Donnez votre avis !Depuis votre smartphone, sur :http://notes.mstechdays.frDe nombreux lots à gagner toutes les heures !!!...
SEC308 Identity as a Service(IDaaS), un service prêt à l’usageavec Windows Azure ActiveDirectoryPhilippe BeraudArnaud Jume...
Souscrivez à l’offre d’essai ou activez votreaccès Azure MSDNPrésentez-vous sur le stand Azure(zone Services & Tools)Parti...
• Un premier aperçu• Annuaire et synchronisation• Directory Graph APINotre agenda pour la session• Sessions complémentaire...
L’exécution dans Windows Azured’une machine virtuelle avec le rôleActive Directory N’EST PAS WindowsAzure Active Directory...
• Consolider la gestion des identités entre lesapplications Cloud de l‟organisation• Se connecter à l‟annuaire Cloud de l‟...
Annuaires Active Directory sur site etCloud gérés comme un seulInformation (au niveau souhaité)synchronisée avec le Cloud,...
• Un service de type Cloud demande des capacités qui nefont pas partie de Windows Server AD• Maximisation de la portée en ...
Gestion et utilisation d’AAD
ANNUAIRE ET SYNCHRONISATIONWindows Azure Active Directory
• Lintégration de lannuaire est la première partie dunécosystème plus large• Lexpérience dauthentification unique (SSO) es...
• Les deux ne sont pas identiques !• Les solutions de synchronisation sont des solutionsde provisioning mais pas linverse ...
Options dintégration dans AAD
• 3 outils pour la synchronisation d’annuaire1. Single-forest DirSync Tool2. Multi-forest DirSync Tool3. Connecteur AAD po...
Choisir un outil de synchronisation
Architecture – "Sous le capot"
• Introduction– Source faisant autorité (contexte de création)• Détermine à partir d‟où les modifications doivent être eff...
• UserPrincipalName– Correspond à l‟identifiant utilisateur qui est saisi lors de l‟accès à un servicedu Cloud Microsoft O...
• SourceAnchor– Utilisé pour identifier de façon unique un objet créé dans le Cloud ou biensur site• Avec DirSync Tool, la...
• SourceAnchor– Critique pour déployer avec succès le SSO et la fédération avecADFS 2.0 ou à l‟aide d‟une technologie tier...
• La plupart des erreurs de synchronisation sont dues :– Adresses de proxy dupliquées– Valeur UPN déjà existante– Des erre...
• Déploiements de services hybrides– Certains attributs sur site doivent être mis à jour en fonction desactivités dans le ...
• Connecteur AAD pour FIM 2010 (R2)– Sera disponible dans le courant de l‟année 2013– Permet la création / la suppression ...
• Scénario type– Une ou plusieurs forêts de compte et une forêt de ressource hébergeant Exchange– Sait également fonctionn...
SYNCHRONISATION AAD AVEC FIM2010 R2Windows Azure AD Directory
• Limitations– Ne prend pas en charge des licences dutilisateur• Possibilité d‟exécuter à la fin de la tâche de synchronis...
DIRECTORY GRAPH APIWindows Azure Active Directory
• https://graph.windows.net/contoso.com/– TenantDetails– Users– Groups– Contacts– Service Principals– Roles– Subscribed Sk...
Objectifs/Bénéfices clésRendre simple le développement d‟application s‟interfaçant avec AADUne fondation solide pour la cr...
• REST– Largement adopté par l‟industrie– Très simple - HTTP - GET, PUT, POST, DELETE• Supporte les codes de réponses HTTP...
• Structure dune requête URI<Service root>/<resource path>[? Query string options]https://graph.windows.net/contoso.com/Us...
Obtenir un objet utilisateurObjet utilisateur JSON retournéRequête : https://graph.windows.net
Liens Utilisateur
Liens Groupe
• Les objets utilisateurs sont triés selon leDisplayName, les autres types d’objets ne sont pastriés• Options de requête O...
