Stanislas Quastana's blog on TechNet

Windows Server, Windows Client, Cloud Computing, DirectAccess, sécurité des Systèmes d Information

Mise en œuvre Microsoft Azure Active Directory avec fédération – partie 1 – Présentation de la plateforme et création de l’annuaire Azure Active Directory

Mise en œuvre Microsoft Azure Active Directory avec fédération – partie 1 – Présentation de la plateforme et création de l’annuaire Azure Active Directory

  • Comments 3
  • Likes

L’objectif de cette série de billets est de monter une plateforme où un utilisateur à l’extérieur de l’entreprise va se connecter à des ressources (Azure RemoteApp, Portail d'entreprise Windows Intune, Office 365…) hébergées dans le Cloud public de Microsoft mais avec son identité authentifiée par l’Active Directory sur site (Fédération d’identité)

Descriptif de la plateforme

La plateforme à l’issue de la mise en œuvre de la fédération sera la suivante :

Mon nom de domaine externe est ADinAzure.info et mon domaine Active Directory interne est ADinAzure.net

Explication simplifiée du processus d’authentification fédérée :

1- Le poste client veut accéder à une ressource sur un service dans le Cloud public Microsoft. Le service de Cloud lui indique qu’il doit présenter un jeton de sécurité validé par la Federation Gateway du Cloud Microsoft
2- Le client se connecte à la Federation Gateway pour obtenir son jeton de sécurité. Celle-ci lui dit qu’il faut qu’il le demande auprès de son serveur STS (Security Token Service) hébergé dans l’entreprise (c’est le serveur ADFS)
3- Le client se connecte au STS de l’entreprise (ici l’URL est STS.ADinAzure.info…) et demande un jeton.
4- Le Serveur STS demande contacte l’Active Directory et envoie les crédentiels fournis par l’utilisateur. Il reçoit en retour un ticket Kerberos ou une authentification NTLM.
5- Le Serveur STS transforme le tout en jeton SAML qui est signé et retourné au client
6- Le client présente son Jeton à la Federation Gateway qui le valide et qui émet un nouveau jeton incluant l’identifiant NetID unique du service de Cloud
7- La Federation Gateway envoie au client le nouveau Jeton
8- Le client présente le jeton à la ressource hébergée (ex: SharePoint, Exchange..) sur le Cloud public Microsoft

Voilà la plateforme est présentée, il ne reste plus qu’à tout configurer et pour commencer, il faut créer l’annuaire Azure Active Directory

Création d’un annuaire Windows Azure Active Directory

Prérequis : disposer d’un abonnement Windows Azure (une version d’évaluation gratuite de 30 jours est disponible ici) et se connecter au portail d’administration.

  

Votre compte d’administration doit apparaître dans la liste des utilisateurs avec comme Source Microsoft Account (ici mon compte d’administration est un compte d’entreprise fédéré d’un autre WAAD)

Cliquer sur Add user

Saisir l’adresse email de l’utilisateur qui va recevoir le courrier suivant :

 

Début de configuration de WAAD pour la fédération

Revenir sur le portail d’administration avec le compte administrateur de l’abonnement Windows Azure

Dans la zone réservé à Azure Active Directory, aller sur la page (onglet) Directory Integration

Aller sur la page (onglet) Domains

Cliquer sur Add a Custom Domain et c’est ici qu’il faut donner le nom externe DNS utiliser dans l’entreprise (dans mon exemple : ADinAzure.info)

Note : vous devez être le propriétaire ou un administrateur de cette zone DNS publique (ce sera nécessaire de créer des enregistrements dans cette zone plus tard dans cette installation de plateforme)

Domains planned for single-on est désormais à 1

Prochaine étape : partie 2 – le serveur ADFS

Vous êtes professionnel et légitimement vous vous posez des questions sur le Cloud, Windows Azure, Hyper-V, Windows Server, l’évolution du datacenter vers un cloud privé ou hybride alors pour en savoir plus, n’hésitez pas à suivre les sessions gratuites de formation de la Microsoft Virtual Academy : http://www.microsoftvirtualacademy.com/

Pour évaluez gratuitement Windows Azure : http://azure.microsoft.com/fr-fr/pricing/free-trial/

- Stanislas Quastana -

Comments
Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment