Office 365 s’appuie pour l’authentification des utilisateurs sur Windows Azure Active Directory (AAD), un service Cloud moderne de type « Identity-Management-as-a-Service » (IdMaaS) multi-locataires qui permet d’assurer la gestion des identités et des accès. Comme de nombreux clients disposent d’une infrastructure d’identités à demeure qu’ils souhaitent utiliser de concert avec Office 365, se posent dès lors un certain nombre de questions quant au « provisioning », à la gestion des identités, à l'authentification unique, à l’authentification multi-facteurs, à la gestion des rôles, etc., autant de services essentiels à la fois en local et à travers le Cloud (hybride) pour l’accès aux services Office 365 et à d’autres applications (SaaS) pris en charge par AAD. Cette session introduira différents concepts liés à l’identité comme DirSync, connecteur AAD, ADFS, Shibboleth, WS-* ou encore SAML 2.0. Elle décrira les nouvelles fonctionnalités pour l’identité dans Office 365 et passera en revue les architectures type d’identité pour Office 365. Elle examinera dans ce contexte les options possibles pour effectuer le « provisioning » et la synchronisation des informations d'identité de Windows Server Active Directory (AD) (ou d'autres sources d’annuaire) vers AAD, l’authentification unique (Web), l’authentification multi-facteurs, etc.
Speakers : Denis Carniel (LoginPeople), Philippe Beraud (Microsoft), Arnaud Jumelet (Microsoft France)
2. Quoi de neuf pour les identités
dans Office 365 ?
Philippe Beraud et Arnaud Jumelet
Direction Technique | Microsoft France
Denis Carniel
Login People
philippe.beraud@microsoft.com
arnaud.jumelet@microsoft.com
denis.carniel@loginpeople.com
Sécurité
3. Donnez votre avis !
Depuis votre smartphone sur :
http://notes.mstechdays.fr
De nombreux lots à gagner toute les heures !!!
Claviers, souris et jeux Microsoft…
Merci de nous aider à améliorer les TechDays !
#mstechdays
Sécurité
4. Notre agenda pour cette session
Vue d’ensemble
des identités
Office 365
1
#mstechdays
Annoncés/
disponibles
récemment…
Options
d’intégration en
matière d’identité
2
Sécurité
3
7. Identité Office 365
Identité unique dans le Cloud qui
convient pour les (petites) entreprises
sans intégration aux annuaires à
demeure
#mstechdays
Identité unique adapté pour les
moyennes et grandes entreprises sans
fédération
Sécurité
Identité fédérée et informations
d’identification uniques appropriés pour
les moyennes et grandes entreprises
9. Windows Azure Active Directory Sync Tool
(DirSync)
Mise à jour: synchronise les mots
de passe utilisateur de l’AD à
demeure vers Windows Azure AD
Seul un condensat unidirectionnel du mot
de passe sera synchronisé de telle sorte
que le mot de passe d’origine ne puisse
être reconstruit à partir de celui-ci
Respecte les politiques de mots de passe
à demeure
Ne peut pas synchroniser les mots de
passe pour les utilisateurs fédérés, mais
les deux peuvent coexister
"Simple Sign-On"
Permet aux utilisateurs d’avoir le même
nom d’utilisateur/mot de passe
#mstechdays
Sécurité
SAML2
Identity Provider
10. Provisioning Windows Azure AD
• Mise à jour: disponibilité du connecteur Windows Azure
AD pour FIM 2010 R2
– Peut être utilisé dans des scénarios non pris en charge par
DirSync, par exemple pour la synchronisation multi-forêt AD et
avec des sources non-AD
• Nous recommandons toujours d'utiliser DirSync comme la principale
solution pour synchroniser AD à Windows Azure AD et de l'utiliser