NAVIGATION AVEC GRAPHEXPLORERWindows Azure AD Directory Graph API
• L’administrateur de l’organisation ajoute un"Application Service Principal" à son locataire et luiassigne un rôle (Lectu...
Authentification et autorisation pour les Apps
ILLUSTRATION AVEC L’APPLICATIONEXEMPLEhttp://go.microsoft.com/fwlink/?LinkID=95732Windows Azure AD Directory Graph API
• Inscrivez-vous pour un locatairehttp://g.microsoftonline.com/0AX00en/5Version Preview autonome disponible :)
• Livre blanc "Active Directoryfrom on-premises to the Cloud"Pour plus d’informations
• Regarder les annonces sur le blog Windows Azure– http://blogs.msdn.com/windowsazure– Reimagining Active Directory for th...
• Documentation TechNethttp://technet.microsoft.com/en-us/library/hh967619.aspx• Documentation MSDNhttp://msdn.microsoft.c...
Formez-vous en ligneRetrouvez nos évènementsFaites-vous accompagnergratuitementEssayer gratuitement nossolutions ITRetrouv...
Prochain SlideShare
Chargement dans…5
×

Identity as a Service (IDaaS), un service prêt à l’usage avec Windows Azure AD

997 vues

Publié le

Le « provisioning », la gestion des identités, l'authentification, la gestion des rôles sont des services essentiels pour l’entreprise à la fois sur site et à travers le Cloud (hybride). Avec l’utilisation croissante d’applications Cloud et le recours à des souscriptions SaaS (Software-as-a-Service) dans une dynamique enclenchée de « Bring Your Own Apps » (BYOA) au niveau des différents services de l’entreprise, le désir de mieux collaborer « à la » Facebook et/ou d’interagir directement avec les réseaux sociaux, ce qui conduit à la tendance du « Bring Your Own Identity » (BYOI), l'identité devient un véritable service où des « ponts » c'identité dans le Cloud « parlent » avec les annuaires sur site et/ou les annuaires eux-mêmes sont déplacés/situés dans le Cloud pour répondre aux besoins applicatifs. Utilisé aujourd’hui par les services Microsoft Online Service comme Office 365, Windows Azure Active Directory (AAD) est un service Cloud moderne de type « Identity-as-a-Service » (IDaaS) multi-locataires qui permet d’assurer la gestion des identités, l’authentification et le contrôle des accès pour toutes vos applications Cloud et souscriptions SaaS et ce, depuis n'importe quel Cloud, n’importe quelle plateforme et n'importe quel appareil. Profitez de cette session pour aborder AAD, découvrir ses capacités, ses interfaces et comprendre comment votre locataire AAD peut fonctionner de concert avec vos référentiels d’identité sur site dans votre entreprise. Cette session examinera les options possibles pour effectuer le « provisioning » et la synchronisation des informations d'identité de Windows Server Active Directory (AD) (ou d'autres sources d’annuaire) vers AAD pour vos applications Cloud et vos souscriptions SaaS. Cette session introduira également la nouvelle API Directory Graph, une API REST qui permet l'accès à AAD depuis tout appareil ou plateforme

0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
997
Sur SlideShare
0
Issues des intégrations
0
Intégrations
1
Actions
Partages
0
Téléchargements
35
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive
  • Notation
  • Les 2 premiers pillierssont des solutions de provisioning.Bulk : User Name,FirstName,LastName,DisplayName,JobTitle,Department,OfficeNumber,OfficePhone,MobilePhone,Fax,Address,City,State or Province,ZIP or Postal Code,Country or RegionLe 3ème pilliercontient des solutions de synchronisation
  • Plusieurs interfaces de provisioning / synchronisation avec des limites de throttling différentes.A terme PowerShell s’appuierasur Graph API.Peuplement et synchronisationvers les différents workloads souscritscomme Office 365
