ADFS vs. Azure AD: comment Microsoft a changé le jeu d’authentification

0 Comments

Addled par ADFS? Perplexe par la synchronisation de hachage de mot de passe? Perplexe passer par l’authentification? Explorons comment Azure AD laisse de côté l’authentification sur site.

lorsque Microsoft a lancé Office 365 en juin 2011, L’une des premières exigences était de fournir une forme d’authentification unique pour les utilisateurs d’entreprise qui accédaient à la plate-forme à partir d’un domaine AD.,

cela impliquait de lier Azure AD au service de Fédération fourni via ADFS et L’AD sur site.

Depuis, l’adoption du cloud a eu une énorme influence sur la façon dont les organisations modernes authentifier les utilisateurs. Toute dépendance à la fonctionnalité sur site est devenue un obstacle, plutôt qu’une aide.

en tant que telles, de plus en plus d’organisations cherchent des moyens de se libérer des pièges de la technologie héritée et de tirer parti du Cloud sans causer de perturbations inutiles.,

Mais cela ne veut pas dire que les méthodes existantes n’ont pas leurs utilisations, l’avantage ultime du Cloud est d’avoir la flexibilité de sélectionner les méthodes qui répondent le mieux à vos besoins, alors examinons comment les solutions d’authentification cloud ont évolué au fil des ans et les avantages qu’elles apportent.

D’ADFS à Azure AD Connect – et authentification dans le cloud

la première option d’authentification dans le cloud (bien que ce ne soit pas notre approche préférée) utilisait la fonctionnalité « synchronisation de hachage de mot de passe” D’Azure AD Connect, permettant aux utilisateurs de s’authentifier directement dans le Cloud., Cependant, si cela se produisait, les utilisateurs ne seraient pas en mesure d’avoir une authentification unique.

étant donné que l’expérience utilisateur est importante pour s’assurer que les services sont adoptés, la fourniture de l’authentification unique, basée sur l’approche de hachage de mot de passe, a été un problème majeur. Par conséquent, de nombreuses organisations à travers le monde ont déployé ADFS pour s’assurer que les utilisateurs puissent accéder aux services Office 365 aussi facilement que possible.

Il y a deux ans, les choses ont commencé à changer lorsque Microsoft a commencé à créer différentes méthodes d’authentification unique disponibles aux côtés de méthodes d’authentification plus récentes.,

authentification Pass-through et authentification unique transparente

l’une de ces méthodes était L’authentification Pass-through (PTA). PTA intègre une connexion web à Office 365 avec une demande d’authentification envoyée aux contrôleurs de domaine AD.

cela signifie que l’utilisateur remplit le formulaire de connexion dans Azure, mais que L’ID et le mot de passe sont toujours validés par AD après avoir transité par le serveur Azure AD Connect. Lorsque Microsoft a développé cela, ils ont également mis au point une nouvelle méthode améliorée pour fournir une authentification unique.,

cette nouvelle « authentification unique transparente” a permis à Azure d’accepter un ticket Kerberos pour l’authentification. Ce jeton Kerberos est lié à L’annonce d’origine où l’utilisateur s’est authentifié et peut être transmis à Azure pour validation. Cela signifie qu’un utilisateur qui se connecte sur site et tente ensuite d’accéder à Office 365 peut être authentifié avec le jeton Kerberos, simple et sécurisé.

cependant, PTA nécessite toujours un composant sur site., Il est initialement installé en tant qu’agent sur le serveur Azure AD Connect, mais peut également être installé sur des serveurs supplémentaires pour offrir une plus grande disponibilité – Microsoft recommande au moins trois agents d’authentification sur trois serveurs pour PTA.

c’est cette exigence sur site qui pourrait être problématique. Si le canal Internet échoue, il n’y aura pas d’accès à Office 365 tant que l’authentification n’est pas passée au cloud uniquement ou que la connectivité Internet aux agents d’authentification n’est pas restaurée.,

