Bonjour à tous,
On se retrouve dans cette seconde
partie qui va traiter logiquement la suite de l’article 1 que vous pouvez
retrouver ici :
Nous
allons voir dans cette seconde partie la préparation à l’extension de son
active directory vers le cloud (vers Azure AD), nous allons voir quelle méthode
adopter et la réflexion à avoir pour réussir son scénario hybride.
Avant
d’envisager de faire l’identité hybride, trois questions sont essentielles qu'il faut se poser afin de voir et surtout de comprendre la pertinence d’aller vers ce type
d’architecture ou non.
1- Détermination des prérequis
1.
Déterminer les besoins métiers :
a. Quelles sont
les besoins métiers qui vous poussent à adopter une infrastructure a identité hybride
? il faut avoir une large visibilité des besoins de l’entreprise afin de juger
la pertinence d’une telle architecture dans le futur. Surtout pour quels types
d’application ? pour quels usages et scénarios je souhaite faire de
l’identité hybride avec Microsoft Azure ? définir également l’intérêt de
faire de l’hybride.
b.
Définir la
stratégie de l’entreprise avec l’extension vers le cloud (réduction de coût ? Modernisation du système
d’information ?
c.
Connaitre les
solutions et méthodes d’authentification utilisées par l’entreprise afin de
définir les besoins techniques pour l’intégration avec un scénario hybride
d.
Comprendre les
concepts du cloud ( Saas, IaaS, PaaS) afin de voir quel type de cloud pourrait
le mieux coller à votre architecture et surtout de répondre aux besoins attendus.
e. définir si
y a déjà des services cloud au sein de l’entreprise
i.
Définir leur
criticité ainsi que leur statut (Production ? Lab ? phase POC –
étude ? )
f.
Connaitre la
méthode d’authentification utilisées par l’entreprise (si’l y a de la
fédération d’identité ? ou juste de l’authentification standard ou alors
les deux)
g.
S’il y a de la
fédération d’identité, savoir et identifier les raisons :
i.
Kerberos-Based
(SSO)
ii.
Authentification
des user hors de l’entreprise avec SAML ou d’autre méthode
iii.
Multi-facteur
(MFA / token RSA etc )
h.
Définir si y’a
un ou plusieurs domaines
2.
Déterminer les applications qui seront utilisées avec
l’identité hybride
a. Quelles
applications sont migrées et utilisées par les utilisateurs hybrides ?
b. Définir
les usages des applications afin d’utiliser les applications taillées pour le
cloud
3.
Déterminer la location des composants
a.
Définir la
localisation des serveurs de synchronisation (AAD Connect) derrière un
Firewall ? DMZ ?
b.
Faire
attention aux prérequis firewall (règles) que demande l’AAD connecte pour
fonctionner si ce dernier est placer derrière un firewall
c.
Seront-ils
joints au domaine ou non ?
d.
Process de
récupération des serveurs de synchronisation (AAD Connect)
e.
Les bons
comptes avec les bons droits pour la synchronisation (on le verra prochainement
les prérequis pour ces comptes-là)
4.
Déterminer les besoins de l’authentification
Multi-Facteur
a.
Définir si
vous avez déjà du Multi facteur
b.
Définir si
votre entreprise souhaite implanter le Multi facteur
c.
Définir le
scope du Multi facteur (s’il est appliqué que sur certaines applications …)
5.
Déterminer la bonne
stratégie pour la future infrastructure d’identité hybride
a.
Partir sur une
architecture full cloud identity ?
La gestion d’identité est gérée
uniquement dans le Cloud avec Azure Active Directory :
a. Partir sur un
scénario hybride avec une synchronisation d’identité:
Dans ce cas, l’identité est gérée
de manière hybride c’est-à-dire sur le cloud avec Azure AD et avec l’Active
directory local, cette méthode est possible grâce à l’outils AAD Connect qui va
permettre de synchroniser les identités de l’AD local vers le Cloud Azure AD.
Dans ce cas, c’est le hash des mots de passe des utilisateurs qui est
synchronisé. Si l’utilisateur est désactivé dans l’AD local, ce dernier sera
actif encore durant 3 h dans l’Azure AD (c’est intervalle de synchronisation par défaut que propose Microsoft)
a.
Partir sur un
scénario avec une fédération d’identité :
C’est le même scénario que la
synchronisation sauf qu’ici on utilise de la fédération d’identité pour la
connexion des utilisateurs ce qui offrira par exemple le SSO etc
6. Architecture de synchronisation:
Une fois le scénario défini, il
faut choisir le type d’architecture de synchronisation vers le cloud.
Active directory avec une seule
foret :
Architecture avec plusieurs
forets :
2- Sécurité
Partie très importante
qui va être la sécurité des données, il faut être capable d’identifier les
ressources ainsi que leur accès aux ressources de l’entreprise.
Il faudra une solution qui va
donc authentifier vos utilisateurs et leur donner seulement les droits dont ils
ont besoin pour travailler. Il faut également contrôler l’activité, c’est-à-dire
qui à accéder à quoi et quand.
Dans cette notion de sécurité il
faut prendre également en compte le chemin de sécurité d’une donnée :
- - Sécurité au niveau des devices (Workstation, Mobile etc.) (antivirus, mise à jour etc)
- - Sécurité au moment de la transmission de la donnée entre le cloud et le device (communication chiffrée avec SSL/TLS etc )
- - L’emplacement ou est stockée la donnée dans le cloud et en local on-Premises
Pour résumé il faut répondre aux
besoins:
- L’authentification
- Autorisation
- Administration
- Contrôle
- L’audite
3- Définir un process pour l’identité
hybride
Définir un procès
d’identité management qui va permettre :
- La création des users
- L’authentification
- L’autorisation d’accéder à des ressources (Application etc )
- La gestion de permission et droits
- Proposition d’un self-service pour la génération de mots de passe etc
- Décomissioning des users qui ne sont plus dans l’entreprise (révocation des droits + suppression des comptes)
Et voila c'est fini pour aujourd’hui, dans le prochain article nous verrons le design de notre future infrastructure et les pré-requis techniques pour le serveur AAD connect.
Seyfallah Tagrerout
Microsoft MVP