  • Dans un mode multi-forêt, l’UPN Clouddoitcorrespondre à l’UPN de l’utilisateurdans la forêt de compte.MOERA : Microsoft Online E-mail Routing Adress
  • KB 2256198: List of attributes that are synchronized to Office 365 and attributes that are written back to the on-premises Active Directory Domain Services (http://support.microsoft.com/kb/2256198)
  • http://www.ics.uci.edu/~fielding/pubs/dissertation/rest_arch_style.htm
  • Sample App (Write support) for Windows Azure Active Directory Graph API-REST Api
  • MSDN Windows Azure Active Directory: http://msdn.microsoft.com/en-us/library/dd630118
  • Identity as a Service (IDaaS), un service prêt à l’usage avec Windows Azure AD

    1. 1. Donnez votre avis !Depuis votre smartphone, sur :http://notes.mstechdays.frDe nombreux lots à gagner toutes les heures !!!Claviers, souris et jeux Microsoft…Merci de nous aider à améliorer les TechDayshttp://notes.mstechdays.fr
    2. 2. SEC308 Identity as a Service(IDaaS), un service prêt à l’usageavec Windows Azure ActiveDirectoryPhilippe BeraudArnaud JumeletDirection TechniqueMicrosoft FranceArchitecture / Azure / Cloud#WindowsAzurehttp://windowsazure.com
    3. 3. Souscrivez à l’offre d’essai ou activez votreaccès Azure MSDNPrésentez-vous sur le stand Azure(zone Services & Tools)Participez au tirage au sortà 18h30 le 12 ou le 13 février123
    4. 4. • Un premier aperçu• Annuaire et synchronisation• Directory Graph APINotre agenda pour la session• Sessions complémentaires– SEC402 Windows Azure Active Directory, SSO étendu et services dannuairepour les applications Cloud et SaaS– SEC310 Contrôler les usages de vos informations dans le Cloud avec WindowsAzure AD Rights Management
    5. 5. L’exécution dans Windows Azured’une machine virtuelle avec le rôleActive Directory N’EST PAS WindowsAzure Active DirectoryWindows Azure Active Directory est unservice Cloud moderne qui assure lagestion des identités et le contrôle desaccès aux applications de type CloudWindows Azure Active Directory (AAD)
    6. 6. • Consolider la gestion des identités entre lesapplications Cloud de l‟organisation• Se connecter à l‟annuaire Cloud de l‟organisationdepuis nimporte quelle plateforme, nimporte quelappareil• Pourvoir se connecter avec des identités gérées pardes fournisseurs didentité Web et dautresorganisationsWindows Azure Active Directory (AAD)
    7. 7. Annuaires Active Directory sur site etCloud gérés comme un seulInformation (au niveau souhaité)synchronisée avec le Cloud, et miseà la disposition des applicationsCloud via un contrôle d’accès fondésur les rôlesAuthentification fédérée pour le SSOavec les applications Cloud(Microsoft et tierce-parties)Relation avec Windows Server AD
    8. 8. • Un service de type Cloud demande des capacités qui nefont pas partie de Windows Server AD• Maximisation de la portée en termes de périphériques etde plateformes– Protocoles de type http/web/REST• Multi-locataires– Le client possède les données de l‟annuaire, pas Microsoft• Optimisation de la disponibilité, des performancesconstantes, et de la montée en charge– "Keep it simple"Principes de conception AAD
    9. 9. Gestion et utilisation d’AAD
    10. 10. ANNUAIRE ET SYNCHRONISATIONWindows Azure Active Directory
    11. 11. • Lintégration de lannuaire est la première partie dunécosystème plus large• Lexpérience dauthentification unique (SSO) estdépendante dune synchronisation réussie desdonnées dans lannuaire !– Cf. Session SEC402 Windows Azure Active Directory, SSO étenduet services dannuaire pour les applications Cloud et SaaSIntégration de l’annuaire
    12. 12. • Les deux ne sont pas identiques !• Les solutions de synchronisation sont des solutionsde provisioning mais pas linverse !Provisioning / Synchronisation
