L’ampleur et surtout la diversification des services et ressources Cloud utilisées par chaque entreprise impose de revoir leur modèle de gouvernance, pour qu’on puisse avoir une vision cohérente et unifiée de point de vue management, sécurité, opérationnel ou financier. Comment résoudre ces points ? Focus sur Azure Active Directory et les services adjacents Azure, de la part de Microsoft, pour vous proposer une solution intégrée à ces problématiques actuelles.

1. Gouvernance et sécurisation de vos ressources Cloud avec
Azure Active Directory
Marius Zaharia
30 Novembre 2016

2. 3 Identité : sécurité et gouvernance
2 Identité : principes et historique
5 Focus : Azure Active Directory
1 Introduction
6 Démo
7 Azure AD : 7 bonnes règles de sécurité et gouvernance
4 Solutions IAM dans le Cloud public

3. Cellenza : des experts reconnus
dans le Cloud, DevOps, Intégration, …
10
Azure
C#
ALM
SQL Server
Windows Client
1 4
Des publications :
• Livres blancs (Cell’Insights)
• http://www.cellenza.com/cellinsights
• Articles dans Programmez!
• Blog Cellenza
• http://blog.cellenza.com
• Organisation de TechEvent
• Speakers lors de conférences Microsoft
• TechDays, Azure Camp, …

4. Marius Zaharia
Architecte Cloud Senior
Efficient
& Visionary
“Manage
Teams Architectures
Understand
ComplexInternational
+ Mon expérience
+ Mon expertise
IDÉATION CONCEPTION WIREFRAMES
Marius apporte aux clients son expertise et expérience dans l’analyse, conception et
développement d’applications complexes d’entreprise et d’intégration applicative et
d’infrastructure basées principalement sur des technologies Microsoft.
Son profile lui permet d’aborder les architectures Cloud Computing, SOA, hybridation et
urbanisation des SI dans des missions polyvalentes solution/développement et IT pro.
Marius travaille également dans les activités de Business Development et avant-vente de
Cellenza, étant P-SELLER Azure (en partenariat avec Microsoft).
Dans le monde communautaire, Marius est impliqué dans l’organisation d’AZUG FR –
Azure User Group France et des conférences comme Global Azure Bootcamp, MS Cloud
Summit, des meetups réguliers avec la communauté Azure etc.
DevOps
P-SELLER
Azure

5. Identité : principes et historique

6. IAM : aujourd’hui (ou hier)
 IAM (Identity and Access Management) :
“Set of business processes, and a supporting infrastructure
for the creation, maintenance, and use of digital identities”
 Services et produits de référence
Composants fonctionnels :
 Identity life cycle management
 Creation
 Utilization
 Termination
 Access management
 Single Sign-On
 Trust and Federation
 User Entitlements
 Auditing
 Directory services
 Infrastructure
 Entitlements
 Security policies

7. Identité digitale
 Anatomie d’une identité digitale
 Identificateur
 Credentials
 Attributs / claims
 Principaux
 Spécifiques au contexte
 Contextes d’identité
 B2E (business to employees)
 B2C (business to consumers)
 B2B (business to business)
 Standards et protocoles
 LDAP, Kerberos, NTLM : intra-entreprise
 Claims-based auth : niveau supérieur d’abstraction
 SAML 2.0 : fédération d’identité (basé sur claims)
 OpenID Connect : standard ouvert d’authentification et autorisation
 OAuth 2.0 : standard ouvert d’autorisation*

8. Identité :
sécurité et gouvernance

9. Identité : sécurité et gouvernance (1)
Aspects à considérer par rapport à la sécurité et gouvernance de
l’identité :
 Authentification unique
 Des ressources Cloud: portail, stockage, machines, réseaux virtuels, ...
 Des applications
 SaaS
 Métier / entreprise
 Publiques
 Protection via l'authentification multi-facteur (MFA)
 Via différents moyens : appel téléphonique, SMS, application mobile, …
 Gestion autonome
 Reset (automatique) des mots de passe, la gestion autonome des profiles,
des membres de groupes, …

10. Identité : sécurité et gouvernance (2)
Aspects à considérer par rapport à la sécurité et gouvernance de
l’identité :
 Protection contre les attaques en masse (DoS)
 Contrôle et audit des accès
 Audits individuels
 Rapports statistiques
 Détection intelligente et préemptive
 Rapports des accès suspects
 Détection de l'action "avant" qu’elle se passe

