• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Identity as a Service (IDaaS), un service prêt à l’usage avec Windows Azure AD
 

Identity as a Service (IDaaS), un service prêt à l’usage avec Windows Azure AD

on

  • 715 views

Le « provisioning », la gestion des identités, l'authentification, la gestion des rôles sont des services essentiels pour l’entreprise à la fois sur site et à travers le Cloud (hybride). Avec ...

Le « provisioning », la gestion des identités, l'authentification, la gestion des rôles sont des services essentiels pour l’entreprise à la fois sur site et à travers le Cloud (hybride). Avec l’utilisation croissante d’applications Cloud et le recours à des souscriptions SaaS (Software-as-a-Service) dans une dynamique enclenchée de « Bring Your Own Apps » (BYOA) au niveau des différents services de l’entreprise, le désir de mieux collaborer « à la » Facebook et/ou d’interagir directement avec les réseaux sociaux, ce qui conduit à la tendance du « Bring Your Own Identity » (BYOI), l'identité devient un véritable service où des « ponts » c'identité dans le Cloud « parlent » avec les annuaires sur site et/ou les annuaires eux-mêmes sont déplacés/situés dans le Cloud pour répondre aux besoins applicatifs. Utilisé aujourd’hui par les services Microsoft Online Service comme Office 365, Windows Azure Active Directory (AAD) est un service Cloud moderne de type « Identity-as-a-Service » (IDaaS) multi-locataires qui permet d’assurer la gestion des identités, l’authentification et le contrôle des accès pour toutes vos applications Cloud et souscriptions SaaS et ce, depuis n'importe quel Cloud, n’importe quelle plateforme et n'importe quel appareil. Profitez de cette session pour aborder AAD, découvrir ses capacités, ses interfaces et comprendre comment votre locataire AAD peut fonctionner de concert avec vos référentiels d’identité sur site dans votre entreprise. Cette session examinera les options possibles pour effectuer le « provisioning » et la synchronisation des informations d'identité de Windows Server Active Directory (AD) (ou d'autres sources d’annuaire) vers AAD pour vos applications Cloud et vos souscriptions SaaS. Cette session introduira également la nouvelle API Directory Graph, une API REST qui permet l'accès à AAD depuis tout appareil ou plateforme

Statistics

Views

Total Views
715
Views on SlideShare
715
Embed Views
0

Actions

Likes
0
Downloads
26
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment
  • Notation
  • Les 2 premiers pillierssont des solutions de provisioning.Bulk : User Name,FirstName,LastName,DisplayName,JobTitle,Department,OfficeNumber,OfficePhone,MobilePhone,Fax,Address,City,State or Province,ZIP or Postal Code,Country or RegionLe 3ème pilliercontient des solutions de synchronisation
  • Plusieurs interfaces de provisioning / synchronisation avec des limites de throttling différentes.A terme PowerShell s’appuierasur Graph API.Peuplement et synchronisationvers les différents workloads souscritscomme Office 365
  • Dans un mode multi-forêt, l’UPN Clouddoitcorrespondre à l’UPN de l’utilisateurdans la forêt de compte.MOERA : Microsoft Online E-mail Routing Adress
  • KB 2256198: List of attributes that are synchronized to Office 365 and attributes that are written back to the on-premises Active Directory Domain Services (http://support.microsoft.com/kb/2256198)
  • http://www.ics.uci.edu/~fielding/pubs/dissertation/rest_arch_style.htm
  • Sample App (Write support) for Windows Azure Active Directory Graph API-REST Api
  • MSDN Windows Azure Active Directory: http://msdn.microsoft.com/en-us/library/dd630118

Identity as a Service (IDaaS), un service prêt à l’usage avec Windows Azure AD Identity as a Service (IDaaS), un service prêt à l’usage avec Windows Azure AD Presentation Transcript

