location Emplacement du logiciel AZURE AD Connect
Use an existing SQL Server Permet d’utiliser une instance de base de données existante
Use an existing service account  Par défaut, Azure AD Connect créé un compte de service local utilisé par le service de synchronization. Le mot de passe du compte est généré automatiquement et n’est pas affiché durant l’installation. Dans le cas de l’utilisation d’une instance de base de données SQL Server existante, il est nécessaire de connaitre le compte de service ainsi que le mot de passe
Specify custom sync groups  Par défaut, l’installation de Azure AD Connect crée quatre groupes locaux. Ces groupes sont: ADSyncAdmins, ADSyncOperators, ADSyncBrowse et ADSyncPasswordSet. Ce choix permet de spécifier des noms de groupes personalisés

Vient ensuite le choix du mode d’intégration entre l’annuaire d’entreprise (Active Directory) et l’annuaire AZURE AD. Notons qu’il sera possible de revenir sur ce choix après installation, AZURE AD Connect offrant la possibilité de changer de mode d’intégration sans avoir à réinstaller le produit. Nous verrons cela à la fin de cet article.

Password Synchronization Il s’agit du mode Simple Sign On mis en place par le mode Express. Les comptes d’utilisateurs sont créés dans l’annuaire AZURE AD avec synchronisation des hash de mots de passe
Pass-through authentication Pass-through authentication (PTA) est une nouvelle option de l’outil AZURE AD Connect. Cette option apparue début Décembre 2016 est toujours en Preview, ce qui signifie qu’elle est en cours de finalisation. Elle permet de faire du Single Sign On sans aucune complexité de mise en œuvre (par rapport à la solution de fédération) et devrait connaitre à mon avis un succès rapide.
Federation with AD FS Il s’agit du mode d’intégration fédéré permettant d’obtenir du Single Sign On basé sur l’utilisation de SAML 2.0, Oauth et OpenID Connect

. Ce mode requiert un serveur de fédération (AD FS) ainsi qu’un dispositif permettant sa publication sécurisée sur Internet. Assez complexe à mettre en œuvre, il reste le seul à permettre l’authentification multifacteur avec des cartes à puce comme je l’avais décrit sur cet article
Do not configure Les comptes d’utilisateurs sont simplement provisionés
Enable Single signon Cette option est disponible lorsque Password Synchronization ou Pass-through authentication ont été préalablement choisis. Enable Single signon permet de faire du SSO entre le réseau d’entreprise et AZURE AD. Lorsque les utilisateurs se trouvent sur le réseau d’entreprise, ils sont automatiquement authentifiés lorsqu’ils accèdent à un service reposant sur AZURE AD

Il est ensuite nécessaire de fournir les identifiants d’un compte disposant du privilège Global Administrator. Ce compte est utilisé pour créer un compte de service dans AZURE AD
et n’est pas utilisé par la suite.

Il est ensuite nécessaire de fournir les identifiants d’un compte Administrateur sur l’annuaire d’entreprise. Active Directory est utilisé par défaut lorsque AZURE AD Connect est installé sur un serveur membre du domaine, mais les annuaires LDAP sont également supportés (Open LDAP, Novell …).

Les identifiants fournis sont stockés dans la base de données AZURE AD Connect, dans un contexte de production, il sera important de traiter ce point et de créer un compte de service dédié. Les autorisations à déléguer au compte utilisé dépendent des fonctionnalités mises en œuvre, et sont décrites sur cette page

La page suivante permet de choisir l’attribut utilisé pour l’ouverture de session utilisateur dans AZURE AD. La valeur par défaut utilise l’attribut UserPrincipalName des objets utilisateurs de l’annuaire d’entreprise, et ce choix semble assez pertinent puisque cet attribut est par nature unique au sein d’une même forêt Active Directory. Notons que cette même page affiche pour chaque suffixe UPN local (déclaré dans la forêt Active Directory) le statut à l’égard de l’instance AZURE AD, il faut que les comptes d’utilisateurs synchronisés dans AZURE AD disposent d’un UPN dont le nom de domaine est déclaré dans l’instance AZURE AD et l’assistant d’installation vous informe sur ce point.

La page suivante permet de séléctionner les unités organisationnelles que l’on souhaite synchroniser avec AZURE AD.

Il reste à déterminer de quelle façon les utilisateurs doivent être identifiés dans l’annuaire d’entreprise. Le choix par défaut couvre une très large majorité des besoins en partant du principe qu’un utilisateur n’est défini qu’une seule fois et en utilisant un attribut unique par nature (objectGUID) comme identifiant de synchronisation.

Bien entendu ce choix par défaut ne convient pas forcément à toutes les situations, mais l’assistant permet de choisir d’autres méthodes d’identification.

Il est possible de filtrer les objets synchronisés en fonction de l’appartenance à un groupe. Cette fonctionnalité est destinée à procéder à des tests sur un panel restreint d’objets, les objets en question doivent être membres directs du groupe cité, les appartenances indirectes (groupes imbriqués) ne sont pas prises en compte.

