Dans cette session, venez découvrir les concepts de fédération d’identités et l’utilité que cela peut avoir dans votre environnement collaboratif. Nous aborderons ici l’authentification fédérée sur un SharePoint local, mais également dans un environnement hybride dans Office 365. La sécurité et l’expérience utilisateur sera au rendez-vous lors de cette session ! Des démos live seront proposées pour bien comprendre les interactions.

1. La fédération d'identité, quels
avantages pour mon SharePoint
Joris Faure – Directeur des solutions Microsoft
SII Canada

2. 2
fr.linkedin.com/in/jorisfaure/
@faurejoris
Joris Faure
Pour aller plus loin : http://it-channels.com
SPEAKER

3. • Protéger vos données grâce à Microsoft RMS
Vendredi 13
• Office 365 hybride, et si on parlait retour
d’expériences
Samedi 14
• La fédération d'identité, quels avantages pour
mon SharePoint
Samedi 14
Sessions SPD 2016
3

4. • L’identité chez Microsoft
• Présentation de ADFS
• ADFS et SP Server
• ADFS et SP Online
• Personnalisation
SOMMAIRE
4

5. L’identité chez Microsoft
Forefront Microsoft
Identity Manager
Gestion des identités
Automatisation, sur la base de règles, des identités
(comptes, groupes, habilitations) au sein du SI
Azure Active
Directory Connect
Gestion des identités entre Active Directory et Azure
Active Directory
Rights Management
Services
Protection numérique des documents
Chiffrement et droits d’usages dans les documents
de l’entreprise : Messagerie, SharePoint, Office
AD Federation
Services
Fédération d’identités
Permet le SSO applicatif en mode WEB pour les
services supportant le protocole SAML

6. Présentation de ADFS
 Consommation croissante des applications d’entreprise par les partenaires et
les clients de l’entreprise (collaboration étendue) : B2B et/ou B2C
 La problématique d’authentification est omniprésente
 L’identité est au cœur du système d’information
 La notion d’autorisation est primordiale
 Le cloud en première ligne
 La sécurité mise à mal
 …
L'identité, une constante qui génère de réelles problématiques…

7. Présentation de ADFS
 Avant …
…après ! 

8. Présentation de ADFS
 Projeter l’identité utilisateur sur la base d’une première ouverture de session
• Etendre le périmètre d’utilisation d’Active Directory
 Permettre la mise en place d’une solutions de Web SSO ainsi qu’une
gestion simplifiée des identités
 Fournir des mécanismes d’authentifications et d’autorisations distribués
• Permettre aux clients, partenaires, fournisseurs, collaborateurs un
accès sécurisé et contrôlé aux applications web situées hors de leur
forêt Active Directory
Principaux objectifs d’ADFS

9. Présentation de ADFS
 ADFS n’est pas
• Un nouveau type de relation d’approbation ou de forêt
• Un nouveau référentiel d’identités
 ADFS ne nécessite pas
• Une extension du schéma Active Directory
 ADFS est
• Un composant de Windows Server
 ADFS s’appuie sur un certain nombre de composants de l’offre Microsoft
• AD DS en temps que référentiel utilisateur
• Certificate Services pour l’émission des certificats (optionnel)
• Remote Access (pour la partie proxy)
Ce qu’il faut savoir

10. Présentation de ADFS
Infrastructure ADFS (ADFS 3.0)
 Active Directory
• Fournisseur d’identités
• Authentification des utilisateurs
• Gestion des attributs utilisés pour constituer les claims (revendication)
 ADFS Server
• Service de jetons de sécurité
- Mappage des attributs utilisateur en claims
- Emission de jetons de sécurité
• Gestion des politiques de confiance de fédération
 Remote Access - WAP (proxy ADFS) OU Proxy ADFS en version 2.0
• Fournir un contrôle d'accès aux utilisateurs externes
 SQL Server (Optionnel) – SINON WID (Windows Internal Database)
• Stockage de la configuration de l’infrastructure ADFS
 AD CS (optionnel)
• Emission de cetificats
Windows Server 2008 R2 ADFS 2.0 (téléchargement gratuit)
Windows Server 2012 Inclus
Windows Server 2012 R2 Inclus

11. Présentation de ADFS
Schéma
Utilisateur SharePoint
ADFS
Server
Internet
Trust Relationship
Trust Relationship
DMZ
Utilisateur
WAP - Proxy
Active
Diretory

12. Présentation de ADFS
 Extranet sécurisé
 Solutions Cloud
 Gestion avancé d’un projet d’identité
 Fusion acquisition
 Authentification inter-forêt
 Remplacement des trust inter-domaine
Cas d’utilisation

13. Présentation de ADFS
 S’intègre à SharePoint Server et SharePoint Online
 Se base sur l’annuaire d’entreprise Active Directory
 Support les standard Microsoft
 Gratuit avec les licences Windows Server 
 Nécessaire pour faire du SSO avec l’offre Office 365
Pourquoi configurer mon SharePoint avec ADFS !

14. Présentation de ADFS
 Le SSO signifie « Single Sign On », qui peut se traduire en français par
« authentification unique »
 Le Web SSO se consacre à l'authentification unique pour les applications Web,
c'est-à-dire des applications client-serveur dont le client est un navigateur Web
(IE, Firefox, etc.)
 L'authentification est le processus de validation de l'identité d'un utilisateur
 L'autorisation est le processus qui détermine les ressources, auxquels un
utilisateur (une identité) peut avoir accès
Terminologie générique

15. Présentation de ADFS
Terminologie ADFS
Claim (revendication)
 Un élément d'information décrivant un utilisateur
Security Token (jeton de sécurité)
 Ensemble sérialisé de revendication concernant un utilisateur authentifié, signé
numériquement par un fournisseur de jeton
Identity Provider (IdP)
 Fournisseur d’identité
Relying Party (RP) (Partie utilisatrice)
 Applications qui prend des décisions d'autorisation basées sur les revendications
Security Token Service (STS) (service d’émission de jeton de sécurité)
 Valide les informations d'identification de l’utilisateur. Signe et émet des jetons
contenant des revendications
Realm (identifiant unique pour l’application)

16. Présentation de ADFS
Revendication
Revendication
Revendication
Revendication
Signature
Nom
Email
Localisation
Jeton de revendications

17. Présentation de ADFS
Issuer / Identity Provider (IP)
Active
Directory
Security Token Service (STS)
Authentication request
Issues Security Token
Relying party /
Resource provider
Trusts the Security Token
from the issuer
Jeton de sécurité contenant
Les revendications de l’utilisateur
Exemple :
• Name
• Group membership
• User Principal Name (UPN)
• Email address of user
• Email address of manager
• Phone number
• Other attribute values
Security Token “Authenticates”
user to the application
ST
Signed by issuer
User / Subject /Principal
Mécanisme (schéma)

18. Présentation de ADFS
Mécanisme (flux)
ADFS STSClaims-aware app Active Directory
Browse app
Not authenticated
Redirected to STS
Authenticate
User
Query for user attributes
Return Security Token
Return page
and cookie
Send Token
ST
ST
App trusts STS

19. ADFS et SP Server
… et mon SharePoint dans tout ça…
Classic Mode
Authentication
Claims Mode
Authentication
Windows Token Claims Token
SharePoint 2010 SharePoint 2013
Old School 

20. ADFS et SP Server
Mode d’authentification sous SharePoint 2013
• Windows Authentication
• Trusted Identity Provider (SAML)
• Forms Based Authn (FBA)

21. ADFS et SP Server
Interne et externe ! Le proxy répond à la problématique !
L’utilisation de VPN, de DirectAccess, ou de proxy d’authentification
n’est pas nécessaire !
ADFS Forever !!!   
Utilisateur SharePoint
ADFS
Server
Internet
Trust Relationship
Trust Relationship
DMZ
Utilisateur
WAP - Proxy
Active
Diretory

22. ADFS et SP Server
Configuration – les grandes étapes

23. DEMO
• Un peu de configuration…
• Authentification depuis l’interne
• Authentification depuis l’externe

24. ADFS et SP Online
Office 365 Hybride-Identité

25. ADFS et SP Online
Synchronisation entre AD Local et Azure AD
Office 365 Hybride-Identité Software

26. ADFS et SP Online
Identité unique dans le Cloud qui
convient pour les (petites) entreprises
sans intégration aux annuaires à
demeure
Identité unique adaptée pour les
moyennes et grandes entreprises sans
fédération
Identité fédérée et information
d’identification unique appropriée pour
les moyennes et grandes entreprises
Office 365 Hybride - L’identité chez Microsoft

27. ADFS et SP Online
Office 365 Hybride - Identité Cloud + Synchronisation d’annuaire
 Saisie du mot de passe par l’utilisateur
obligatoire
 Pas de SSO
 Possibilité de synchroniser les mots de
passe
joris@it-channels.com

28. ADFS et SP Online
Utilise l’UPN (UserPrincipaName)
https://login.microsoftonline.com
joris@it-channels.com
Office 365 Hybride - Identité Cloud + Synchronisation d’annuaire

29. ADFS et SP Online
Office 365 Hybride - Identité - SmartLinks
 Définition : Les smart links vont vous
permettre de jouer une redirection
pour bénéficier d'une
authentification SSO sur les
services disponibles dans Office 365
 Bénéfice : meilleur expérience
utilisateur car celui-ci ne verra
jamais l’interface du portail Microsoft
 Mise en place : facile !
 Exception : Exchange Online

30. DEMO
• Un peu de configuration…
• Authentification depuis l’interne
• Authentification depuis l’externe

31. Personnalisation
Office 365 Hybride-Identité - Personnalisation
 Modification des images
 Modification des liens
 Modification des champs
 Configuration en powershell

32. Présentation de ADFS
En guise de conclusion
 Passer à un état d’esprit axé sur les revendications est crucial
 Mais la migration en douceur est possible dans la plupart des situations
 La fédération d’identité devient une nécessité et accompagne le passage au
cloud
 Sa mise en œuvre est simple à réaliser et à maintenir
 Une phase de conception (topologie, revendications, protocoles découvertes de
domaines d’origine, etc.) s’impose
 ADFS est basé sur des protocols standard
 …

33. Questions ?

34. Thank you for your attention!
This presentation will be available on the
Casablanca SharePoint Days web site after the
event.
Merci de votre attention !
Cette présentation sera disponible sur le site internet
de SharePoint Days Casablanca, après l’événement.
@faurejoris

35. SVP évaluez ma session!
Complétez le sondage et courez la chance
de gagner un cadeau surprise
Please rate this session!
Fill out the survey and get a chance to win a Gift