Le « provisioning », la gestion des identités, l'authentification, la gestion des rôles sont des services essentiels pour l’entreprise à la fois sur site et à travers le Cloud (hybride). Avec l’utilisation croissante d’applications Cloud et le recours à des souscriptions SaaS (Software-as-a-Service) dans une dynamique enclenchée de « Bring Your Own Apps » (BYOA) au niveau des différents services de l’entreprise, le désir de mieux collaborer « à la » Facebook et/ou d’interagir directement avec les réseaux sociaux, ce qui conduit à la tendance du « Bring Your Own Identity » (BYOI), l'identité devient un véritable service où des « ponts » c'identité dans le Cloud « parlent » avec les annuaires sur site et/ou les annuaires eux-mêmes sont déplacés/situés dans le Cloud pour répondre aux besoins applicatifs. Utilisé aujourd’hui par les services Microsoft Online Service comme Office 365, Windows Azure Active Directory (AAD) est un service Cloud moderne de type « Identity-as-a-Service » (IDaaS) multi-locataires qui permet d’assurer la gestion des identités, l’authentification et le contrôle des accès pour toutes vos applications Cloud et souscriptions SaaS et ce, depuis n'importe quel Cloud, n’importe quelle plateforme et n'importe quel appareil. Profitez de cette session pour aborder AAD, découvrir ses capacités, ses interfaces et comprendre comment votre locataire AAD peut fonctionner de concert avec vos référentiels d’identité sur site dans votre entreprise. Cette session examinera les options possibles pour effectuer le « provisioning » et la synchronisation des informations d'identité de Windows Server Active Directory (AD) (ou d'autres sources d’annuaire) vers AAD pour vos applications Cloud et vos souscriptions SaaS. Cette session introduira également la nouvelle API Directory Graph, une API REST qui permet l'accès à AAD depuis tout appareil ou plateforme
Identity as a Service (IDaaS), un service prêt à l’usage avec Windows Azure AD
1. Donnez votre avis !
Depuis votre smartphone, sur :
http://notes.mstechdays.fr
De nombreux lots à gagner toutes les heures !!!
Claviers, souris et jeux Microsoft…
Merci de nous aider à améliorer les TechDays
http://notes.mstechdays.fr
2. SEC308 Identity as a Service
(IDaaS), un service prêt à l’usage
avec Windows Azure Active
Directory
Philippe Beraud
Arnaud Jumelet
Direction Technique
Microsoft France
Architecture / Azure / Cloud
#WindowsAzure
http://windowsazure.com
3. Souscrivez à l’offre d’essai ou activez votre
accès Azure MSDN
Présentez-vous sur le stand Azure
(zone Services & Tools)
Participez au tirage au sort
à 18h30 le 12 ou le 13 février
1
2
3
4. • Un premier aperçu
• Annuaire et synchronisation
• Directory Graph API
Notre agenda pour la session
• Sessions complémentaires
– SEC402 Windows Azure Active Directory, SSO étendu et services d'annuaire
pour les applications Cloud et SaaS
– SEC310 Contrôler les usages de vos informations dans le Cloud avec Windows
Azure AD Rights Management
5. L’exécution dans Windows Azure
d’une machine virtuelle avec le rôle
Active Directory N’EST PAS Windows
Azure Active Directory
Windows Azure Active Directory est un
service Cloud moderne qui assure la
gestion des identités et le contrôle des
accès aux applications de type Cloud
Windows Azure Active Directory (AAD)
6. • Consolider la gestion des identités entre les
applications Cloud de l‟organisation
• Se connecter à l‟annuaire Cloud de l‟organisation
depuis n'importe quelle plateforme, n'importe quel
appareil
• Pourvoir se connecter avec des identités gérées par
des fournisseurs d'identité Web et d'autres
organisations
Windows Azure Active Directory (AAD)
7. Annuaires Active Directory sur site et
Cloud gérés comme un seul
Information (au niveau souhaité)
synchronisée avec le Cloud, et mise
à la disposition des applications
Cloud via un contrôle d’accès fondé
sur les rôles
Authentification fédérée pour le SSO
avec les applications Cloud
(Microsoft et tierce-parties)
Relation avec Windows Server AD
8. • Un service de type Cloud demande des capacités qui ne
font pas partie de Windows Server AD
• Maximisation de la portée en termes de périphériques et
de plateformes
– Protocoles de type http/web/REST
• Multi-locataires
– Le client possède les données de l‟annuaire, pas Microsoft
• Optimisation de la disponibilité, des performances
constantes, et de la montée en charge
– "Keep it simple"
Principes de conception AAD
11. • L'intégration de l'annuaire est la première partie d'un
écosystème plus large
• L'expérience d'authentification unique (SSO) est
dépendante d'une synchronisation réussie des
données dans l'annuaire !