Vidéo: Pourquoi migrer vers Azure authentification?

ne soyez pas esclave des processus d’authentification sur site. Regardez cette courte vidéo pour:

  • découvrez les différences entre l’architecture d’authentification fédérée et l’architecture d’authentification gérée
  • comprendre les meilleures pratiques pour migrer votre authentification

Regarder maintenant

Le Meilleur des deux – une solution hybride

pour éviter cette situation, il existe maintenant une autre option., L’utilisation de la synchronisation de hachage de mot de passe (PHS) signifie qu’un utilisateur peut toujours s’authentifier directement auprès D’Azure AD.

Il s’agit de la meilleure méthode pour fournir un accès cohérent à L’environnement Office 365, mais semble supprimer la fonctionnalité d’authentification unique requise par les utilisateurs.

dans ce cas cependant, le PHS peut être complété par la facilité d’authentification unique transparente. Azure AD peut accepter le même jeton Kerberos basé sur la publicité et n’exige pas que l’utilisateur entre son identifiant et son mot de passe.,

les utilisateurs locaux ont accès à l’aide de l’authentification unique transparente, tandis que les utilisateurs qui se trouvent ailleurs auraient besoin de la combinaison correcte D’ID et de mot de passe pour accéder aux services.

dans ce scénario, il n’y a pas de dépendance à un environnement sur site, en cas de panne d’internet, les utilisateurs externes pourront toujours s’authentifier. Si l’annonce interne échoue, les utilisateurs pourront toujours utiliser leur identifiant et leur mot de passe pour y accéder, même si le jeton Kerberos n’est pas disponible.

Quelle est la différence?,

à ce stade, il peut être utile d’examiner les avantages et les inconvénients relatifs des trois méthodes d’authentification.

ces fonctions semblent indiquer QU’ADFS est toujours un bon choix lorsque l’authentification doit être uniquement sur site (et non entrée dans une page Web basée sur le cloud), ou lors de la détermination si le périphérique d’un utilisateur est interne ou externe.

dans tous les autres cas, l’utilisation de PTA ou de PHS serait préférable., Étant donné que PHS offre une meilleure disponibilité et ne dépend pas des éléments sur site, c’est généralement la méthode recommandée pour l’authentification.

trouvez ce qui fonctionne pour vous

plus récemment (février 2019), le NCSC a modifié ses conseils sur la sécurisation D’Office 365 pour utiliser « l’authentification Cloud native”. Cela signifie la mise en œuvre DE PHS et d’une authentification unique transparente. Le document complet peut être trouvé ici.

pour de nombreuses organisations, cela signifie passer d’une implémentation ADFS à L’utilisation de PHS et d’une authentification unique transparente.,

le changement dans la synchronisation et l’authentification doit être abordé avec un certain soin pour s’assurer que tout temps d’arrêt est minimisé.

bien sûr, cela supprime uniquement les exigences D’authentification Office 365 de l’environnement ADFS et ne supprime aucune autre partie dépendante, bien que la plupart d’entre elles puissent être déplacées vers Azure AD le cas échéant.

passer D’ADFS à la synchronisation de hachage de mot de passe avec une authentification unique transparente peut sembler un peu effrayant, mais ThirdSpace peut aider à accélérer le processus de migration.,

Obtenir des conseils d’experts sur la meilleure méthode d’authentification pour votre organisation spécifique est importante, comme l’ADF a toujours ses utilisations et peut-être la meilleure option dans certaines circonstances.

n’oubliez pas de regarder notre courte vidéo pour obtenir plus de détails sur les raisons pour lesquelles beaucoup font le saut vers l’authentification basée sur le cloud.

Découvrez également toutes les dernières nouvelles et fonctionnalités à venir sur Azure AD, Windows 10 et Office 365 avec notre série trimestrielle de webinaires Microsoft Technology Update.


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *