Dans cette session, venez découvrir les concepts de fédération d’identités et l’utilité que cela peut avoir dans votre environnement collaboratif. Nous aborderons ici l’authentification fédérée sur un SharePoint local, mais également dans un environnement hybride dans Office 365. La sécurité et l’expérience utilisateur sera au rendez-vous lors de cette session ! Des démos live seront proposées pour bien comprendre les interactions.
3. • Protéger vos données grâce à Microsoft RMS
Vendredi 13
• Office 365 hybride, et si on parlait retour
d’expériences
Samedi 14
• La fédération d'identité, quels avantages pour
mon SharePoint
Samedi 14
Sessions SPD 2016
3
4. • L’identité chez Microsoft
• Présentation de ADFS
• ADFS et SP Server
• ADFS et SP Online
• Personnalisation
SOMMAIRE
4
5. L’identité chez Microsoft
Forefront Microsoft
Identity Manager
Gestion des identités
Automatisation, sur la base de règles, des identités
(comptes, groupes, habilitations) au sein du SI
Azure Active
Directory Connect
Gestion des identités entre Active Directory et Azure
Active Directory
Rights Management
Services
Protection numérique des documents
Chiffrement et droits d’usages dans les documents
de l’entreprise : Messagerie, SharePoint, Office
AD Federation
Services
Fédération d’identités
Permet le SSO applicatif en mode WEB pour les
services supportant le protocole SAML
6. Présentation de ADFS
Consommation croissante des applications d’entreprise par les partenaires et
les clients de l’entreprise (collaboration étendue) : B2B et/ou B2C
La problématique d’authentification est omniprésente
L’identité est au cœur du système d’information
La notion d’autorisation est primordiale
Le cloud en première ligne
La sécurité mise à mal
…
L'identité, une constante qui génère de réelles problématiques…
8. Présentation de ADFS
Projeter l’identité utilisateur sur la base d’une première ouverture de session
• Etendre le périmètre d’utilisation d’Active Directory
Permettre la mise en place d’une solutions de Web SSO ainsi qu’une
gestion simplifiée des identités
Fournir des mécanismes d’authentifications et d’autorisations distribués
• Permettre aux clients, partenaires, fournisseurs, collaborateurs un
accès sécurisé et contrôlé aux applications web situées hors de leur
forêt Active Directory
Principaux objectifs d’ADFS
9. Présentation de ADFS
ADFS n’est pas
• Un nouveau type de relation d’approbation ou de forêt
• Un nouveau référentiel d’identités
ADFS ne nécessite pas
• Une extension du schéma Active Directory
ADFS est
• Un composant de Windows Server
ADFS s’appuie sur un certain nombre de composants de l’offre Microsoft
• AD DS en temps que référentiel utilisateur
• Certificate Services pour l’émission des certificats (optionnel)
• Remote Access (pour la partie proxy)
Ce qu’il faut savoir
10. Présentation de ADFS
Infrastructure ADFS (ADFS 3.0)
Active Directory
• Fournisseur d’identités
• Authentification des utilisateurs
• Gestion des attributs utilisés pour constituer les claims (revendication)
ADFS Server
• Service de jetons de sécurité
- Mappage des attributs utilisateur en claims
- Emission de jetons de sécurité
• Gestion des politiques de confiance de fédération
Remote Access - WAP (proxy ADFS) OU Proxy ADFS en version 2.0
• Fournir un contrôle d'accès aux utilisateurs externes
SQL Server (Optionnel) – SINON WID (Windows Internal Database)
• Stockage de la configuration de l’infrastructure ADFS
AD CS (optionnel)
• Emission de cetificats
Windows Server 2008 R2 ADFS 2.0 (téléchargement gratuit)
Windows Server 2012 Inclus
Windows Server 2012 R2 Inclus
12. Présentation de ADFS
Extranet sécurisé
Solutions Cloud
Gestion avancé d’un projet d’identité
Fusion acquisition
Authentification inter-forêt
Remplacement des trust inter-domaine
Cas d’utilisation
13. Présentation de ADFS
S’intègre à SharePoint Server et SharePoint Online
Se base sur l’annuaire d’entreprise Active Directory
Support les standard Microsoft
Gratuit avec les licences Windows Server
Nécessaire pour faire du SSO avec l’offre Office 365
Pourquoi configurer mon SharePoint avec ADFS !
14. Présentation de ADFS
Le SSO signifie « Single Sign On », qui peut se traduire en français par
« authentification unique »
Le Web SSO se consacre à l'authentification unique pour les applications Web,
c'est-à-dire des applications client-serveur dont le client est un navigateur Web
(IE, Firefox, etc.)