chaque fois que possible
– The connecteur est livré avec un exemple de configuration et de
code pour le scénario forêt de comptes/forêt de ressources
#mstechdays
Sécurité
11. Authentification multi-facteur (MFA) pour Office
365
• Authentification d’entreprise à l’aide de tout téléphone/
smartphone
• Disponible gratuitement pour les administrateurs Office
365…
• Et… désormais également disponible pour les utilisateurs
Office 365
• Fonctionne avec tous les services Office 365 de type Web
– Outlook Web App, SharePoint Online
• Requiert des mots de passe applicatifs pour les clients
riches
– Non disponibles pour les administrateurs
– 16 caractères générés
#mstechdays
Sécurité
12. MFA POUR OFFICE 365
Illustration de l’expérience utilisateur
#mstechdays
Sécurité
Design/UX/UI
14. Authentification multi-facteur pour les clients
Office
• MAJ des clients Office ProPlus (2013) pour le
support de MFA pour Office 365/Windows
Azure MFA
– Plus besoin des mots de passe applicatifs avec les clients
mis à jour
– Outlook, Lync, Word, Excel, PowerPoint, PowerShell,
SkyDrive Pro
– Capacité d’intégration pour des solutions tierces-parties
d’authentification multi-facteurs et prise en charge des
cartes à puce
• Disponible en 2014
#mstechdays
Sécurité
15. OPTIONS D’INTÉGRATION EN
MATIÈRE D’IDENTITÉ
De multiples façon de s’intégrer avec Windows Azure
AD : Des clients différents ont potentiellement des
scénarii différents qui requièrent des solutions
différentes
#mstechdays
Sécurité
17. Identité Cloud
•
•
•
•
Expérience riche avec les
applications Office
Facilité de déploiement, de gestion
et de support
Moindre coût, car aucun serveur
additionnel n’est nécessaire à
demeure
Haute disponibilité et fiabilité comme
les identités et les services sont gérés
dans le Cloud
#mstechdays
Sécurité
18. DirSync
•
•
•
•
•
Expérience riche avec les applications
Office
Synchronisation d’annuaire entre la
forêt AD à demeure et
l’environnement en ligne
Les identités sont crées et gérées à
demeure et synchronisées dans le
Cloud
Identité unique mais pas de SSO
entre les services à demeure et les
services Office 365
Réutilisation de l’infrastructure
d’annuaire AD à demeure
#mstechdays
Sécurité
19. Synchronisation de mots de passe
•
Expérience riche avec les
applications Office
• Synchronisation d’annuaire entre la
forêt AD à demeure et
l’environnement en ligne
• Les identités sont crées et gérées à
demeure et synchronisées dans le
Cloud
• Identité et informations d’identification
(mot de passe) uniques mais pas de
SSO entre les services à demeure et
les services Office 365
• Réutilisation de l’infrastructure
d’annuaire AD à demeure
#mstechdays
Sécurité
20. DirSync ou SSO
Même mot de passe pour accéder aux ressources
Peut contrôler les politiques de mot de passe à demeure
Support pour l’authentification forte (2FA/MFA)
Filtrage de l'accès client par IP ou par plage horaire
L'authentification est effectuée à demeure. Peut bloquer
immédiatement les comptes désactivés.
Support Multi-Forêt AD
Aucun mot de passe à rentrer si à demeure
#mstechdays
Sécurité
21. PowerShell / API REST Graph
• Convient pour les (grandes) entreprises avec certains
scénarios AD et non-AD
• Des limitations de performance s’appliquent avec le
provisioning PowerShell et Graph API
• PowerShell requiert une expérience de Scripting, Graph
API de programmation
– L’option PowerShell peut être utilisée lorsque des wrappers de
scripts PowerShell sont en place (ex. : libre service provisioning)