La dernière page permet de choisir les fonctionnalité optionnelles. Dans notre cas, seule l’option de synchronisation des mots de passe est séléctionnée car il s’agit du scénario que nous avons choisi

Exchange Hybrid Deployment  Cette option est destinée aux déploiments de Microsoft Exchange en mode hybride. Ce mode de déploiement permet la co-existence de boites aux lettres en interne (on premise) et sur la plateforme Office 365 (Cloud). Si cette option est choisie, Azure AD Connect synchronise certains attributs liés à la messagerie de Azure AD vers Active Directory. Voir sur cette page les détails de Exchange hybrid writeback
Azure AD App and attribute filtering  Cette option de syncronisation des comptes d’utilisateurs permet de filtrer les attributs LDAP exposés aux applications liées à AZURE AD
Password Synchronization  Synchronise les hash de mots de passe
Password Writeback  Permet l’utiisation de la fonctionnalité Self Service Password Reset (réinitialisation du mot de passe par l’utilisateur). Les mots de passe réinitialisés sont écrits de façon différée sur l’annuaire Active Directory
Group Writeback  Cette option permet de créer dans l’annuaire d’entreprise les groupes Office 365. Cette option nécessite une instance de Microsoft Exchange dans l’annuaire Active Directory
Device Writeback  Les équipements de type BYOD (Windows, IOS, Android …) peuvent être joints à l’annuaire AZURE AD et reconnus en tant que périphériques de confiance. La fonctionnalité Device Writeback permet de créer ces équipements dans l’annuaire Active Directory et de leur affecter des règles d’accès conditionnelles
Directory extension attribute sync  Cette option permet d’étendre le schéma AZURE AD de sorte qu’il prenne en compte les éventuelles extensions de schéma faites sur l’annuaire d’entreprise et qu’il soit possible de synchroniser les attributs ainsi ajoutés.

Voila pour la partie configuration. Il ne reste qu’a cliquer Install et laisser AZURE AD connect peupler notre instance AZURE AD

Après quelques instants, les utilisateurs entrant dans le périmètre AZURE AD Connect vont être créés. Ils apparaitront en tant qu’objets Synced with Active Directory dans le portail Office 365 et pourront être utilisés
en mode Simple Sign On grâce à la fonctionnalité Password Synchronization que nous avons choisie.

AZURE AD Connect – Changement du mode d’intégration

Après avoir configuré AZURE AD Connect dans un mode d’intégration initial, il peut être souhaitable de revenir sur ce choix sans avoir à réinstaller le produit. Ceci peut être effectué via AZURE AD Connect, accessible par un raccourci posé sur le bureau lors de l’installation.

Si vous avez supprimé ce raccourci, vous trouverez son exécutable dans C:\Program Files\Microsoft Azure Active Directory Connect\AzureAdConnect.Exe

Lorsqu’il est invoqué, AZURE AD Connect vous notifie de l’interruption de la synchronisation durant la phase de reconfiguration :

L’outil permet les options suivantes :

View current configuration  Permet d’afficher la configuration courante. Très utile lorsque l’on arrive sur une installation non documentée
Customize synchronization options  Permet de modifier le périmètre de synchronisation (domaines, OUs …) ainsi que les options (Password Writeback, Group WriteBack, Device WriteBack …)
Refresh directory schema  Permet d’ajouter au schéma AZURE AD des extensions de schéma faites après l’installation de AZURE AD Connect (changement de version Active Directory, ajout d’une organisation Exchange …)
Configure staging mode Permet de configurer AZURE AD Connect en mode Staging. Ce mode est utilisé dans les phases de design et d’analyse, ou dans un contexte de Haute Disponibilité. Il ne procède pas à aux opérations de synchronisation mais permet de modéliser le comportement obtenu par le choix d’un scénario. L’utilisation du mode Staging est décrit sur cette page
Change user sign-in Permet de modifier le mode d’intégration entre l’annuaire d’entreprise et AZURE AD (Password Synchronization, Pass-Through Authentication, Federation with ADFS …)

Voilà qui clôt ce deuxième article sur EMS. Nous disposons à présent :

  • D’un abonnement EMS opérationnel lié à un abonnement Azure et enrichi des fonctionnalités d’Office 365.
  • D’une plateforme AZURE AD Connect fonctionnant en Simple Sign On.
  • D’un ensemble d’identités synchronisées dans le cloud (AZURE AD)

Le prochain article sera consacré à l’expérience utilisateur dans les scénarios Simple Sign On et Single Sign on

Publicités
Cet article, publié dans Active Directory, ADFS, Authentification, AZURE, EMS, fédération, MFA, multi facteur, Office 365, est tagué , , , , , , , , , , . Ajoutez ce permalien à vos favoris.

2 commentaires pour Evaluation de Enterprise Mobility + Security. Seconde partie : mise en service de la plateforme Azure AD Connect

  1. Ping : Evaluation de Enterprise Mobility + Security. Quatrième partie : l’expérience utilisateur SSO avec AZURE AD Join | Antoine DENTAN

  2. Ping : Evaluation de Enterprise Mobility + Security. Cinquième partie : La réinitialisation des mots de passe en libre-service | Antoine DENTAN

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s