Azure AD Pass-Through Authentication et Seamless SSO par Maxime Rastello

Maxime Rastello est consultant & MVP, il s’est fait une spécialité de la partie Azure et notamment des processus et des fonctions liées à l’IAM ou à la sécurité dans Azure. Depuis peu, il a commencé une série de vidéos, dites “Deep-Dive”. C’est vraiment très bien fait et didactique, le format entre 15 et 30 minutes est parfait pour approfondir le sujet mais sans que cela devienne assommant. La dernière vidéo en date porte sur deux nouvelles fonctions en preview, qui de mon point de vue, vont révolutionner l’usage d’Azure Active Directory dans le monde des entreprises et notamment dans les PME ou ETI: Azure AD Pass-Through Authentication et Seamless SSO.

Pour suivre sa chaîne YouTube: https://www.youtube.com/channel/UCL9JIy1auTKjwESwa3XCJ7g/videos

Pour le suivre sur Twitter: @MaximeRastello

Pour retrouver sa dernière vidéo sur Azure AD Pass-Through Authentication et Seamless SSO:

 

Quel futur pour Active Directory et Azure Active Directory ?

eic_kimcameron

La 10ème conférence European Identity & Cloud (eic) est terminée. Elle a été très riche en sessions techniques ou stratégiques. Un des points culminants de cet événement a été la présentation de Kim Cameron sur le futur des technologies Active Directory (en local donc) et Azure Active Directory (dans le cloud donc).

Pour ceux qui ne connaissent pas Kim Cameron, il s’agit de “monsieur identité” chez Microsoft, il est Chief Architect of Identity et donne la mesure et bâtie la stratégie de Microsoft en ce qui concerne la gestion des identités. Son blog est une référence sur ce sujet dans le monde anglophone: http://www.identityblog.com/

Dans cette session, Kim Cameron a tenté de présenté des pistes pour les décideurs IT, leur donnant sa vision du futur et de la cohabitation des technologies Active Directory et Azure Active Directory, en faisant notamment un focus sur le service Azure AD Directory Services permettant d’exposer Azure Active Directory au travers de services généralement utilisés localement sur un Active Directory local (kerberos, LDAP, etc.).

Pour ma part, je pense que dans 2 ou 3 ans, le couple Azure Active Directory + Azure AD Domain Services permettra de fournir un ensemble de services équivalents à ce que nous connaissons actuellement avec un Active Directory local, il s’agit vraisemblablement du futur des annuaires dans le cloud, avec une multitude d’applications ou de systèmes qui pourront se connecter et utiliser ce service global. Sans vouloir faire le “Microsoft Fan Boy” de base, il n’y a aucun équivalent à cette offre chez les autres fournisseurs cloud, Microsoft est en train de créer une offre de services IAM dans le cloud sans aucun concurrent valable ou valide. Cela est même assez étonnant de voir la pauvreté de l’offre Amazon et Google dans ce domaine…

Vous pouvez consulter la présentation de Kim Cameron ici:

 

Module PowerShell V2 pour Azure Active Directory disponible en GA

aad_v2_powershell

Comme vous le savez certainement, il est tout à fait possible de manipuler les objets Azure Active Directory via PowerShell. Jusqu’à maintenant, la version V2 (au sens PowerShell) n’était disponible qu’en preview. Depuis quelques jours, le module powershell AAA V2 est disponible en ‘GA’.

Pour info, certaines commande disponible dans la version Preview, n’ont pas encore été intégrées dans la version publique délivrée (ce n’est qu’une question de temps, mais il est toujours possible d’installer le module Peview pour bénéficier de ces commandes en attendant leur intégration définitive).

Pour l’instant, voici la liste des commandes disponibles:

Get-AzureADAdministrativeUnit
New-AzureADAdministrativeUnit
Remove-AzureADAdministrativeUnitSet-AzureADAdministrativeUnit
Add-AzureADAdministrativeUnitMember
Get-AzureADAdministrativeUnitMember
Remove-AzureADAdministrativeUnitMember
Add-AzureADApplicationPolicy
Add-AzureADScopedRoleMembership
Get-AzureADScopedRoleMembership
Remove-AzureADScopedRoleMembership
Confirm-AzureADDomain
New-AzureADDomain
Remove-AzureADDomain
Set-AzureADDomain
Get-AzureADVerificationDnsRecord
Get-AzureADApplicationPolicy
Remove-AzureADApplicationPolicy
Get-AzureADPolicy
New-AzureADPolicy
Remove-AzureADPolicy
Set-AzureADPolicy
Get-AzureADPolicyAppliedObject
Add-AzureADServicePrincipalPolicy
Get-AzureADServicePrincipalPolicy
Remove-AzureADServicePrincipalPolicy
Get-AzureADServiceConfigurationRecord
New-AzureADDirectorySetting
Remove-AzureADDirectorySetting
Set-AzureADDirectorySetting
Get-AzureADObjectSetting
New-AzureADObjectSetting
Remove-AzureADObjectSetting
Set-AzureADObjectSetting

Informations sur le module PowerShell AAD V2 [ ICI ]

 

 

Série d’articles interressants sur Azure AD par un MVP Français

mvp Seyfallah Tagrerout, MVP Français travaillant à la base sur les technologies de virtualisation, commence une série d’articles sur Azure Active Directory.

C’est accessible aux débutants, bien documenté et surtout c’est en Français !

Vous pouvez consulter les deux premiers articles ici:

https://seyfallah-it.blogspot.fr/2016/06/azure-ad-part-1.html

https://seyfallah-it.blogspot.fr/2016/06/azure-ad-part-2-letude-qui-prepare.html?m=1

La page d’accueil de son blog: https://seyfallah-it.blogspot.fr/ – focus sur les technologies de virtualisation, mais pas que.

Bien commencer avec Azure Active Directory: Azure Active Directory Proof Of Concept Playbook

azure_ad_poc

Beaucoup de mes partenaires et clients me demandent: “comment tester, évaluer et comprendre en quelques jours se qu’est et comment fonctionne Azure Active Directory ?” – en qq mots, comment faciliter la mise en oeuvre d’un POC sur la solution. Microsoft a conçu et met régulièrement un jour un document de référence qui permet “assez facilement” de réaliser ce test: “Azure Active Directory Proof of Concept Playbook.pdf

Ce document a un grand intérêt car il contient l’ensemble des informations importantes pour la réalisation d’un POC Azure AD et surtout il contient la liste des autres documents ou articles de référence permettant facilement de comprendre les concepts périphériques pour aller un peu plus loin dans la compréhension si c’est la volonté de la cellule IT réalisant cette évaluation.

Le document possède la structure suivante:

azure_ad_poc_doc_contenu

 

Par exemple, comme indiqué, le document contient toutes les références “externes” nécessaires aux différentes étapes, par exemple ici, la liste des prérequis pour la réalisation du POC avec les liens externes nécessaires:

azure_ad_poc_doc_contenu_a

Bref, un très bon point de départ pour ceux qui veulent explorer et comprendre Azure Active Directory.

Rappel du lien pour le document: [ ICI ]

 

 

 

Les différents scénarios possibles selon la topologie d’entreprise avec Azure AD Connect

adconnect je suis tombé qq peu par hasard sur un article (US) qui me semble intéressant pour un architecte débutant dans les problématiques de synchronisation liées à Azure AD Connect. Cet article liste les différentes topologies d’entreprise existantes possibles, et les scénarios d’implémentation Azure AD Connect pour chaque situation. Quand un scénario n’est pas supporté officiellement par Microsoft, cela est notifié dans l’article, ce qui est important et parfois qq peu obscure à décrypter (supporté ou pas supporté…) pour les débutant.

Bref, l’article n’est pas révolutionnaire en soi, mais constitue un bon point de départ pour un consultant déchiffrant ce nouveau monde. L’article est disponible ici: https://azure.microsoft.com/en-us/documentation/articles/active-directory-aadconnect-topologies/

Bonne lecture 😉

Azure AD Application Gallery

Azure AD Application Gallery
Azure AD Application Gallery

Comme vous le savez déjà si vous travaillez avec les concepts de fédération d’identité et d’IDentity as a Service (IDaaS), notamment via Azure AD Premium, il est parfois difficile de connaître la liste des applications supportées ainsi que le mode de fédération ou de SSO que ces applications SaaS acceptent. Microsoft publie un site web “Azure AD Application Gallery” permettant de consulter la liste des applications supportées et de déterminer quel type de SSO elles sont capables de “comprendre”.