    13. 13. Options dintégration dans AAD
    14. 14. • 3 outils pour la synchronisation d’annuaire1. Single-forest DirSync Tool2. Multi-forest DirSync Tool3. Connecteur AAD pour FIM 2010 (aka “Multi-Forest”)• Vous navez pas besoin de faire du SSO juste parce que vous faitesde la synchronisation mais vous devez synchroniser pour faire duSSO !– Vous pouvez imaginer d‟utiliser Windows PowerShell, mais beaucoupd‟exploitation à prévoir. De plus, il s‟agit d‟un scénario non testéofficiellement• L’outil de synchronisation ne pose pas de contrainte sur la solutionSSO– Vous pouvez utiliser nimporte quelle outil de synchronisation avec AD FSChoisir un outil de synchronisation
    15. 15. Choisir un outil de synchronisation
    16. 16. Architecture – "Sous le capot"
    17. 17. • Introduction– Source faisant autorité (contexte de création)• Détermine à partir d‟où les modifications doivent être effectuées sur un objet(soit "sur site" ou dans le "Cloud")• Le fait d‟activer ou de désactiver la fonctionnalité de synchronisation depuis leportail d‟administration transfère la source faisant autorité– Plusieurs concepts de base sont importants• UserPrincipalName• SourceAnchor et ImmutableID– SourceAnchor est le terme DirSync– ImmutableID est le terme dans AD FS 2.0• Vous devez configurer le flux des attributs pour ces attributConcepts de base "Synchronisationd’annuaire"
    18. 18. • UserPrincipalName– Correspond à l‟identifiant utilisateur qui est saisi lors de l‟accès à un servicedu Cloud Microsoft Online.– Formaté conformément à la RFC 822– Il faut déclarer un suffixe de domaine vérifié pour le tenant AAD.– Si le suffixe est manquant, l‟UPN est construit de cette façon :• sAMAccountName + "@" + MOERA (par ex. contoso.onmicrosoft.com)• Cf. article KB 2256198– L‟attribut UPN sur site doit correspondre à l‟UPN dans le Cloud• Etape obligatoire et critique pour déployer avec succès le SSO et la fédération avecADFS 2.0 ou à l‟aide d‟une technologie tierce de STS– Lorsque l‟utilisateur a reçu une licence, l‟attribut UPN de l‟utilisateur ne serapas mis à jour même s‟il est modifié sur site• Peut être remplacé via la cmdlet Set-MsolUserPrincipalNameConcepts de base "Synchronisationd’annuaire"
    19. 19. • SourceAnchor– Utilisé pour identifier de façon unique un objet créé dans le Cloud ou biensur site• Avec DirSync Tool, la génération se base sur lattribut objectGUID contenu dans ActiveDirectory.– La valeur ObjectGUID de type ByteArray est convertie en Base64 string• Avec le connecteur AAD pour FIM, il est possible de sélectionner une autre valeur etd‟indiquer comment la construire– DOIT rester constant durant toute la vie de lobjet dans le Cloud.Sinon cela pourrait conduire à dupliquer des objets et entraînerait deserreurs de synchronisation inattendues• Si les objets sont déplacés entre les forêts AD, pensez à bien choisir un attributalternatif pour calculer la valeur de l‟attribut SourceAnchor– Il faut choisir un attribut qui ne changera pas au cours du temps et lors de son déplacemententre des forêts AD– MS IT utilise par exemple l‟attribut “employeeID” pour les utilisateursConcepts de base "Synchronisationd’annuaire"
    20. 20. • SourceAnchor– Critique pour déployer avec succès le SSO et la fédération avecADFS 2.0 ou à l‟aide d‟une technologie tierce de STS• Également utilisé comme clé unique pour faire correspondre lesutilisateurs sur site avec ceux stockés dans AAD durant le processusd‟authentification et d‟autorisation– Appelé "ImmutableID"• AD FS 2.0 est configuré pour générer un attribut SourceAnchor lors del‟authentification, il doit y avoir une correspondance avec l‟attributImmutableID stocké dans AAD et crée lors du provisionning de l‟objetutilisateurConcepts de base "Synchronisationd’annuaire"