L'authentification est le processus de validation de l'identité d'un utilisateur
L'autorisation est le processus qui détermine les ressources, auxquels un
utilisateur (une identité) peut avoir accès
Terminologie générique
15. Présentation de ADFS
Terminologie ADFS
Claim (revendication)
Un élément d'information décrivant un utilisateur
Security Token (jeton de sécurité)
Ensemble sérialisé de revendication concernant un utilisateur authentifié, signé
numériquement par un fournisseur de jeton
Identity Provider (IdP)
Fournisseur d’identité
Relying Party (RP) (Partie utilisatrice)
Applications qui prend des décisions d'autorisation basées sur les revendications
Security Token Service (STS) (service d’émission de jeton de sécurité)
Valide les informations d'identification de l’utilisateur. Signe et émet des jetons
contenant des revendications
Realm (identifiant unique pour l’application)
17. Présentation de ADFS
Issuer / Identity Provider (IP)
Active
Directory
Security Token Service (STS)
Authentication request
Issues Security Token
Relying party /
Resource provider
Trusts the Security Token
from the issuer
Jeton de sécurité contenant
Les revendications de l’utilisateur
Exemple :
• Name
• Group membership
• User Principal Name (UPN)
• Email address of user
• Email address of manager
• Phone number
• Other attribute values
Security Token “Authenticates”
user to the application
ST
Signed by issuer
User / Subject /Principal
Mécanisme (schéma)
18. Présentation de ADFS
Mécanisme (flux)
ADFS STSClaims-aware app Active Directory
Browse app
Not authenticated
Redirected to STS
Authenticate
User
Query for user attributes
Return Security Token
Return page
and cookie
Send Token
ST
ST
App trusts STS
19. ADFS et SP Server
… et mon SharePoint dans tout ça…
Classic Mode
Authentication
Claims Mode
Authentication
Windows Token Claims Token
SharePoint 2010 SharePoint 2013
Old School
20. ADFS et SP Server
Mode d’authentification sous SharePoint 2013
• Windows Authentication
• Trusted Identity Provider (SAML)
• Forms Based Authn (FBA)
21. ADFS et SP Server
Interne et externe ! Le proxy répond à la problématique !
L’utilisation de VPN, de DirectAccess, ou de proxy d’authentification
n’est pas nécessaire !
ADFS Forever !!!
Utilisateur SharePoint
ADFS
Server
Internet
Trust Relationship
Trust Relationship
DMZ
Utilisateur
WAP - Proxy
Active
Diretory
22. ADFS et SP Server
Configuration – les grandes étapes
23. DEMO
• Un peu de configuration…
• Authentification depuis l’interne
• Authentification depuis l’externe
25. ADFS et SP Online
Synchronisation entre AD Local et Azure AD
Office 365 Hybride-Identité Software
26. ADFS et SP Online
Identité unique dans le Cloud qui
convient pour les (petites) entreprises
sans intégration aux annuaires à
demeure
Identité unique adaptée pour les
moyennes et grandes entreprises sans
fédération
Identité fédérée et information
d’identification unique appropriée pour
les moyennes et grandes entreprises
Office 365 Hybride - L’identité chez Microsoft
27. ADFS et SP Online
Office 365 Hybride - Identité Cloud + Synchronisation d’annuaire
Saisie du mot de passe par l’utilisateur
obligatoire
Pas de SSO
Possibilité de synchroniser les mots de
passe
joris@it-channels.com
29. ADFS et SP Online
Office 365 Hybride - Identité - SmartLinks
Définition : Les smart links vont vous
permettre de jouer une redirection
pour bénéficier d'une
authentification SSO sur les
services disponibles dans Office 365
Bénéfice : meilleur expérience
utilisateur car celui-ci ne verra
jamais l’interface du portail Microsoft
Mise en place : facile !
Exception : Exchange Online
30. DEMO
• Un peu de configuration…
• Authentification depuis l’interne
• Authentification depuis l’externe
32. Présentation de ADFS
En guise de conclusion
Passer à un état d’esprit axé sur les revendications est crucial
Mais la migration en douceur est possible dans la plupart des situations
La fédération d’identité devient une nécessité et accompagne le passage au
cloud
Sa mise en œuvre est simple à réaliser et à maintenir
Une phase de conception (topologie, revendications, protocoles découvertes de
domaines d’origine, etc.) s’impose
ADFS est basé sur des protocols standard
…
34. Thank you for your attention!
This presentation will be available on the
Casablanca SharePoint Days web site after the
event.
Merci de votre attention !
Cette présentation sera disponible sur le site internet
de SharePoint Days Casablanca, après l’événement.
@faurejoris
35. SVP évaluez ma session!
Complétez le sondage et courez la chance
de gagner un cadeau surprise
Please rate this session!
Fill out the survey and get a chance to win a Gift