Pour faire simple, il existe 4 types d’applications SaaS selon la terminologie utilisée par Microsoft – notons toutefois, que les protocoles acceptés par l’application ne dépendent pas directement de Microsoft mais de l’application elle même, il y a toutes les chances pour que les “capacités” de l’application en termes de SSO ou de Fédération soient exactement les même quelques soit la solution d’IDaaS employée:

# Application de type “federated SSO only”: ces applications supportent la fédération et le SSO via la fédération de façon basique, généralement elles requièrent de mettre en œuvre un système de provisioning des comptes coté applicatif,  rappelez vous que la fédération d’identité ne vous élimine pas le fait de devoir créer les comptes côté applicatif de façon à lister les personnes acceptées et pouvoir définir le profiling applicatif (en gros qui a droit à quoi dans l’application)

# Application de type “federated SSO and provisioning”: ces applications supportent la fédération et le SSO via la fédération, et permettent aussi de gérer le provisioning des comptes via la solution d’IDaaS elle-même. Ici, on définie des règles, et la création des comptes, voir l’appartenance aux bons groupes côté applicatif, se fait via la solution IDaaS, plus besoin de penser un système de provisioning en parallèle.

# Application de type “federated SSO and consent”: ces applications supportent la fédération et le SSO via la fédération, et supportent la fonction “consent” – pour faire simple, cela permet à un utilisateur lorsqu’il utilise la passerelle de fédération d’accepter que ces identités soient utilisées et passées à l’applications SaaS pour valider son identité. Ce mécanisme est assez peu utilisé, permet sous certaines législation de demander la permission à l’utilisateur de transmettre son identité à l’application demandée. Qq explications sur le “consent” dans cet article: https://identitynetworks.wordpress.com/2009/03/09/ready-able-and-willing-federated-consent/

# Application de type “password SSO only”: ces applications ne supportent pas la fédération, et ne sont capable de faire du SSO que sur la transmission d’un couple username+password. Il y a un effet de bord principal à ce type d’authentification, c’est lorsque l’on veut utiliser le service d’IDaaS depuis un périphérique de type smartphone ou tablette, mais ceci est un autre débat, je ferais un article prochainement sur ce sujet. Ici, il faudra alors mémoriser le couple username+password ou éventuellement se baser sur l’authentification AD, mais il faudra alors aligner ce couple avec le compte dans l’application SaaS.

Sur l’interface “Azure AD Application Gallery”, il suffit de choisir le type d’applications que l’on veut lister, et le site vous propose la liste des applications supportées par Azure AD Premium dans ce cadre. Par exemple:

consent_federation_applications

 

 

19 & 20 Octobre 2016: OCG Identity Security Summit

ocgidentitysummit

Les 19 & 20 Octobre prochains, OCG (Oxford Computer Group) organise son évènement annuel sur la gestion des identités et la transformation digitale. Pour ceux qui ne connaissent pas OCG, il s’agit ici de l’acteur Européen principal dans le monde de l’IAM version Microsoft. Le premier jour sera consacré à la partie technique autour de la gestion des identités et de la sécurité, le deuxième jour verra un focus sur la transformation digitale liée à l’IAM.

Cette année, un invité de marque: Brad Anderson qui est VP chez Microsoft. Informations complémentaires et inscriptions [ici]

 

Microsoft Azure Stack: enfin !!!!!!!!!

Je veux vous faire partager mon excitation (comme dirait un américain “i am so excited”) à la sortie de Microsoft Azure Stack. En effet, cette nouvelle offre de Microsoft va permettre de créer son propre cloud interne, en se basant sur une “stack” de type “cloud service model”. Que l’on comprenne bien, pour moi l’intérêt du cloud n’est pas principalement de mettre ses “données” ou “services” à l’extérieur et d’externaliser sa propre responsabilité. Pour moi, l’intérêt majeur du cloud est de fournir un “cloud service model” est de permettre une plate-forme agile pour les utilisateurs, les développeurs, les responsables applicatifs ou les responsables business.

Il est en effet primordial de fournir “à la demande”, “as a service” les ressources, au sens large du terme, que nécessitent les métiers au sein de l’entreprise: des serveurs, des applications, du stockage, etc. Cela doit être rapide, peu coûteux, automatisé – avec à la clé: des tableaux de bords clairs, du reporting, un système de facturation et de suivi. C’est effectivement le modèle proposé par de nombreux fournisseurs de service tels que Microsoft, Amazon ou Rackspace. Néanmoins, ce service s’exécute dans un cloud public (ok, il y a des exceptions possibles, mais restons simples…) – et cela limite grandement l’utilisation de ces services: gouvernance non adaptée, règles de sécurités ou de conformités non couvertes, bande passante Internet insuffisante, dépendance même de la connectivité Internet, mauvaise réversibilité, etc.