    21. 21. • La plupart des erreurs de synchronisation sont dues :– Adresses de proxy dupliquées– Valeur UPN déjà existante– Des erreurs dans l‟attribut Email• Il est recommandé d’utiliser l’outil "Deployment ReadinessTool" !Concepts de base “Synchronisationd’annuaire”
    22. 22. • Déploiements de services hybrides– Certains attributs sur site doivent être mis à jour en fonction desactivités dans le Cloud– Cela ne concerne que les objets qui ont été créés lors dunesynchronisation, (Cf. "owned by Sync")– Cf. article KB 2256198Concepts de base "Synchronisationd’annuaire"
    23. 23. • Connecteur AAD pour FIM 2010 (R2)– Sera disponible dans le courant de l‟année 2013– Permet la création / la suppression de différents types d‟objets(users, contacts, groups)– Permet de définir et de construire les valeurs des attributs• Accès aux attributs qui ne sont pas disponibles à travers le portaild‟administration ou les cmdlets Windows PowerShell– Destiné principalement pour les grandes entreprises• Automatisation des opérations de synchronisation / mode performance– Supporte les déploiements Exchange en mode Hybride– Pas de dépendance avec Active Directory; prise en charge de tous lesconnecteurs FIM 2010 en tant que sourceSynchronisation AAD avec FIM 2010 (R2)
    24. 24. • Scénario type– Une ou plusieurs forêts de compte et une forêt de ressource hébergeant Exchange– Sait également fonctionner avec des sources autres qu‟Active Directory• Travail de documentation à prévoir• Pré-requis– FIM Synchronization Service• N‟utilise pas DirSync Tool• Le connecteur AAD sera accompagné dun livre blanc– Suppose que vous connaissiez le fonctionnement de FIM 2010 (R2)Synchronization Service– Devra évoluer dans le temps, lorsque de nouveaux attributs seront ajoutés pourprendre en charge les évolutions des services Microsoft Online– Contiendra un ensemble de configurations prédéfinies pour une mise en œuvrerapideSynchronisation AAD avec FIM 2010 R2
    25. 25. SYNCHRONISATION AAD AVEC FIM2010 R2Windows Azure AD Directory
    26. 26. • Limitations– Ne prend pas en charge des licences dutilisateur• Possibilité d‟exécuter à la fin de la tâche de synchronisation, un scriptPowerShell contenant la cmdlet Set-MsolUserLicense– Ne peut avoir qu‟un seul connecteur AAD et donc ne supportequ‟un seul locataire (souscription)– Pas de synchronisation des mots de passe (par défaut)Synchronisation AAD avec FIM 2010 (R2)
    27. 27. DIRECTORY GRAPH APIWindows Azure Active Directory
    28. 28. • https://graph.windows.net/contoso.com/– TenantDetails– Users– Groups– Contacts– Service Principals– Roles– Subscribed Skus• Mais également :– Licensing, Provisioning, DirSync status, Domain StatusRessources dans AAD
    29. 29. Objectifs/Bénéfices clésRendre simple le développement d‟application s‟interfaçant avec AADUne fondation solide pour la création de capacités de plus haut niveau : recherche, sélecteurd‟identité, appartenance à un groupe de sécurité, collaboration inter-entreprises, etc.Simple à utiliser et interopérable (graphe)Solution : nouvelle interface RESTful pour Windows Azure ADProtocole basé sur HTTP/REST pour accéder à toutes les informations de lannuaireLes objets retournés sont au format JSON/XMLCompatibilité avec OData V3 pour des requêtes complexes et les métadonnées (www.odata.org)S‟appuie sur OAuth 2.0 pour l‟authentificationDirectory Graph API
    30. 30. • REST– Largement adopté par l‟industrie– Très simple - HTTP - GET, PUT, POST, DELETE• Supporte les codes de réponses HTTP– Beaucoup de bibliothèques clientes disponibles• REST pour l’annuaire– Intégration facile avec nimporte quelle application sur nimportequelle plateformePourquoi un annuaire REST ?
    31. 31. • Structure dune requête URI<Service root>/<resource path>[? Query string options]https://graph.windows.net/contoso.com/Users?$filter=DisplayName eq „Adam Barr”• Navigationhttps://graph.windows.net/$metadatahttps://graph.windows.net/contoso.com/https://graph.windows.net/contoso.com/TenantDetailshttps://graph.windows.net/contoso.com/Usershttps://graph.windows.net/contoso.com/Groups…Interface REST pour l’accès à l’annuaireExemple de filtres?$filter=City eq Redmond?$filter=GivenName eq Adam and Surname eq Barr?$filter=Surname ge Jackson and Surname le JzRéponseCorps de la réponse JSON ou XMLCode de réponse HTTP
    32. 32. Obtenir un objet utilisateurObjet utilisateur JSON retournéRequête : https://graph.windows.net
    33. 33. Liens Utilisateur
    34. 34. Liens Groupe
    35. 35. • Les objets utilisateurs sont triés selon leDisplayName, les autres types d’objets ne sont pastriés• Options de requête OData– $filter– Opérations logiques And, Eq, Ge, Le– Pagination - $top– http://www.odata.org– Laspect Graphe Social permet un "contexte" des attributsutilisateur par rapport aux autresRequêtes et gestion des données
    36. 36. NAVIGATION AVEC GRAPHEXPLORERWindows Azure AD Directory Graph API
    37. 37. • L’administrateur de l’organisation ajoute un"Application Service Principal" à son locataire et luiassigne un rôle (Lecture ou Lecture/Ecriture)• Le développeur configure l’Application pour utiliserun "Application Service Principal Id" et un "AppSecret" (certificat X.509 ou clé symétrique)• Le développeur exécute l’App – le Front End RESTvalide le jeton ACS et autorise la requêteAuthentification et autorisation pour lesApps
    38. 38. Authentification et autorisation pour les Apps
    39. 39. ILLUSTRATION AVEC L’APPLICATIONEXEMPLEhttp://go.microsoft.com/fwlink/?LinkID=95732Windows Azure AD Directory Graph API
    40. 40. • Inscrivez-vous pour un locatairehttp://g.microsoftonline.com/0AX00en/5Version Preview autonome disponible :)
    41. 41. • Livre blanc "Active Directoryfrom on-premises to the Cloud"Pour plus d’informations
    42. 42. • Regarder les annonces sur le blog Windows Azure– http://blogs.msdn.com/windowsazure– Reimagining Active Directory for the Social Enterprise (Part 1)– Reimagining Active Directory for the Social Enterprise (Part 2)– Announcing the Developer Preview of Windows Azure ActiveDirectory– Enhancements to Windows Azure Active Directory PreviewPlus d’informations
    43. 43. • Documentation TechNethttp://technet.microsoft.com/en-us/library/hh967619.aspx• Documentation MSDNhttp://msdn.microsoft.com/en-us/library/windowsazure/jj673460.aspxPour aller plus loin
    44. 44. Formez-vous en ligneRetrouvez nos évènementsFaites-vous accompagnergratuitementEssayer gratuitement nossolutions ITRetrouver nos expertsMicrosoftPros de l‟ITDéveloppeurswww.microsoftvirtualacademy.comhttp://aka.ms/generation-apphttp://aka.ms/evenements-developpeurs http://aka.ms/itcamps-franceLes accélérateursWindows Azure, Windows Phone,Windows 8http://aka.ms/telechargementsLa Dev‟Team sur MSDNhttp://aka.ms/devteamL‟IT Team sur TechNethttp://aka.ms/itteam

    ×