Quoi de neuf pour les identités dans Office 365 ?

810 vues

Publié le

Office 365 s’appuie pour l’authentification des utilisateurs sur Windows Azure Active Directory (AAD), un service Cloud moderne de type « Identity-Management-as-a-Service » (IdMaaS) multi-locataires qui permet d’assurer la gestion des identités et des accès. Comme de nombreux clients disposent d’une infrastructure d’identités à demeure qu’ils souhaitent utiliser de concert avec Office 365, se posent dès lors un certain nombre de questions quant au « provisioning », à la gestion des identités, à l'authentification unique, à l’authentification multi-facteurs, à la gestion des rôles, etc., autant de services essentiels à la fois en local et à travers le Cloud (hybride) pour l’accès aux services Office 365 et à d’autres applications (SaaS) pris en charge par AAD. Cette session introduira différents concepts liés à l’identité comme DirSync, connecteur AAD, ADFS, Shibboleth, WS-* ou encore SAML 2.0. Elle décrira les nouvelles fonctionnalités pour l’identité dans Office 365 et passera en revue les architectures type d’identité pour Office 365. Elle examinera dans ce contexte les options possibles pour effectuer le « provisioning » et la synchronisation des informations d'identité de Windows Server Active Directory (AD) (ou d'autres sources d’annuaire) vers AAD, l’authentification unique (Web), l’authentification multi-facteurs, etc.

Speakers : Denis Carniel (LoginPeople), Philippe Beraud (Microsoft), Arnaud Jumelet (Microsoft France)

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
810
Sur SlideShare
0
Issues des intégrations
0
Intégrations
1
Actions
Partages
0
Téléchargements
48
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive
  • Checks for password updates every 2 minutes :regular DirSync still runs every 3 hoursMore Details on TechNet: http://aka.ms/sync
  • Windows Azure Active Directory Connector for FIM 2010 R2 Quick Start Guide : http://technet.microsoft.com/en-us/library/dn511002.aspxWindows Azure Active Directory Connector for FIM 2010 R2 Technical Reference : http://go.microsoft.com/fwlink/?LinkID=330371
  • Annoncé sur le blog technique Office : http://blogs.office.com
  • Determine which directory integration scenario to use : http://technet.microsoft.com/en-us/library/jj573649.aspx
  • Multi-forest Directory Sync with Single Sign-On Roadmap : http://technet.microsoft.com/en-us/library/dn510975.aspx
  • Some feature gapsShibboleth – doesn’t support Lync clientPing Federate – doesn’t support Windows Integrated Auth
  • Works with Office 365 – Identity program : http://blogs.office.com/2013/09/03/works-with-office-365-identity-program/The Works with Office 365 – Identity program now streamlined : http://blogs.office.com/2014/01/30/the-works-with-office-365-identity-program-now-streamlined/
  • The above papers are available on the Microsoft Download Center:Active Directory from the on-premises to the Cloud – Windows Azure AD whitepapers: http://www.microsoft.com/en-us/download/details.aspx?id=36391
  • Quoi de neuf pour les identités dans Office 365 ?

    1. 1. Quoi de neuf pour les identités dans Office 365 ? Philippe Beraud et Arnaud Jumelet Direction Technique | Microsoft France Denis Carniel Login People philippe.beraud@microsoft.com arnaud.jumelet@microsoft.com denis.carniel@loginpeople.com Sécurité
    2. 2. Donnez votre avis ! Depuis votre smartphone sur : http://notes.mstechdays.fr De nombreux lots à gagner toute les heures !!! Claviers, souris et jeux Microsoft… Merci de nous aider à améliorer les TechDays ! #mstechdays Sécurité
    3. 3. Notre agenda pour cette session Vue d’ensemble des identités Office 365 1 #mstechdays Annoncés/ disponibles récemment… Options d’intégration en matière d’identité 2 Sécurité 3
    4. 4. VUE D’ENSEMBLE DES IDENTITÉS OFFICE 365 #mstechdays Sécurité
    5. 5. Identité Office 365 Identité unique dans le Cloud qui convient pour les (petites) entreprises sans intégration aux annuaires à demeure #mstechdays Identité unique adapté pour les moyennes et grandes entreprises sans fédération Sécurité Identité fédérée et informations d’identification uniques appropriés pour les moyennes et grandes entreprises
    6. 6. ANNONCÉS/ DISPONIBLES RÉCEMMENT… #mstechdays Sécurité
    7. 7. Windows Azure Active Directory Sync Tool (DirSync) Mise à jour: synchronise les mots de passe utilisateur de l’AD à demeure vers Windows Azure AD Seul un condensat unidirectionnel du mot de passe sera synchronisé de telle sorte que le mot de passe d’origine ne puisse être reconstruit à partir de celui-ci Respecte les politiques de mots de passe à demeure Ne peut pas synchroniser les mots de passe pour les utilisateurs fédérés, mais les deux peuvent coexister "Simple Sign-On" Permet aux utilisateurs d’avoir le même nom d’utilisateur/mot de passe #mstechdays Sécurité SAML2 Identity Provider
    8. 8. Provisioning Windows Azure AD • Mise à jour: disponibilité du connecteur Windows Azure AD pour FIM 2010 R2 – Peut être utilisé dans des scénarios non pris en charge par DirSync, par exemple pour la synchronisation multi-forêt AD et avec des sources non-AD • Nous recommandons toujours d'utiliser DirSync comme la principale solution pour synchroniser AD à Windows Azure AD et de l'utiliser chaque fois que possible – The connecteur est livré avec un exemple de configuration et de code pour le scénario forêt de comptes/forêt de ressources #mstechdays Sécurité
    9. 9. Authentification multi-facteur (MFA) pour Office 365 • Authentification d’entreprise à l’aide de tout téléphone/ smartphone • Disponible gratuitement pour les administrateurs Office 365… • Et… désormais également disponible pour les utilisateurs Office 365 • Fonctionne avec tous les services Office 365 de type Web – Outlook Web App, SharePoint Online • Requiert des mots de passe applicatifs pour les clients riches – Non disponibles pour les administrateurs – 16 caractères générés #mstechdays Sécurité
    10. 10. MFA POUR OFFICE 365 Illustration de l’expérience utilisateur #mstechdays Sécurité Design/UX/UI
    11. 11. Windows Azure Multi-Factor Authentication • Ai-je besoin de Windows Azure MFA ? #mstechdays Sécurité
    12. 12. Authentification multi-facteur pour les clients Office • MAJ des clients Office ProPlus (2013) pour le support de MFA pour Office 365/Windows Azure MFA – Plus besoin des mots de passe applicatifs avec les clients mis à jour – Outlook, Lync, Word, Excel, PowerPoint, PowerShell, SkyDrive Pro – Capacité d’intégration pour des solutions tierces-parties d’authentification multi-facteurs et prise en charge des cartes à puce • Disponible en 2014 #mstechdays Sécurité
    13. 13. OPTIONS D’INTÉGRATION EN MATIÈRE D’IDENTITÉ De multiples façon de s’intégrer avec Windows Azure AD : Des clients différents ont potentiellement des scénarii différents qui requièrent des solutions différentes #mstechdays Sécurité
    14. 14. Options d’intégration en matière d’identité
    15. 15. Identité Cloud • • • • Expérience riche avec les applications Office Facilité de déploiement, de gestion et de support Moindre coût, car aucun serveur additionnel n’est nécessaire à demeure Haute disponibilité et fiabilité comme les identités et les services sont gérés dans le Cloud #mstechdays Sécurité
    16. 16. DirSync • • • • • Expérience riche avec les applications Office Synchronisation d’annuaire entre la forêt AD à demeure et l’environnement en ligne Les identités sont crées et gérées à demeure et synchronisées dans le Cloud Identité unique mais pas de SSO entre les services à demeure et les services Office 365 Réutilisation de l’infrastructure d’annuaire AD à demeure #mstechdays Sécurité
    17. 17. Synchronisation de mots de passe • Expérience riche avec les applications Office • Synchronisation d’annuaire entre la forêt AD à demeure et l’environnement en ligne • Les identités sont crées et gérées à demeure et synchronisées dans le Cloud • Identité et informations d’identification (mot de passe) uniques mais pas de SSO entre les services à demeure et les services Office 365 • Réutilisation de l’infrastructure d’annuaire AD à demeure #mstechdays Sécurité
    18. 18. DirSync ou SSO Même mot de passe pour accéder aux ressources   Peut contrôler les politiques de mot de passe à demeure   Support pour l’authentification forte (2FA/MFA)   Filtrage de l'accès client par IP ou par plage horaire   L'authentification est effectuée à demeure. Peut bloquer immédiatement les comptes désactivés.  Support Multi-Forêt AD  Aucun mot de passe à rentrer si à demeure #mstechdays Sécurité
    19. 19. PowerShell / API REST Graph • Convient pour les (grandes) entreprises avec certains scénarios AD et non-AD • Des limitations de performance s’appliquent avec le provisioning PowerShell et Graph API • PowerShell requiert une expérience de Scripting, Graph API de programmation – L’option PowerShell peut être utilisée lorsque des wrappers de scripts PowerShell sont en place (ex. : libre service provisioning) #mstechdays Sécurité
    20. 20. Multi-forêt AD #mstechdays Sécurité
    21. 21. Connecteur Windows Azure AD pour FIM 2010 R2 • Convient pour les grandes entreprises avec certains scénarios AD et non-AD • Scénarii multi-forêt AD complexes • Synchronisation avec des sources Non-AD • Nécessite FIM 2010 R2 et des licences logiciels supplémentaires #mstechdays Sécurité
    22. 22. Identité fédérée • • • • • • Identité unique et SSO entre les services à demeure et les services Office 365 Identité maîtrisées à demeure avec un point de gestion unique Synchronisation d’annuaire pour synchroniser les objets d’annuaire dans Office 365 Authentification fondée sur des jetons sécurisés Contrôle d'accès client basé sur l'adresse IP avec AD FS Options d’authentification forte pour plus de sécurité avec AD FS #mstechdays Sécurité Non-AD
    23. 23. AUTHENTICATION FORTE AVEC AD FS Solution LoginPeople® #mstechdays Sécurité Design/UX/UI
    24. 24. Login People® – Accès sécurisé à Office 365 en toute simplicité ! • L’authentification multi-facteurs par l’ADN du Numérique® : une expérience transparente pour les utilisateurs et simplifiée pour les administrateurs : – Sans token ni OTP – Sans changement des habitudes : à partir des équipements existants, sans manipulation de code supplémentaire – Sans modification des infrastructures – Renforcement de la sécurité avec un TCO parmi les plus faibles et des plus optimisés • Meilleur ensemble – Renforcement de la sécurité des identités fédérées – Intégration de la login page de l’ADN du Numérique® automatisée avec AD FS – Echanges de tokens SAML transparents pour l’utilisateur – Respect des politiques de sécurité #mstechdays Sécurité + +
    25. 25. Login People® – Accès sécurisé à Office 365 en toute simplicité ! • AD FS Windows Server 2012 R2 • AD FS 2.0 Page Authentification AD FS #mstechdays Page authentification ADN Page Authentification AD FS Sécurité
    26. 26. Login People® – Accès sécurisé à Office 365 en toute simplicité !
    27. 27. Options en matière de fédération #mstechdays Sécurité
    28. 28. Identité AAD avec d’autres services Cloud • • Identité gérée dans Windows Azure AD, SSO pour Office 365 et d'autres services Cloud (fédérées) Intégration avec les applications d’éditeurs/communautés Cloud ou fournisseurs SaaS via les APIs de Windows Azure AD ou Applications Access Enhancements for Windows Azure AD #mstechdays Sécurité
    29. 29. En guise de conclusion • De multiples options en matières d’intégration des identités – Pour s’adapter à la diversité de vos environnements – Active Directory vs. autres référentiels • Deux approches pour l’authentification unique – Synchronisation de mots de passe vs. Fédération d’identité • Différentes possibilités pour la protection des identités – Authentification multi-facteurs dans le Cloud ou à demeure • Protection de l’information avec le nouveau Microsoft RMS dans Office 365 – #mstechdays Cf. Session aujourd’hui àSécurité 15h15
    30. 30. Livres blancs et guides Etape-par-Etape Active Directory from the onpremises to the Cloud – Windows Azure AD whitepapers Office 365 Single Sign-On with AD FS 2.0 Office 365 Single Sign-On with Shibboleth 2.0
    31. 31. Pour aller plus loin office.microsoft.com Blog Office 365 http://blogs.office.com/b/microsoft_office_365_blog/ Blog Technologie Office http://blogs.office.com/b/office365tech/ Suivre l’actualité https://twitter.com/Office365 Etre connecté http://www.linkedin.com/groups/Microsoft-Office-3653724282 A considérer Garage Series for IT Pros: www.microsoft.com/garage Office 365 FastTrack: http://fasttrack.office.com/
    32. 32. Pour aller plus loin activedirectory.windowsazure.com Documentation Microsoft TechNet http://go.microsoft.com/fwlink/p/?linkid=290967 Documentation Microsoft MSDN http://go.microsoft.com/fwlink/p/?linkid=290966 Blog Equipe Microsoft Active Directory http://blogs.msdn.com/b/active_directory_team_blog Blog Equipe Windows Azure Active Directory Graph http://blogs.msdn.com/aadgraphteam
    33. 33. Digital is business

    ×