  • Donnez votre avis !Depuis votre smartphone, sur :http://notes.mstechdays.frDe nombreux lots à gagner toutes les heures !!!Claviers, souris et jeux Microsoft…Merci de nous aider à améliorer les TechDayshttp://notes.mstechdays.fr
  • SEC308 Identity as a Service(IDaaS), un service prêt à l’usageavec Windows Azure ActiveDirectoryPhilippe BeraudArnaud JumeletDirection TechniqueMicrosoft FranceArchitecture / Azure / Cloud#WindowsAzurehttp://windowsazure.com
  • Souscrivez à l’offre d’essai ou activez votreaccès Azure MSDNPrésentez-vous sur le stand Azure(zone Services & Tools)Participez au tirage au sortà 18h30 le 12 ou le 13 février123
  • • Un premier aperçu• Annuaire et synchronisation• Directory Graph APINotre agenda pour la session• Sessions complémentaires– SEC402 Windows Azure Active Directory, SSO étendu et services dannuairepour les applications Cloud et SaaS– SEC310 Contrôler les usages de vos informations dans le Cloud avec WindowsAzure AD Rights Management
  • L’exécution dans Windows Azured’une machine virtuelle avec le rôleActive Directory N’EST PAS WindowsAzure Active DirectoryWindows Azure Active Directory est unservice Cloud moderne qui assure lagestion des identités et le contrôle desaccès aux applications de type CloudWindows Azure Active Directory (AAD)
  • • Consolider la gestion des identités entre lesapplications Cloud de l‟organisation• Se connecter à l‟annuaire Cloud de l‟organisationdepuis nimporte quelle plateforme, nimporte quelappareil• Pourvoir se connecter avec des identités gérées pardes fournisseurs didentité Web et dautresorganisationsWindows Azure Active Directory (AAD)
  • Annuaires Active Directory sur site etCloud gérés comme un seulInformation (au niveau souhaité)synchronisée avec le Cloud, et miseà la disposition des applicationsCloud via un contrôle d’accès fondésur les rôlesAuthentification fédérée pour le SSOavec les applications Cloud(Microsoft et tierce-parties)Relation avec Windows Server AD
  • • Un service de type Cloud demande des capacités qui nefont pas partie de Windows Server AD• Maximisation de la portée en termes de périphériques etde plateformes– Protocoles de type http/web/REST• Multi-locataires– Le client possède les données de l‟annuaire, pas Microsoft• Optimisation de la disponibilité, des performancesconstantes, et de la montée en charge– "Keep it simple"Principes de conception AAD
  • Gestion et utilisation d’AAD
  • ANNUAIRE ET SYNCHRONISATIONWindows Azure Active Directory
  • • Lintégration de lannuaire est la première partie dunécosystème plus large• Lexpérience dauthentification unique (SSO) estdépendante dune synchronisation réussie desdonnées dans lannuaire !– Cf. Session SEC402 Windows Azure Active Directory, SSO étenduet services dannuaire pour les applications Cloud et SaaSIntégration de l’annuaire
  • • Les deux ne sont pas identiques !• Les solutions de synchronisation sont des solutionsde provisioning mais pas linverse !Provisioning / Synchronisation
  • Options dintégration dans AAD
  • • 3 outils pour la synchronisation d’annuaire1. Single-forest DirSync Tool2. Multi-forest DirSync Tool3. Connecteur AAD pour FIM 2010 (aka “Multi-Forest”)• Vous navez pas besoin de faire du SSO juste parce que vous faitesde la synchronisation mais vous devez synchroniser pour faire duSSO !– Vous pouvez imaginer d‟utiliser Windows PowerShell, mais beaucoupd‟exploitation à prévoir. De plus, il s‟agit d‟un scénario non testéofficiellement• L’outil de synchronisation ne pose pas de contrainte sur la solutionSSO– Vous pouvez utiliser nimporte quelle outil de synchronisation avec AD FSChoisir un outil de synchronisation
  • Choisir un outil de synchronisation
  • Architecture – "Sous le capot"
  • • Introduction– Source faisant autorité (contexte de création)• Détermine à partir d‟où les modifications doivent être effectuées sur un objet(soit "sur site" ou dans le "Cloud")• Le fait d‟activer ou de désactiver la fonctionnalité de synchronisation depuis leportail d‟administration transfère la source faisant autorité– Plusieurs concepts de base sont importants• UserPrincipalName• SourceAnchor et ImmutableID– SourceAnchor est le terme DirSync– ImmutableID est le terme dans AD FS 2.0• Vous devez configurer le flux des attributs pour ces attributConcepts de base "Synchronisationd’annuaire"
  • • UserPrincipalName– Correspond à l‟identifiant utilisateur qui est saisi lors de l‟accès à un servicedu Cloud Microsoft Online.– Formaté conformément à la RFC 822– Il faut déclarer un suffixe de domaine vérifié pour le tenant AAD.– Si le suffixe est manquant, l‟UPN est construit de cette façon :• sAMAccountName + "@" + MOERA (par ex. contoso.onmicrosoft.com)• Cf. article KB 2256198– L‟attribut UPN sur site doit correspondre à l‟UPN dans le Cloud• Etape obligatoire et critique pour déployer avec succès le SSO et la fédération avecADFS 2.0 ou à l‟aide d‟une technologie tierce de STS– Lorsque l‟utilisateur a reçu une licence, l‟attribut UPN de l‟utilisateur ne serapas mis à jour même s‟il est modifié sur site• Peut être remplacé via la cmdlet Set-MsolUserPrincipalNameConcepts de base "Synchronisationd’annuaire"
  • • SourceAnchor– Utilisé pour identifier de façon unique un objet créé dans le Cloud ou biensur site• Avec DirSync Tool, la génération se base sur lattribut objectGUID contenu dans ActiveDirectory.– La valeur ObjectGUID de type ByteArray est convertie en Base64 string• Avec le connecteur AAD pour FIM, il est possible de sélectionner une autre valeur etd‟indiquer comment la construire– DOIT rester constant durant toute la vie de lobjet dans le Cloud.Sinon cela pourrait conduire à dupliquer des objets et entraînerait deserreurs de synchronisation inattendues• Si les objets sont déplacés entre les forêts AD, pensez à bien choisir un attributalternatif pour calculer la valeur de l‟attribut SourceAnchor– Il faut choisir un attribut qui ne changera pas au cours du temps et lors de son déplacemententre des forêts AD– MS IT utilise par exemple l‟attribut “employeeID” pour les utilisateursConcepts de base "Synchronisationd’annuaire"
  • • SourceAnchor– Critique pour déployer avec succès le SSO et la fédération avecADFS 2.0 ou à l‟aide d‟une technologie tierce de STS• Également utilisé comme clé unique pour faire correspondre lesutilisateurs sur site avec ceux stockés dans AAD durant le processusd‟authentification et d‟autorisation– Appelé "ImmutableID"• AD FS 2.0 est configuré pour générer un attribut SourceAnchor lors del‟authentification, il doit y avoir une correspondance avec l‟attributImmutableID stocké dans AAD et crée lors du provisionning de l‟objetutilisateurConcepts de base "Synchronisationd’annuaire"
  • • La plupart des erreurs de synchronisation sont dues :– Adresses de proxy dupliquées– Valeur UPN déjà existante– Des erreurs dans l‟attribut Email• Il est recommandé d’utiliser l’outil "Deployment ReadinessTool" !Concepts de base “Synchronisationd’annuaire”
  • • Déploiements de services hybrides– Certains attributs sur site doivent être mis à jour en fonction desactivités dans le Cloud– Cela ne concerne que les objets qui ont été créés lors dunesynchronisation, (Cf. "owned by Sync")– Cf. article KB 2256198Concepts de base "Synchronisationd’annuaire"
  • • Connecteur AAD pour FIM 2010 (R2)– Sera disponible dans le courant de l‟année 2013– Permet la création / la suppression de différents types d‟objets(users, contacts, groups)– Permet de définir et de construire les valeurs des attributs• Accès aux attributs qui ne sont pas disponibles à travers le portaild‟administration ou les cmdlets Windows PowerShell– Destiné principalement pour les grandes entreprises• Automatisation des opérations de synchronisation / mode performance– Supporte les déploiements Exchange en mode Hybride– Pas de dépendance avec Active Directory; prise en charge de tous lesconnecteurs FIM 2010 en tant que sourceSynchronisation AAD avec FIM 2010 (R2)
  • • Scénario type– Une ou plusieurs forêts de compte et une forêt de ressource hébergeant Exchange– Sait également fonctionner avec des sources autres qu‟Active Directory• Travail de documentation à prévoir• Pré-requis– FIM Synchronization Service• N‟utilise pas DirSync Tool• Le connecteur AAD sera accompagné dun livre blanc– Suppose que vous connaissiez le fonctionnement de FIM 2010 (R2)Synchronization Service– Devra évoluer dans le temps, lorsque de nouveaux attributs seront ajoutés pourprendre en charge les évolutions des services Microsoft Online– Contiendra un ensemble de configurations prédéfinies pour une mise en œuvrerapideSynchronisation AAD avec FIM 2010 R2
  • SYNCHRONISATION AAD AVEC FIM2010 R2Windows Azure AD Directory
  • • Limitations– Ne prend pas en charge des licences dutilisateur• Possibilité d‟exécuter à la fin de la tâche de synchronisation, un scriptPowerShell contenant la cmdlet Set-MsolUserLicense– Ne peut avoir qu‟un seul connecteur AAD et donc ne supportequ‟un seul locataire (souscription)– Pas de synchronisation des mots de passe (par défaut)Synchronisation AAD avec FIM 2010 (R2)
  • DIRECTORY GRAPH APIWindows Azure Active Directory
  • • https://graph.windows.net/contoso.com/– TenantDetails– Users– Groups– Contacts– Service Principals– Roles– Subscribed Skus• Mais également :– Licensing, Provisioning, DirSync status, Domain StatusRessources dans AAD
  • Objectifs/Bénéfices clésRendre simple le développement d‟application s‟interfaçant avec AADUne fondation solide pour la création de capacités de plus haut niveau : recherche, sélecteurd‟identité, appartenance à un groupe de sécurité, collaboration inter-entreprises, etc.Simple à utiliser et interopérable (graphe)Solution : nouvelle interface RESTful pour Windows Azure ADProtocole basé sur HTTP/REST pour accéder à toutes les informations de lannuaireLes objets retournés sont au format JSON/XMLCompatibilité avec OData V3 pour des requêtes complexes et les métadonnées (www.odata.org)S‟appuie sur OAuth 2.0 pour l‟authentificationDirectory Graph API
  • • REST– Largement adopté par l‟industrie– Très simple - HTTP - GET, PUT, POST, DELETE• Supporte les codes de réponses HTTP– Beaucoup de bibliothèques clientes disponibles• REST pour l’annuaire– Intégration facile avec nimporte quelle application sur nimportequelle plateformePourquoi un annuaire REST ?
  • • Structure dune requête URI<Service root>/<resource path>[? Query string options]https://graph.windows.net/contoso.com/Users?$filter=DisplayName eq „Adam Barr”• Navigationhttps://graph.windows.net/$metadatahttps://graph.windows.net/contoso.com/https://graph.windows.net/contoso.com/TenantDetailshttps://graph.windows.net/contoso.com/Usershttps://graph.windows.net/contoso.com/Groups…Interface REST pour l’accès à l’annuaireExemple de filtres?$filter=City eq Redmond?$filter=GivenName eq Adam and Surname eq Barr?$filter=Surname ge Jackson and Surname le JzRéponseCorps de la réponse JSON ou XMLCode de réponse HTTP
  • Obtenir un objet utilisateurObjet utilisateur JSON retournéRequête : https://graph.windows.net
  • Liens Utilisateur
  • Liens Groupe
  • • Les objets utilisateurs sont triés selon leDisplayName, les autres types d’objets ne sont pastriés• Options de requête OData– $filter– Opérations logiques And, Eq, Ge, Le– Pagination - $top– http://www.odata.org– Laspect Graphe Social permet un "contexte" des attributsutilisateur par rapport aux autresRequêtes et gestion des données
  • NAVIGATION AVEC GRAPHEXPLORERWindows Azure AD Directory Graph API
  • • L’administrateur de l’organisation ajoute un"Application Service Principal" à son locataire et luiassigne un rôle (Lecture ou Lecture/Ecriture)• Le développeur configure l’Application pour utiliserun "Application Service Principal Id" et un "AppSecret" (certificat X.509 ou clé symétrique)• Le développeur exécute l’App – le Front End RESTvalide le jeton ACS et autorise la requêteAuthentification et autorisation pour lesApps
  • Authentification et autorisation pour les Apps
  • ILLUSTRATION AVEC L’APPLICATIONEXEMPLEhttp://go.microsoft.com/fwlink/?LinkID=95732Windows Azure AD Directory Graph API
  • • Inscrivez-vous pour un locatairehttp://g.microsoftonline.com/0AX00en/5Version Preview autonome disponible :)
  • • Livre blanc "Active Directoryfrom on-premises to the Cloud"Pour plus d’informations
  • • Regarder les annonces sur le blog Windows Azure– http://blogs.msdn.com/windowsazure– Reimagining Active Directory for the Social Enterprise (Part 1)– Reimagining Active Directory for the Social Enterprise (Part 2)– Announcing the Developer Preview of Windows Azure ActiveDirectory– Enhancements to Windows Azure Active Directory PreviewPlus d’informations
  • • Documentation TechNethttp://technet.microsoft.com/en-us/library/hh967619.aspx• Documentation MSDNhttp://msdn.microsoft.com/en-us/library/windowsazure/jj673460.aspxPour aller plus loin
  • Formez-vous en ligneRetrouvez nos évènementsFaites-vous accompagnergratuitementEssayer gratuitement nossolutions ITRetrouver nos expertsMicrosoftPros de l‟ITDéveloppeurswww.microsoftvirtualacademy.comhttp://aka.ms/generation-apphttp://aka.ms/evenements-developpeurs http://aka.ms/itcamps-franceLes accélérateursWindows Azure, Windows Phone,Windows 8http://aka.ms/telechargementsLa Dev‟Team sur MSDNhttp://aka.ms/devteamL‟IT Team sur TechNethttp://aka.ms/itteam