Depuis quelques années, se développe une tendance au cloud hybride, voir au cloud privé basée notamment sur OpenStack. La difficulté réside dans le mode “puzzle” des briques technologiques impliquées dans OpenStack, avec peu de consistance et un besoin très élevé de ressources internes pour faire fonctionner la bête.

Microsoft sort maintenant Azure Stack, qui est une installation “locale”, en cloud privé du modèle “cloud service” proposé par Microsoft dans son cloud public Azure. Et franchement, je pense que cette solution a énormément d’avenir, en apportera de la consistance, du support professionnel et des évolutions programmées au modèle “internal cloud service”.

L’avenir des équipe IT est de travailler sur l’architecture de ce type de modèle, et de permettre l’agilité complète du SI, maintenant cela va être possible de façon simple pour toutes les tailles d’entreprise ou même à l’échelle d’un service particulier au sein d’une entreprise. A terme, les entreprises qui ne vont pas adopter ce type de modèle verront un handicap croissant se greffer sur leur performance et rentabilité, année après année. Bien sur, cela suppose des briques essentielles qui ne sont pas des briques purement IT, pour moi 3 briques essentielles sont nécessaires à ce type de modèle:

  • un sponsoring direct du CTO & du CFO
  • un système de facturation interne
  • la définition d’un catalogue de service

J’encourage tous mes lecteurs à planifier d’ici la fin de l’année une évaluation de Microsoft Azure Stack, car celui ci sera peut être au centre de leurs activités futures dans les années à venir. Le service IT interne a de la valeur, de l’expérience, des idées et bien maintenant prouvons le.

Quelques explications complémentaires disponibles sur cette vidéo:

” And, i am so excited 😉 “

Directory as a Service, c’est parti !

AzureADDoma1Ça y est ! Microsoft rend public Azure AD Domain Services (à ne pas confondre avec Azure AD ou avec le fait d’installer un DC sur la plateforme IAAS d’Azure… Bon, je sais, ca devient un peu compliqué) qui est la première brique d’une approche qui fait fantasmer énormément de monde: le Directory As A Service ou DaaS. Alors oui, vous allez me dire le DaaS c’est aussi le “Data as a Service”, le “Desktop as a service”, etc… bon d’accord, alors écrivons le comme cela: DIRaaS, cela sera plus clair…

Donc pour faire simple, Microsoft rend public un nouveau service Azure permettant de créer un service online “simulant” un Active Directory dans Azure (côté SaaS, pas côté IaaS): Azure AD Domain Services. Les objectifs de ce service sont multiples:

(1) Permettre aux entreprise qui possèdent des applications AD dépendantes dans l’IaaS d’Azure (donc des applications hébergées sur des machines virtuelles Azure pour faire simple) de consommer un service Active Directory standard (enfin presque…) sans être obligé d’installer et de maintenir des DCs sur des machines virtuelles Azure uniquement pour des besoins applicatifs

(2) Permettre à des petites entreprises de pouvoir TOUT consommer sous la forme de service d’infrastructure depuis la plateforme Azure – Mais attention, à ce stade il n’est possible que de joindre des machines qui sont des VMs dans Azure, donc ici, pas possible de joindre un domaine Azure AD Domain Services depuis par exemple une machine Windows 10 qui est “on premises” (alors que cette fonction existe avec AD Azure, oui je sais c’est un peu compliqué…)

(3) A terme, fournir un véritable DIRaaS pour les grandes entreprises. Sur ce point, oui, je sais,  j’extrapole, mais je sens bien les choses comme cela, et franchement c’est assez intéressant. Bien sur il y a encore pas mal de dev à faire, mais cela va venir, j’en suis persuadé…

Faire des tests !

En effet, dans le cadre de la gestion de VMs qui sont dans Azure et qui possèdent des applications dépendantes à AD, il faut voir globalement le service Azure AD Domain Services comme un service qui expose les protocoles Kerberos, NTLM, LDAP et GPOs – les VMs Azure peuvent donc joindre ce domaine. Mais attention, on est pas ici exactement comme un domaine AD, donc il est important de faire des tests pour valider que vos applications sont fonctionelles dans ce contexte technique et être certain qu’elles fonctionnent avec ce service – à ce jour, je ne suis pas sur qu’il existe un catalogue officiel d’applications certifiées pour le service, cela viendra certainement.

En bref.

Super intéressant, à tester. Plus d’informations [ ici ]