Nouvelles Chroniques d'Amethyste

Penser au Sens, pas au Verbe

Découverte de Windows Azure Active Directory (WAAD)

Poster un commentaire

Windows Active Directory (ADDS) est un service d’annuaire LDAP fournit par Microsoft. Il répertorie les comptes utilisateurs et de nombreuses autres ressources comme les dossiers partagés, les imprimantes ou les postes de travail. Les deux principaux services proposés sont l’identification et l’authentification centralisée sous Windows.

Windows AD n’est pas facile à utiliser pour les application déployées dans Windows Azure, d’autant plus que l’on est dans le monde du web qui n’est pas son élément naturel. D’où le développement de Windows Azure Active Directory (WAAD) qui permet à Active Directory de fonctionner sur le cloud.

Vous pouvez utiliser Azure AD comme un service cloud autonome ou bien y intégrer votre Active Directory on premises. Azure AD devient alors une extension sur le cloud de votre AD.

http://technet.microsoft.com/library/jj573653

Pour un panorama de diverses architecture fédérées:

https://amethyste16.wordpress.com/2014/11/25/lauthentification-federee-par-claims-les-grands-principes/

 

Si WAAD est déjà utilisé par Office 365 et Windows Intune, il est également ouvert aux développeurs qui peuvent ainsi proposer des fonctionnalités de SSO à leurs applications et même de l’authentification multi facteur. Il est proposé en deux versions

  1. la version gratuite
  2. la version payante dite Premium

Les caractéristiques de ces deux versions sont résumées ici:

http://azure.microsoft.com/fr-fr/pricing/details/active-directory/

Ou bien:

http://windowsitpro.com/identity-management/overview-microsoft-azure-active-directory-premium

Vu à grande échelle WAAD et Active Directory sont similaires, malgré des degrés de maturité différents. C’est dans les coulisses que les deux outils divergent le plus.

Le besoin n’est en fait pas tout à fait le même. Le monde d’Azure Directory c’est le Web qui n’a rien à voir avec l’univers policé des réseaux d’entreprise. C’est aussi des usages différents comme la délégation d’authentification vers des réseaux sociaux. Tout cela, WAAD le prend en compte.

Je reprends de la référence 4 l’idée de cette infographie qui montre les similarités et les différences entre les deux outils:

2014-08-20_16-38-56

WAAD est pour l’instant spécialisé dans une seule gamme de service: l’identité. Du point de vue développeur Azure AD est accessible via des API REST (Graph API).
Les deux services de bases d’Active Directory que sont l’authentification et l’autorisation sont supportés ainsi que la notion de groupes d’utilisateurs, mais attention, il n’y a pas de Group Policy.

 

La fédération d’identité, c’est à dire la capacité à gérer du SSO au-delà des frontières du réseau d’entreprise, est une fonctionnalité importante pour nombre d’applications Azure, en particulier les applications mobiles. Azure AD apporte évidemment un support.

Comme on le voit sur le schéma, Azure AD utilise une palette de protocoles très différentes d’Active Directory  et supporte en particulier OAuth. De plus Azure AD est proposé avec de nombreux fournisseurs de services SSO.

 

La majorité des organisations disposent déjà de leur propre Active Directory on premises. Il serai agréable de pouvoir se connecter à une application Azure depuis son login sans avoir à ouvrer le pare-feu, installer un nouveau serveur ou avoir des credentials spécifiques à l’application Azure.

On peut synchroniser un tenant Azure AD à un AD local à l’aide de DirSync:

http://windowsitpro.com/identity-management/building-your-identity-bridge-cloud

Si vous utilisez déjà Office 365, tout est déjà en place car Office 365 s’appuie sur Azure AD.

DirSync a la capacité d’effectuer une copie de l’annuaire local et la propager vers un tenant Azure Directory. Il se lance ensuite toutes les 3 heures pour pousser les modifications effectuées sur l’AD on premises vers l’AD Azure. Par contre, un utilisateur créé sur Azure AD ne sera pas synchronisé vers l’AD local.

Dans la plupart des cas, avec DirSync on a donc nul besoin d’utiliser Active Directory Federation Service (ADFS) pour prendre en charge le SSO.

On peut également trouver quelques outils tiers pour effectuer cette synchronisation. DirSync peut être téléchargé ici:

http://social.technet.microsoft.com/wiki/contents/articles/19098.dirsync-how-to-install-the-directory-sync-tool.aspx

 

Comment continuer?

  • Pour apprendre à créer un tenant WAAD, lisez l’article suivant:

https://amethyste16.wordpress.com/2014/08/19/provisionner-un-repertoire-azure-active-directory-waad/

  • Des exemples de code:

https://github.com/AzureADSamples

  • Mise en œuvre concrète d’une architecture fédérée:

https://amethyste16.wordpress.com/2014/11/25/lauthentification-federee-par-claims-les-grands-principes/

 Bibliographie

  1. Un article de démarrage
    http://technet.microsoft.com/en-us/library/jj573650.aspx
  2. Un tutoriel
    http://blogs.technet.com/b/keithmayer/archive/2013/04/09/step-by-step-provisioning-windows-azure-active-directory-free-for-production-use.aspx
  3. Plusieurs vidéos d’animation qui expliquent clairement ce qu’est WAAD
    http://channel9.msdn.com/Series/Windows-Azure-Active-Directory
  4. http://windowsitpro.com/identity-management/windows-azure-active-directory-vs-windows-server-active-directory
  5. ADFS
    http://searchwindowsserver.techtarget.com/tip/Active-Directory-Federation-Services
  6. DirSync
    http://redmondmag.com/articles/2014/04/22/dirsync-microsoft-azure.aspx
    http://searchwindowsserver.techtarget.com/tip/Windows-Azure-Active-Directory-steps-out-of-the-shadows

 

Publicités

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s