Bonjour à tous, aujourd'hui nouvel article concernant le changement du mode d’authentification des clients vers les services Azure.
La plupart du temps, pour intégrer certaines applications comme "Office 365" et unifier les authentifications en y ajoutant du SSO, les entreprises mettaient en place une infrastructure ADFS dans leur infrastructure "On-Premise".
La grosse contrainte de l'ADFS, c'est que cela demande une infrastructure importante et complexe surtout si l'on souhaite y ajouter de la haute disponibilité à savoir:
- 2 serveurs ADFS
- 2 Serveurs Azure AD Connect
- 2 Serveurs WAP
- Un load balancer entre les serveurs WAP
Comme vous pouvez le constater cela demande beaucoup de maintenance.
Pour pallier à ça, Microsoft à décider de créer "Azure AD Pass Through Authentication et Seamless SSO"
L'idée est également de ne pas stocker les mots passes dans "Azure AD" comme on le faisait avec ADFS.
Je ne vais pas vous faire une présentation du produit qui est déjà sortie il y a deux ans, Microsoft le fera bien mieux que moi.
https://docs.microsoft.com/fr-fr/azure/active-directory/hybrid/how-to-connect-sso
Le tableau ci-dessous résume les différences entre Azure AD Pass Through Authentication et Seamless SSO" et "ADFS".
La solution qui va nous intéresser le plus sera celle avec le "Pass-Through" car elle ne synchronise pas les mots de passe dans "AzureAD".
Pour pouvoir modifier la façon dont va s'authentifier les utilisateurs, il suffit de se connecter sur le serveur "Azure AD Connect" et de relancer l’exécutable ci-dessous.
Choisir "Change user sign-in"
Authentifiez-vous avec le compte principal pour Azure AD.
Si "ADFS" est coché, il vous suffit de cocher "Pass-through authentication" et "Enable single sign-on"
Authentifiez-vous avec un "compte administrateur du domaine On-premise"
L'assistant d' "Azure AD Connect"vérifie les composants.
Vous pouvez également lancer la synchronisation à la fin du processus.
La reconfiguration se lance.
L'agent pour la fonctionnalité "Pass-through autentication" s'installe sur notre serveur.
Activation du sso.
L'opération s'est correctement déroulée.
Nous pouvons également voir que notre domaine "FFO365.FR" n'est plus fédéré et est passé en mode "Managed".
Lors de la mise en place Azure AD Pass Through Authentication et Seamless SSO" un compte "AZUREADSSOACC" a été créé dans l'OU "Computer"
Le
compte ordinateur "AZUREADSSOACC" est utilisé pour lors de la connexion à "Azure
AD/O365" pour générer le ticket Kerberos utilisateur.
La clé Kerberos de l’ordinateur "AZUREADSSOACC" est partagée avec "Azure AD/O365".
La
clé Kerberos de l’ordinateur "AZUREADSSOACC" peut et doit être changée régulièrement, ce que je conseille fortement.
Pour que le SSO soit complètement fonctionnel pour les utilisateurs, il faudra ajouter les exceptions ci-dessous dans internet Explorer:
Pour connaitre les compatibilités des navigateurs je vous laisse le soin de consulter le lien ci-dessous.
Nous allons créer notre GPO pour les utilisateurs.
Les deux liens ci-dessus seront a configurer sur le paramètre suivant:
User Configuration >
Administrative Templates > Windows Components > Internet Explorer >
Internet
Control Panel > Security Page.
Dans Assignment List. Entrer les valeurs suivantes :
Modifier ensuite le paramètre ci-dessous:
User
Configuration > Administrative Templates > Windows Components >
Internet Explorer > Internet
Control Panel >
Security Page > Intranet Zone.
Activer Allow updates to status bar via script.
Je vérifie la bonne application sur mes postes.
Je vérifie ensuite la bon fonctionnement en allant sur le portail Office 365.
Haute disponibilité:
Si vous souhaitez mettre en place de la haute disponibilité, il vous faudra déployer d'autres agents sur d'autres serveurs qui doivent pouvoir communiquer sur les ports 443 et 80.
Pour cela lancer le lien ci-dessous:
http://aka.ms/getauthagent
Exécuter le programme:
Vérifiez ensuite sur le portail Azure AD la présence du deuxième agent.
Dans cet article nous avons pu voir comment changer l'authentification ADFS vers l’authentification Pass-Through et seamless SSO.
A bientôt. 😏
Aucun commentaire:
Enregistrer un commentaire