Nouvelles Chroniques d'Amethyste

Penser au Sens, pas au Verbe

Gérer les ressources Azure au niveau utilisateur avec Azure AD

Poster un commentaire

J’ai déjà rédigé pas mal d’articles sur Azure AD qui reflètent mon parcours et mes découvertes du sujet. Je vais m’intéresser à l’utilisation pratique d’AAD.

Azure AD n’est certes pas une version Azure d’Active Directory Service, mais il en remplit quelque unes des fonctions. En particulier il propose des capacités d’identification et d’accès à des ressources destinées à des utilisateurs ou des applications qu’elles soient on premise ou pas.

C’est quelque chose que nous auront souvent besoin de faire. Même si beaucoup de services Azure supportent les accès via un jeton (SAS) la tendance est plutôt de tout gérer depuis Azure AD comme le font déjà les clouds des concurrents!

Dans cette première partie on va s’intéresser aux comptes utilisateurs.

Les utilisateurs

Types d’utilisateurs

AAD distingue 2 catégories d’utilisateurs:

  1. Directement créés dans Azure AD
    On les appelle Work or Student Accounts. Dans le temps on disait Compte Organisationnel, mais vous constaterez vite que les écrans du portail ne sont pas tous à jour!
    Vous constaterez aussi que décidément trouver des noms ce n’est pas le point fort de Microsoft. Je suis certain que Google ou Apple accepteraient de leur prêter un consultant un jour ou deux…Pour toute la suite je vais dire compte WSA car je suis un gros fainéant.
  2. Provenant d’un compte Microsoft comme Hotmail ou Outlook.

La différence est que les comptes Microsoft appartiennent à leur utilisateur tandis que les comptes WSA appartiennent à votre IT/société/organisation. Il peut en contrôler tous les aspects comme le mot de passe et le supprimer quand il veut ce qu’il ne pourrait évidemment faire avec votre compte MSN. Le compte Microsoft est lui géré par le propriétaire du compte.

L’adresse email d’un compte WSA est de la forme:

<utilisateur>@<organisation>.onmicrosoft.com

<organisation> est le nom du domaine de l’AD pour votre société. Un compte Microsoft garde son nom dans Azure AD.

Lors de la création d’un AD Azure lui affecte un nom DNS unique dans le domaine partagé onmicrosoft.com. Par exemple:

 

2016-10-02_18-39-57

 

Il est possible de proposer un nom personnalisé en cliquant sur ADD CUSTOM DOMAIN.

 

Une autre façon (fondamentale) de les distinguer est le logo dans les formulaires d’authentification:

2016-10-01_09-54-12

 

Cet article détaille un peu plus la différence entre les deux comptes:

http://www.brucebnews.com/2016/06/finding-your-way-through-microsofts-maze-of-work-and-personal-accounts/

 

Les options de création d’un compte

Le nouveau portail propose un menu Azure AD en prévisualisation depuis peu. Je n’ai pas trop eu le temps d’aller regarder alors je vais rester à l’ancien portail pour l’instant.

On sélectionne un AD ou on en créé un et on se rend dans l’onglet USER puis ADD:

2016-09-30_21-45-50

Le type d’utilisateur nous propose 4 choix en (1):

  1. New user in your organization
  2. User with an existing Microsoft Account
  3. User in another Microsoft Azure AD Directory
  4. Users in partner compagnies

 

La première option permet de créer un compte WSA. Vous devinez ce qui est attendu en (2).

 

L’apparence de l’écran change selon le choix effectué. Poursuivons donc notre exploration:

2016-09-30_21-55-48

Je pourrais ajouter amethyste16@hotmail.com par exemple.

2016-09-30_21-57-35

Les rôles sont des rôles Azure:

2016-09-30_21-58-38

https://azure.microsoft.com/fr-fr/documentation/articles/active-directory-assign-admin-roles/

 

Ce scénario est particulièrement intéressant. Imaginons que vous êtes la société X en plein rush sur un projet qui implique des partenaires comme Amethyste de la société Y.

Vous pouvez alors ajouter mon compte à votre AD en me donnant des droits exorbitants. Je peux ainsi accéder à toutes les ressources de votre compte Azure pour lesquelles je serai autorisé. Si un jour je quitte le projet, il vous suffit de supprimer mon compte de votre Azure AD, vous gardez la main.

Mais dans tous les cas c’est Y (son AD en fait) qui continue à gérer mon compte et en particulier l’authentification. Lorsque je m’authentifie pour accéder à des ressources de X, je m’authentifie auprès de l’AD de Y qui a établit un lien de confiance avec l’AD de X.

Si vous souhaitez avoir plus de détails sur le mécanisme, lisez ceci:

https://amethyste16.wordpress.com/2014/11/25/lauthentification-federee-par-claims-les-grands-principes/

Donc si un jour je quitte la compagnie Y, mon compte disparaîtra de son AD et je ne pourrais également plus accéder à vos ressources Azure sans que mon administrateur ai besoin de rappeler celui de la société X afin qu’elle supprime également mon compte de son AD.