#mstechdays
Sécurité
23. Connecteur Windows Azure AD pour FIM 2010
R2
• Convient pour les grandes entreprises avec certains
scénarios AD et non-AD
• Scénarii multi-forêt AD complexes
• Synchronisation avec des sources Non-AD
• Nécessite FIM 2010 R2 et des licences logiciels
supplémentaires
#mstechdays
Sécurité
24. Identité fédérée
•
•
•
•
•
•
Identité unique et SSO entre les services à
demeure et les services Office 365
Identité maîtrisées à demeure avec un
point de gestion unique
Synchronisation d’annuaire pour
synchroniser les objets d’annuaire dans
Office 365
Authentification fondée sur des jetons
sécurisés
Contrôle d'accès client basé sur l'adresse
IP avec AD FS
Options d’authentification forte
pour plus de sécurité avec AD FS
#mstechdays
Sécurité
Non-AD
26. Login People® – Accès sécurisé à Office 365 en toute simplicité !
• L’authentification multi-facteurs par l’ADN du Numérique®
: une expérience transparente pour les utilisateurs et
simplifiée pour les administrateurs :
– Sans token ni OTP
– Sans changement des habitudes : à partir des équipements
existants, sans manipulation de code supplémentaire
– Sans modification des infrastructures
– Renforcement de la sécurité avec un TCO parmi les plus faibles et
des plus optimisés
• Meilleur ensemble
– Renforcement de la sécurité des identités fédérées
– Intégration de la login page de l’ADN du Numérique® automatisée
avec AD FS
– Echanges de tokens SAML transparents pour l’utilisateur
– Respect des politiques de sécurité
#mstechdays
Sécurité
+
+
27. Login People® – Accès sécurisé à Office 365 en toute simplicité !
• AD FS Windows Server 2012
R2
• AD FS 2.0
Page
Authentification
AD FS
#mstechdays
Page
authentification
ADN
Page Authentification AD FS
Sécurité
28. Login People® – Accès sécurisé à Office 365 en toute simplicité !
30. Identité AAD avec d’autres services Cloud
•
•
Identité gérée dans Windows
Azure AD, SSO pour Office 365 et
d'autres services Cloud (fédérées)
Intégration avec les applications
d’éditeurs/communautés Cloud ou
fournisseurs SaaS via les APIs de
Windows Azure AD ou Applications
Access Enhancements for
Windows Azure AD
#mstechdays
Sécurité
31. En guise de conclusion
• De multiples options en matières d’intégration des
identités
– Pour s’adapter à la diversité de vos environnements
– Active Directory vs. autres référentiels
• Deux approches pour l’authentification unique
– Synchronisation de mots de passe vs. Fédération d’identité
• Différentes possibilités pour la protection des identités
– Authentification multi-facteurs dans le Cloud ou à demeure
• Protection de l’information avec le nouveau Microsoft
RMS dans Office 365
–
#mstechdays
Cf. Session aujourd’hui àSécurité
15h15
32. Livres blancs et guides Etape-par-Etape
Active Directory from the onpremises to the Cloud – Windows
Azure AD whitepapers
Office 365 Single Sign-On with AD
FS 2.0
Office 365 Single Sign-On with
Shibboleth 2.0
33. Pour aller plus loin
office.microsoft.com
Blog Office 365
http://blogs.office.com/b/microsoft_office_365_blog/
Blog Technologie Office
http://blogs.office.com/b/office365tech/
Suivre l’actualité
https://twitter.com/Office365
Etre connecté
http://www.linkedin.com/groups/Microsoft-Office-3653724282
A considérer
Garage Series for IT Pros: www.microsoft.com/garage
Office 365 FastTrack: http://fasttrack.office.com/
34. Pour aller plus loin
activedirectory.windowsazure.com
Documentation Microsoft TechNet
http://go.microsoft.com/fwlink/p/?linkid=290967
Documentation Microsoft MSDN
http://go.microsoft.com/fwlink/p/?linkid=290966
Blog Equipe Microsoft Active Directory
http://blogs.msdn.com/b/active_directory_team_blog
Blog Equipe Windows Azure Active Directory Graph
http://blogs.msdn.com/aadgraphteam
Checks for password updates every 2 minutes :regular DirSync still runs every 3 hoursMore Details on TechNet: http://aka.ms/sync
Windows Azure Active Directory Connector for FIM 2010 R2 Quick Start Guide : http://technet.microsoft.com/en-us/library/dn511002.aspxWindows Azure Active Directory Connector for FIM 2010 R2 Technical Reference : http://go.microsoft.com/fwlink/?LinkID=330371
Annoncé sur le blog technique Office : http://blogs.office.com
Determine which directory integration scenario to use : http://technet.microsoft.com/en-us/library/jj573649.aspx
Multi-forest Directory Sync with Single Sign-On Roadmap : http://technet.microsoft.com/en-us/library/dn510975.aspx
Some feature gapsShibboleth – doesn’t support Lync clientPing Federate – doesn’t support Windows Integrated Auth
Works with Office 365 – Identity program : http://blogs.office.com/2013/09/03/works-with-office-365-identity-program/The Works with Office 365 – Identity program now streamlined : http://blogs.office.com/2014/01/30/the-works-with-office-365-identity-program-now-streamlined/
The above papers are available on the Microsoft Download Center:Active Directory from the on-premises to the Cloud – Windows Azure AD whitepapers: http://www.microsoft.com/en-us/download/details.aspx?id=36391