Il fût un temps où les professionnels de l’informatique croyaient que les risques liés à une fuite de données et au piratage des données d’identification étaient suffisamment importants pour justifier de remettre à plus tard le passage au stockage des données dans le cloud. Après tout, aucune organisation n’a envie de faire les gros titres et d’annoncer une énième fuite de données au monde entier. Mais le temps a fait son travail, et avec le renforcement de la sécurité, la généralisation du passage au cloud et une plus grande confiance, les craintes des techniciens s’estompent et l’exécution d’applications telles que Microsoft Office 365, proposées sous forme de service par abonnement, semble être la prochaine étape naturelle à franchir.
Lorsque les utilisateurs commencent à se servir d’Office 365, comment gèrent-ils AD ? Windows Server AD ou Azure AD ? Quels sont les points communs et les différences entre AD sur site et Azure AD ?
Dans ce billet, je parlerai des similitudes et des différences entre les deux produits, entre autres choses.
Téléchargez un Livre-Blanc sur la sécurité d'AD
Ce que l’on est sûr de connaître : Windows Server Active Directory
Commençons par ce que nous savons des services de domaine Active Directory.
Publié pour la première fois avec Windows 2000 Server edition, Active Directory est pour l’essentiel une base de données qui aide à organiser les utilisateurs, les ordinateurs, etc. de votre entreprise. Il apporte des capacités d’authentification et d’autorisation aux applications, services de fichiers, imprimantes et autres ressources sur site. Il utilise des protocoles tels que Kerberos et NTLM pour l’authentification et LDAP pour interroger et modifier les éléments des bases de données AD.
AD possède aussi cette fantastique fonctionnalité de Stratégies de groupe qui rationalise les utilisateurs et les paramètres sur tout un réseau.
Compte tenu du nombre élevé de groupes de sécurité, de comptes utilisateur et admin, et de mots de passe conservés dans Active Directory, et des identités et droits d’accès qui y sont gérés, la sécurisation d’AD est essentielle à la protection des actifs d’une organisation.
Lorsque les e-mails, fichiers, systèmes CRM et applications sont conservés dans le cloud, peut-on être sûr qu’ils sont aussi bien protégés que lorsqu’ils étaient situés sur les propres serveurs de l’entreprise ?
Un nouveau monde : le service AD dans le cloud ?
Lorsque les nouvelles startups et organisations démarreront leur activité, il est très probable qu’elles n’auront pas de données sur site et, c’est là la grande surprise, qu’elles ne créeront pas non plus de forêts et de domaines dans AD. J’y reviendrai plus tard.
De leur côté, les organisations dont l’infrastructure est déjà en place ont déjà réalisé d’importants investissements dans une infrastructure sur site et devront trouver un nouveau moyen d’assurer leurs opérations.
Pourquoi ? Azure AD sera probablement un élément clé des activités futures de Microsoft. Par conséquent, si vous utilisez déjà n’importe lequel des services en ligne de Microsoft, comme Office 365, Sharepoint Online et Exchange online, vous devrez trouver une alternative pour contourner le problème. Et il semble déjà que les organisations adoptent rapidement des applications dans le cloud et qu’elles les exécutent presque la moitié du temps.
Qu’est-ce qui est différent dans Azure Active Directory ?
Tout d’abord, vous devez savoir que Windows Server Active Directory n’a pas été conçu pour gérer les services Web.
Azure Active Directory, par contre, a été pensé pour prendre en charge des services Web qui utilisent les interfaces d’API REST (REpresentational State Transfer) pour Office 365, Salesforce.com etc. Contrairement à la version normale d’Active Directory, la version Azure AD utilise des protocoles totalement différents (Goodbye, Kerberos et NTLM) qui fonctionnent avec ces services, à savoir des protocoles tels que SAML et OAuth 2.0.
Comme je l’ai déjà dit plus haut, avec Azure AD vous ne créerez pas de forêts et de domaines. Au lieu de cela, vous serez un locataire, une entité qui représente une organisation tout entière. En fait, lorsque vous vous inscrirez à Office 365, Sharepoint ou Exchange Online, vous deviendrez automatiquement locataire de Azure AD et pourrez ainsi gérer tous les utilisateurs de l’entreprise ainsi que les mots de passe, droits, données utilisateur, etc.
Outre le fait qu’Azure AD autorise une connexion transparente à n’importe quel service en ligne de Microsoft, le logiciel peut se connecter à des centaines d’applications SaaS grâce à une connexion unique. Les employés peuvent ainsi accéder aux données de l’organisation sans avoir à se connecter encore et encore. Ce jeton d’accès est situé en local, sur l’appareil de l’employé. Par ailleurs, vous pouvez limiter l’accès en créant des dates d’expiration de jeton.
Pour une liste des fonctionnalités gratuites, basiques et premium, consultez ce tableau comparatif.
Présentation de Azure AD Connect
Si votre organisation est prête à migrer sa structure sur site vers Azure AD, essayez Azure AD Connect. Pour consulter un bon tutoriel traitant de l’intégration, lisez cet article explicatif.
Dans un prochain billet, je vous proposerai une liste des principaux tutoriels Azure AD afin de faciliter votre passage à une interface et à une terminologie totalement nouvelles.
Avec le passage à Azure, adieu Kerberos, forêts et domaines.
