Blog ENI : Toute la veille numérique !
🐠 -25€ dès 75€ 
+ 7 jours d'accès à la Bibliothèque Numérique ENI. Cliquez ici
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
  1. Livres et vidéos
  2. Azure Active Directory
  3. Gestion des applications
Extrait - Azure Active Directory Gestion des identités hybrides (concepts et mise en œuvre) (2e édition)
Extraits du livre
Azure Active Directory Gestion des identités hybrides (concepts et mise en œuvre) (2e édition) Revenir à la page d'achat du livre

Gestion des applications

Introduction

Comme évoqué plusieurs fois dans cet ouvrage, Azure Active Directory permet aux utilisateurs de posséder une identité dans le cloud afin de pouvoir s’authentifier auprès des applications SaaS et ressources cloud.

Azure Active Directory permet également d’intégrer des applications SaaS offertes aux utilisateurs par le biais de leur identité unique, le tout de manière gérée, car l’entreprise aura la possibilité de contrôler et de limiter l’accès à ces applications.

Nous allons étudier, dans cette partie, la gestion et l’intégration des applications à un IDaaS (Identity as a Service) tel qu’Azure Active Directory.

Les applications intégrées à Azure Active Directory

Nous parlons ici d’IAM (Identity Access Management) intégré à des applications, lorsqu’il s’agit d’ajouter les applications à l’annuaire Azure Active Directory, offrant les avantages suivants :

  • Authentification contrôlée

  • Centralisation de l’administration des accès au niveau des applications

  • Une seule identité pour l’ensemble des applications

  • Plusieurs milliers d’applications peuvent être intégrées à Azure Active Directory 

Avec l’intégration de ces applications dans Azure Active Directory, les entreprises pourront répondre aux problématiques liées aux accès et à la sécurité de leurs applications en suivant le principe : qui est autorisé à faire quoi ? C’est-à-dire le principe IAM (Identity Access and Management). Le qui représente l’identité de l’utilisateur et le quoi représente la gestion d’accès aux ressources et applications.

1. Introduction

Intégrer une application dans Azure Active Directory signifie qu’on donne à ce dernier la possibilité de gérer l’identité pour les accès au niveau de l’application et de se comporter comme un fournisseur d’identité, répondant donc, selon le principe de l’IAM, à la question : qui est autorisé à faire quoi ?

Si vous achetez une application SaaS sur Internet, que signifie le fait de l’intégrer à votre Azure Active Directory ? Cela veut dire que tous les utilisateurs qui font partie de votre annuaire Azure Active Directory pourront accéder à cette application avec leur compte Azure Active Directory.

Voici un exemple...

Intégration d’applications dans Azure Active Directory

Maintenant que nous avons étudié les principes régissant la gestion des applications dans Azure Active Directory, nous allons pouvoir passer à la pratique, tout en essayant de comprendre les concepts d’intégration d’applications dans un annuaire comme Azure Active Directory.

1. Démarches

Avant d’intégrer des applications dans Azure Active Directory, il est important de passer par une phase d’étude qui va réaliser l’inventaire des applications, recenser les utilisateurs et définir une politique d’authentification sécurisée. De plus, il faudra également étudier le cycle de vie de l’application et les accès des utilisateurs dans le temps (gestion des départs d’utilisateurs, changement de groupe qui donnent d’autres accès, etc.)

État de l’existant applicatif

Avant de commencer, il est nécessaire de réaliser un inventaire de ses applications, ce qui permettra d’identifier les informations suivantes :

  • Les applications

  • Le type des applications

  • Les propriétaires des applications

  • Le type de protocole d’authentification que peuvent gérer les applications (mot de passe unique, SAML 2.0, WS-Federation, OpenID Connect ?)

  • L’intégration future : utiliser des applications présentes dans le store Microsoft ou alors développer une application en interne

  • Les applications que vous souhaitez rendre accessibles depuis l’extérieur de manière sécurisée

Accès aux applications

  • état des lieux sur la gestion des accès applicatifs

  • établissement d’une matrice, afin de définir les accès en fonction des utilisateurs et groupes

État de l’existant utilisateurs et groupes...

Enregistrement d’applications

1. Introduction

Les développeurs qui codent des applications et souhaitent les intégrer dans Azure Active Directory afin de profiter de l’authentification des utilisateurs grâce à l’annuaire Azure Active Directory doivent d’abord les enregistrer dans celui-ci. Afin d’autoriser l’inscription d’applications, Azure Active Directory utilise OAuth 2.0 afin d’établir l’authentification.

Microsoft dispose d’une plateforme d’identités Microsoft Identity Platform qui offre la possibilité de créer des applications afin que les utilisateurs puissent se connecter dessus via des identités venant d’Azure Active Directory, Microsoft, comptes locaux ou encore des comptes venant d’autres plateformes cloud telles que Gmail, Facebook, etc.

La plateforme d’identités Microsoft est composée de plusieurs éléments :

  • API de configuration : permet la configuration et l’automatisation avec l’API Graph de Microsoft ou encore en PowerShell.

  • Bibliothèque open source MSAL : bibliothèque MSAL (Microsoft Authentication Library), elle prend aussi en charge d’autres bibliothèques répondant aux mêmes normes.

  • Documentation : documentation technique qui permet d’aider les développeurs avec des exemple, des cas pratiques et des guides pas à pas.

  • Service d’authentification : c’est le service qui gère l’authentification et qui permet aux utilisateurs de s’authentifier avec leur identité Microsoft (compte scolaire ou professionnel via Azure Active Directory), leur compte personnel Microsoft tel que Hotmail, et des comptes locaux Free, Orange ou encore des comptes sociaux tels que Gmail, Facebook, etc.

  • Portail d’applications : portail permettant l’ajout...

Azure Application Proxy

De nos jours, il est important d’offrir un monde mobile aux utilisateurs afin que ces derniers puissent être productifs depuis n’importe quel endroit : maison, lieux publics ou même en voyage, dans le train par exemple. Il est donc important de donner l’accès aux applications d’entreprise depuis l’extérieur du système d’information sans en compromettre la sécurité.

Nous l’avons vu, l’utilisation d’applications SaaS intégrées à Azure Active Directory permet de régler ce genre de problématique, notamment par la possibilité que possèdent les utilisateurs de s’y authentifier depuis n’importe quel endroit. Mais qu’en est-il des applications internes de l’entreprise ? Comment donner l’accès aux utilisateurs afin qu’ils puissent s’y connecter depuis l’extérieur, depuis un réseau non sécurisé et surtout non managé ?

Jusqu’à présent, les administrateurs optent pour deux solutions bien connues :

  • La mise en place d’un VPN point à site qui permet de connecter l’utilisateur au système d’information au travers d’une connexion VPN sécurisée. Une fois connecté, l’utilisateur peut accéder aux applications de l’entreprise.

  • La mise en place d’une DMZ hébergeant les serveurs applicatifs afin que ces derniers puissent être joints depuis l’extérieur.

Ces solutions fonctionnent, mais présentent plusieurs inconvénients pour les administrateurs :

  • Effort d’administration et création de règles au niveau des pare-feu pour la DMZ

  • Administration et maintenance du VPN

  • Beaucoup d’efforts de maintenance au quotidien

  • Difficile à sécuriser...