11. Solutions IAM dans le Cloud public

12. Ce que Gartner dit
 Gartner MQ on Identity
 En grande partie des éditeurs
dédiés
 Où sont les grands Cloud publics ?
 Amazon AWS
 Microsoft Azure
 Google Cloud Engine
 Solution Microsoft :
Azure Active Directory

13. Azure Active Direcotry
 Azure Active Directory (Azure AD) est le service Microsoft de gestion
des annuaires et des identités basé sur le cloud mutualisé
 Azure AD propose des fonctionnalités d’identité et d’accès pour les
applications qui s’exécutent dans Azure et localement
 Azure Active Directory est la solution d’identité pour :
 Les ressources Cloud Microsoft : Azure, Office 365, Dynamics CRM, Intune, …
 Des applications SaaS tierces (pré-intégrées ou pas)
 Les applications d’entreprise, hébergées dans le Cloud ou sur site
 Des applications publique consommateur
 On peut créer et gérer un ou plusieurs annuaires (tenants) qu’on
utilisera en fonction du contexte et besoin

14. Focus : Azure Active Directory

15. Azure AD - Architecture
 Cloud uniquement, ou
 Hybride (synchronisation avec AD DS)
Support des applications :
 Ressources Azure, Cloud Microsoft,
applications Microsoft : natif
 Applications SaaS : natif pour 2500+
applications
 Applications autres : développement
selon protocoles standard
 Legacy / sur site : via Application Proxy

16. Azure AD – plans et fonctionnalités (1)
 Plans:
 Gratuit
 Basic
 Premium P1 et P2
 Fonctionnalités
 Communes
 Basic + Premium

17. Azure AD – plans et fonctionnalités (2)
 Plans:
 Gratuit
 Basic
 Premium P1 et P2
 Fonctionnalités
 Premium

18. Azure AD B2C, Azure AD B2B Collaboration
 Azure AD B2C (preview*):
 Applications consommateurs
 Identités réseaux sociaux
 Identité propre interne
 Self-service : sign-in, sign-up,
édition profile
 Azure AD B2B (preview)
 Collaboration / intégration avec
d’autres entreprises via
programme d’invitation
Azure Active Directory B2C

19. Azure Active Directory
DEMO

20. Azure Active Directory :
7 bonnes règles de sécurité et gouvernance

21. 7 bonnes règles de sécurité et gouvernance (1)
1. Centralisation de la gestion de votre identité
 Identité sur site et cloud gérées en un seul endroit : Azure AD
 Pour mettre en œuvre le scénario d’identité hybride :
 Synchronisation de votre annuaire local avec votre annuaire de cloud à l’aide d’Azure
AD Connect
 Fédération de votre identité en local avec votre annuaire de cloud à l’aide des
Services ADFS
2. Activation de l’authentification unique (SSO)
 Permet aux utilisateurs d’accéder à leurs applications SaaS avec leur compte
professionnel dans Azure AD.
 Ceci s’applique non seulement aux applications SaaS de Microsoft, mais
également à d’autres applications, telles que Google Apps et Salesforce.

22. 7 bonnes règles de sécurité et gouvernance (2)
3. Déploiement de la gestion des mots de passe
 Tirer parti de la fonctionnalité de réinitialisation de mot de passe en libre-service
 personnaliser les options de sécurité pour répondre aux besoins de votre
entreprise
4. Authentification multifacteur (MFA) pour les utilisateurs
 Ainsi vous ajoutez une deuxième couche de sécurité aux connexions et
transactions des utilisateurs.
5. Utilisation du contrôle d’accès en fonction du rôle (RBAC)
 Tirer parti des rôles RBAC intégrés dans Azure pour affecter des privilèges aux
utilisateurs

23. 7 bonnes règles de sécurité et gouvernance (3)
6. Identité pour les applications SaaS : développements intégrés
 Azure AD simplifie l’authentification pour les développeurs
 Prise en charge des protocoles standard tels que OAuth 2.0 et OpenID Connect
 Bibliothèques open source pour différentes plateformes.
7. Surveillance active des activités suspectes
 Utiliser les rapports d’anomalies pour identifier :
 les tentatives de connexion sans être suivi,
 les attaques en force brute contre un compte particulier,
 les tentatives de connexion depuis plusieurs emplacements,
 la connexion à partir d’appareils infectés et d’adresses IP suspectes
 Azure AD Identity Protection est un système de surveillance actif qui signale les
risques en cours sur son propre tableau de bord

24. Questions ?

25. Merci !