– Cf. Session SEC402 Windows Azure Active Directory, SSO étendu
et services d'annuaire pour les applications Cloud et SaaS
Intégration de l’annuaire
12. • Les deux ne sont pas identiques !
• Les solutions de synchronisation sont des solutions
de provisioning mais pas l'inverse !
Provisioning / Synchronisation
14. • 3 outils pour la synchronisation d’annuaire
1. Single-forest DirSync Tool
2. Multi-forest DirSync Tool
3. Connecteur AAD pour FIM 2010 (aka “Multi-Forest”)
• Vous n'avez pas besoin de faire du SSO juste parce que vous faites
de la synchronisation mais vous devez synchroniser pour faire du
SSO !
– Vous pouvez imaginer d‟utiliser Windows PowerShell, mais beaucoup
d‟exploitation à prévoir. De plus, il s‟agit d‟un scénario non testé
officiellement
• L’outil de synchronisation ne pose pas de contrainte sur la solution
SSO
– Vous pouvez utiliser n'importe quelle outil de synchronisation avec AD FS
Choisir un outil de synchronisation
17. • Introduction
– Source faisant autorité (contexte de création)
• Détermine à partir d‟où les modifications doivent être effectuées sur un objet
(soit "sur site" ou dans le "Cloud")
• Le fait d‟activer ou de désactiver la fonctionnalité de synchronisation depuis le
portail d‟administration transfère la source faisant autorité
– Plusieurs concepts de base sont importants
• UserPrincipalName
• SourceAnchor et ImmutableID
– SourceAnchor est le terme DirSync
– ImmutableID est le terme dans AD FS 2.0
• Vous devez configurer le flux des attributs pour ces attribut
Concepts de base "Synchronisation
d’annuaire"
18. • UserPrincipalName
– Correspond à l‟identifiant utilisateur qui est saisi lors de l‟accès à un service
du Cloud Microsoft Online.
– Formaté conformément à la RFC 822
– Il faut déclarer un suffixe de domaine vérifié pour le tenant AAD.
– Si le suffixe est manquant, l‟UPN est construit de cette façon :
• sAMAccountName + "@" + MOERA (par ex. contoso.onmicrosoft.com)
• Cf. article KB 2256198
– L‟attribut UPN sur site doit correspondre à l‟UPN dans le Cloud
• Etape obligatoire et critique pour déployer avec succès le SSO et la fédération avec
ADFS 2.0 ou à l‟aide d‟une technologie tierce de STS
– Lorsque l‟utilisateur a reçu une licence, l‟attribut UPN de l‟utilisateur ne sera
pas mis à jour même s‟il est modifié sur site
• Peut être remplacé via la cmdlet Set-MsolUserPrincipalName
Concepts de base "Synchronisation
d’annuaire"
19. • SourceAnchor
– Utilisé pour identifier de façon unique un objet créé dans le Cloud ou bien
sur site
• Avec DirSync Tool, la génération se base sur l'attribut objectGUID contenu dans Active
Directory.
– La valeur ObjectGUID de type ByteArray est convertie en Base64 string
• Avec le connecteur AAD pour FIM, il est possible de sélectionner une autre valeur et
d‟indiquer comment la construire
– DOIT rester constant durant toute la vie de l'objet dans le Cloud.
Sinon cela pourrait conduire à dupliquer des objets et entraînerait des
erreurs de synchronisation inattendues
• Si les objets sont déplacés entre les forêts AD, pensez à bien choisir un attribut
alternatif pour calculer la valeur de l‟attribut SourceAnchor
– Il faut choisir un attribut qui ne changera pas au cours du temps et lors de son déplacement
entre des forêts AD
– MS IT utilise par exemple l‟attribut “employeeID” pour les utilisateurs
Concepts de base "Synchronisation
d’annuaire"
20. • SourceAnchor
– Critique pour déployer avec succès le SSO et la fédération avec
ADFS 2.0 ou à l‟aide d‟une technologie tierce de STS
• Également utilisé comme clé unique pour faire correspondre les
utilisateurs sur site avec ceux stockés dans AAD durant le processus
d‟authentification et d‟autorisation
– Appelé "ImmutableID"
• AD FS 2.0 est configuré pour générer un attribut SourceAnchor lors de
l‟authentification, il doit y avoir une correspondance avec l‟attribut
ImmutableID stocké dans AAD et crée lors du provisionning de l‟objet
utilisateur
Concepts de base "Synchronisation
d’annuaire"
21. • La plupart des erreurs de synchronisation sont dues :
– Adresses de proxy dupliquées
– Valeur UPN déjà existante
– Des erreurs dans l‟attribut Email
• Il est recommandé d’utiliser l’outil "Deployment Readiness
Tool" !
Concepts de base “Synchronisation
d’annuaire”
22. • Déploiements de services hybrides
– Certains attributs sur site doivent être mis à jour en fonction des
activités dans le Cloud
– Cela ne concerne que les objets qui ont été créés lors d'une
synchronisation, (Cf. "owned by Sync")
– Cf. article KB 2256198
Concepts de base "Synchronisation
d’annuaire"
23. • Connecteur AAD pour FIM 2010 (R2)
– Sera disponible dans le courant de l‟année 2013
– Permet la création / la suppression de différents types d‟objets
(users, contacts, groups)
– Permet de définir et de construire les valeurs des attributs
• Accès aux attributs qui ne sont pas disponibles à travers le portail
d‟administration ou les cmdlets Windows PowerShell
– Destiné principalement pour les grandes entreprises
• Automatisation des opérations de synchronisation / mode performance
– Supporte les déploiements Exchange en mode Hybride
– Pas de dépendance avec Active Directory; prise en charge de tous les
connecteurs FIM 2010 en tant que source
Synchronisation AAD avec FIM 2010 (R2)
24. • Scénario type
– Une ou plusieurs forêts de compte et une forêt de ressource hébergeant Exchange
– Sait également fonctionner avec des sources autres qu‟Active Directory
• Travail de documentation à prévoir
• Pré-requis
– FIM Synchronization Service
• N‟utilise pas DirSync Tool
• Le connecteur AAD sera accompagné d'un livre blanc
– Suppose que vous connaissiez le fonctionnement de FIM 2010 (R2)
Synchronization Service
– Devra évoluer dans le temps, lorsque de nouveaux attributs seront ajoutés pour
prendre en charge les évolutions des services Microsoft Online
– Contiendra un ensemble de configurations prédéfinies pour une mise en œuvre
rapide
Synchronisation AAD avec FIM 2010 R2
26. • Limitations
– Ne prend pas en charge des licences d'utilisateur
• Possibilité d‟exécuter à la fin de la tâche de synchronisation, un script
PowerShell contenant la cmdlet Set-MsolUserLicense
– Ne peut avoir qu‟un seul connecteur AAD et donc ne supporte
qu‟un seul locataire (souscription)
– Pas de synchronisation des mots de passe (par défaut)
Synchronisation AAD avec FIM 2010 (R2)
29. Objectifs/Bénéfices clés
Rendre simple le développement d‟application s‟interfaçant avec AAD
Une fondation solide pour la création de capacités de plus haut niveau : recherche, sélecteur
d‟identité, appartenance à un groupe de sécurité, collaboration inter-entreprises, etc.
Simple à utiliser et interopérable (graphe)
Solution : nouvelle interface RESTful pour Windows Azure AD
Protocole basé sur HTTP/REST pour accéder à toutes les informations de l'annuaire
Les objets retournés sont au format JSON/XML
Compatibilité avec OData V3 pour des requêtes complexes et les métadonnées (www.odata.org)
S‟appuie sur OAuth 2.0 pour l‟authentification
Directory Graph API
30. • REST
– Largement adopté par l‟industrie
– Très simple - HTTP - GET, PUT, POST, DELETE
• Supporte les codes de réponses HTTP
– Beaucoup de bibliothèques clientes disponibles
• REST pour l’annuaire
– Intégration facile avec n'importe quelle application sur n'importe
quelle plateforme
Pourquoi un annuaire REST ?
31. • Structure d'une requête URI
<Service root>/<resource path>[? Query string options]
https://graph.windows.net/contoso.com/Users?$filter=DisplayName eq „Adam Barr”
• Navigation
https://graph.windows.net/$metadata
https://graph.windows.net/contoso.com/
https://graph.windows.net/contoso.com/TenantDetails
https://graph.windows.net/contoso.com/Users
https://graph.windows.net/contoso.com/Groups
…
Interface REST pour l’accès à l’annuaire
Exemple de filtres
?$filter=City eq 'Redmond'
?$filter=GivenName eq 'Adam' and Surname eq 'Barr'
?$filter=Surname ge 'Jackson' and Surname le 'Jz'
Réponse
Corps de la réponse JSON ou XML
Code de réponse HTTP
35. • Les objets utilisateurs sont triés selon le
DisplayName, les autres types d’objets ne sont pas
triés
• Options de requête OData
– $filter
– Opérations logiques And, Eq, Ge, Le
– Pagination - $top
– http://www.odata.org
– L'aspect Graphe Social permet un "contexte" des attributs
utilisateur par rapport aux autres
Requêtes et gestion des données
37. • L’administrateur de l’organisation ajoute un
"Application Service Principal" à son locataire et lui
assigne un rôle (Lecture ou Lecture/Ecriture)
• Le développeur configure l’Application pour utiliser
un "Application Service Principal Id" et un "App
Secret" (certificat X.509 ou clé symétrique)
• Le développeur exécute l’App – le Front End REST
valide le jeton ACS et autorise la requête
Authentification et autorisation pour les
Apps
40. • Inscrivez-vous pour un locataire
http://g.microsoftonline.com/0AX00en/5
Version Preview autonome disponible :)
41. • Livre blanc "Active Directory
from on-premises to the Cloud"
Pour plus d’informations
42. • Regarder les annonces sur le blog Windows Azure
– http://blogs.msdn.com/windowsazure
– Reimagining Active Directory for the Social Enterprise (Part 1)
– Reimagining Active Directory for the Social Enterprise (Part 2)
– Announcing the Developer Preview of Windows Azure Active
Directory
– Enhancements to Windows Azure Active Directory Preview
Plus d’informations
44. Formez-vous en ligne
Retrouvez nos évènements
Faites-vous accompagner
gratuitement
Essayer gratuitement nos
solutions IT
Retrouver nos experts
Microsoft
Pros de l‟ITDéveloppeurs
www.microsoftvirtualacademy.comhttp://aka.ms/generation-app
http://aka.ms/evenements-
developpeurs http://aka.ms/itcamps-france
Les accélérateurs
Windows Azure, Windows Phone,
Windows 8
http://aka.ms/telechargements
La Dev‟Team sur MSDN
http://aka.ms/devteam
L‟IT Team sur TechNet
http://aka.ms/itteam
Notes de l'éditeur
Notation
Les 2 premiers pillierssont des solutions de provisioning.Bulk : User Name,FirstName,LastName,DisplayName,JobTitle,Department,OfficeNumber,OfficePhone,MobilePhone,Fax,Address,City,State or Province,ZIP or Postal Code,Country or RegionLe 3ème pilliercontient des solutions de synchronisation
Plusieurs interfaces de provisioning / synchronisation avec des limites de throttling différentes.A terme PowerShell s’appuierasur Graph API.Peuplement et synchronisationvers les différents workloads souscritscomme Office 365
Dans un mode multi-forêt, l’UPN Clouddoitcorrespondre à l’UPN de l’utilisateurdans la forêt de compte.MOERA : Microsoft Online E-mail Routing Adress
KB 2256198: List of attributes that are synchronized to Office 365 and attributes that are written back to the on-premises Active Directory Domain Services (http://support.microsoft.com/kb/2256198)