Introduction
De nos jours, il est important d'offrir un monde mobile aux utilisateurs
afin que ces derniers puissent être productifs depuis n'importe quel endroit,
maison, lieux public ou même en voyage dans le train par exemple. Il est
important donc de donner l'accès aux applications de l'entreprise depuis
l'extérieur du système d'information de l'entreprise sans compromettre la
sécurité.
Comment donner l'accès aux utilisateurs afin qu'ils puissent se
connecter sur une application interne depuis l'extérieur, depuis un réseau non
sécurisé et surtout non managé ?
Jusqu’à présent, les administrateurs optent pour deux solutions bien
connus :
- La mise en place d'un
VPN point to site qui permet de connecter l'utilisateur au système
d'information au travers d'une connexion VPN sécurisée, une fois connecté,
l'utilisateur pourra accéder aux applications de l'entreprise
- La mise en place d'une DMZ, où les serveurs applicatifs y sont placés afin que ces derniers puissent être joints depuis l'extérieur
Ces solutions fonctionnement, mais elle représentent plusieurs
inconvénients pour les administrateurs:
- Effort
d'administration et création de règles au niveau des pare-feu pour la DMZ
- Administration et
maintenance du VPN
- Demande beaucoup
d'efforts de maintenance au quotidien
- Difficile à sécuriser
et demande beaucoup d'effort du à la complexité de ces architectures
Avec Azure Active Directory, Microsoft propose une nouvelle
méthode moderne qui permet l'accès aux applications internes de manière
totalement plus sécurisée et surtout simplifiée. Cette méthode se nomme Azure Application Proxy.
Présentation
Azure Application Proxy est un moyen qui permet l'accès aux applications
web internes d'une entreprise depuis l'extérieur, en offrant une
authentification SSO sécurisée. L'avantage de cette solution, c'est
l'utilisation des applications internes intégrées dans Azure Active Directory,
ce qui offre aux utilisateurs une authentification unifiée avec le même compte,
donc un utilisateur, avec le même compte Azure Active Directory pourra accéder aux
application SaaS, aux applications internes web publiées via Azure Application
Proxy, on en revient encore : une identité pour plusieurs
applications, la force d'Azure Active Directory.
Azure Application Proxy présente plusieurs avantages :
- Les utilisateurs auront une expérience d'authentification similaire aux autres applications SaaS de l'entreprise
- Pas de modifications ni configurations particulières ni de mise à jours pour les applications internes que vous souhaitez publier avec Azure Application Proxy
- Accès moderne et plus sécurisé aux applications internes depuis l'extérieur de l'entreprise
- Pas d'infrastructure à créer et a gérer afin d'avoir l'Azure Application Proxy, ce service est déjà intégré dans Azure Active directory, reste plus qu'a le consommer
- Pas d'architecture complexe on-premise
- Facilité de publication et de gestion depuis la console Azure Active Directory admin center
- Protection contre les attaques de type DOS/DDOS
- Possibilité d'avoir du HA en déployant plusieurs serveurs connecteurs application Proxy, ces connecteurs peuvent être dédiés sur des serveurs spécifiques
- Aucune connexion entrante, fonctionnement qu'avec des connexions et flux sortants à savoir du 80 et 443 en sortie du pare-feu
- Tout le trafic est sécurisé avec SSL
Azure Application proxy permet la publication des applications
suivantes:
- Application intégrée à Active Directory qui utilise ADAL
- Application Web avec l'authentification Windows intégrée
- Application Web avec l'authentification Header Based
- API web
- Application derrière
une architecture Remote Desktop Gateway
Fonctionnement
l'Azure Application Proxy fonctionne en 7 étapes afin de permettre à vos
utilisateurs d'accéder à une application Web depuis l'extérieur de manière
sécurisée et avec une bonne expérience au niveau authentification.
Dans une configuration Azure application proxy, nous avons les
composants suivants:
- Un annuaire Azure Active Directory
- Le service Azure Application Proxy au niveau de l'annuaire
- Un annuaire Active Directory local
- Un serveur on-premise connecteur Azure application proxy
- Une application Web exemple : un serveur IIS avec une application WEB
- Utilisateur pour
l'accès aux applications
Voici une illustration qui permet de montrer les différents flux qui
sont envoyés lors d'une utilisation d'Azure application proxy depuis l’extérieur
de l'entreprise:
Voici les 7 étapes nécessaires pour son fonctionnent
Etape 1: l'utilisateur souhaite se connecter à l'application locale depuis
l'extérieur via le servir Azure Application Proxy, il sera redirigé vers la
page d'authentification Azure Active Directory
Etape 2: Une fois que l'utilisateur est
authentifié, un jeton est crée et envoyé au poste de travail de l'utilisateur
Etape 3: Ensuite, le poste de travail envoie ce jeton au service Azure
Application Proxy, ce dernier va récupérer l'UPN de l'utilisateur (User
Principal Name) et le SPN du jeton et rédiger la requête vers le serveur
connecteur Proxy installé en local
Etape 4: Interrogation de l'Active Directory si des authentifications sont
nécessaires pour la connexion
Etape 5: Le serveur connecteur Proxy va à son tour envoyer la requête à
l'application local
Etape 6: l'application envoi une requête à l'utilisateur, cette requête va
passer le serveur connecteur proxy et le service Azure Application proxy
présent dans Azure Active Directory
Etape 7: l'utilisateur peut s'authentifier à l'application depuis
l'extérieur de l'entreprise de manière sécurisée
Exemple d'applications:
Il est possible de publier les applications suivantes au travers de
l'Azure Application Proxy :
- Sites SharePoint on-premise
- L'accès à distance avec RDP depuis extérieur au machine local de l'entreprise
- Outlook webAccess
- Toute application Web LOB ( Line of Business)
Dans la partie 2, nous allons voir la partie mise en place et publicaion
d'une application à travers ce fameux Azure Application Proxy.
Cdt,
Seyfallah Tagrerout
Microsoft MVP