 

Et pour terminer:

2016-09-30_21-59-48

Ce menu permet de charger dans l’AD une collection de comptes. Il n’apporte rien de nouveau par rapport aux cas précédents.

Démos

Création d’un compte

Nous allons créer un compte de chaque catégorie en commençant par un compte Microsoft.

2016-10-01_12-19-21

Le deuxième écran demande quelques informations au sujet de l’utilisateur:

2016-09-30_22-16-56

On valide et voilà!

2016-09-30_22-21-11

Regardez bien l’écran, le user name n’a pas changé et ne fait pas référence au domaine de l’AD.

 

Essayons maintenant de créer un compte WSA. Celui-ci peut être créé directement (ce que je vais faire) ou importé depuis un AD on premise ou Azure (ce que je ne ferai pas).

2016-10-01_12-20-51

L’écran suivant est identique. On termine sur celui-ci:

2016-10-01_12-23-01

On fait CREATE.

2016-10-01_12-23-51

Un mot de passe temporaire est créé, on le note ainsi que le login: superpresta@fmirouzehotmail.onmicrosoft.com

Et au final:

2016-10-01_12-26-36

 

Nous verrons dans la démo qui suit comment donner accès à des ressources Azure à ces comptes. En attendant vous devriez pouvoir vous connecter au portail Azure avec chaque compte.

 

  • Avec le compte WSA il vous sera demandé de modifier le mot de passe temporaire
  • La connexion avec le compte Microsoft s’effectue avec les credentials du comptes, Azure AD ne les gère pas.
    Le compte n’a pas besoin non plus de disposer d’une souscription Azure. Mais dans l’immédiat il aura accès uniquement à la doc.

 

Je recommande la lecture de ces deux articles:

https://azure.microsoft.com/en-us/documentation/articles/active-directory-create-users/

https://blogs.technet.microsoft.com/enterprisemobility/2014/03/25/cloud-based-identity-and-access-management-for-every-user-on-every-device/

 

Associer un compte à des ressources

On en sait suffisamment pour tester le scénario suivant très fréquent:

  • Je créée un groupe de ressource (RG) pour un projet
  • J’ajoute dans mon AD un compte pour une personne, un freelance par exemple
  • Je lui donne des droits pour travailler sur le RG qui est dans ma souscription

On va se servir des comptes créés précédemment. Il n’existe aucune différence entre un compte WSA et un compte Microsoft.

Je commence par créer un groupe de ressources DemoAmethyste.

2016-10-01_12-33-41

Je vais donner les droits d’accès à cette ressource aux comptes créés précédemment. Pour cela on se rend dans le menu IAM (Identity + Access Management):

 

2016-09-30_22-33-31

 

Je sélectionne ADD pour ajouter un utilisateur. On demande de sélectionner le rôle d’abord:

 

2016-10-01_12-36-06

Choisissons Owner pour SuperPresta, mais si on avait créé des ressources sur ce RG on pourrait sélectionner d’autres options.

 

2016-10-01_12-37-48

 

Le portail affiche la liste de tous les comptes Azure AD, nous allons sélectionner SuperPresta. On fait SELECT puis OK. On pourrait également ajouter un compte invité en cliquant sur le bouton INVITE. On peut choisir un compte Microsoft, il sera ajouté dans l’AD.

 

On recommence avec le compte Frédo, mais lui sera Reader.

2016-10-01_12-44-55

 

Si je déroule les options je peux voir une liste de rôles possibles:

 

2016-10-01_12-47-51

On peut ainsi limiter les droits à des ressources en particulier. Un compte pourrait ainsi cumuler plusieurs rôles:

 

2016-10-01_12-49-50

Et si on déplie:

2016-10-01_20-40-14

 

Si vous souhaitez voir les détails, recliquez sur le compte puis le rôle qui vous intéresse:

2016-10-01_12-50-59

Sélectionnez une permission:

2016-10-01_12-53-13

Puis un type de ressource:

 

2016-10-01_12-54-54

 

Un tooltip donne des précisions sur chaque permission.

 

J’aurai aimé pouvoir choisir des comptes dans n’importe quel AD de mon abonnement, mais apparemment ce n’est pas possible. Pas réussi à trouver comment faire.

 

Essayons de nous connecter avec le compte Super Presta (moi 🙂 ).

On créée une Web Apps:

2016-10-01_21-03-50

Vous vérifierez que vous ne pouvez pas créer de nouveaux groupe de ressource et que DemoAmethyste est le seul RG auquel vous avez accès.

Connectons nous avec le compte Frédo cette fois qui est juste Reader.

2016-10-01_21-09-03

On voit apparaître le site puisque l’on a accès au RG.

On est Reader on peut voir tous les paramètres, mais pas les modifier.

2016-10-01_21-12-10

 

Voilà pour les comptes utilisateur.

Publicités

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s