Introduction à Azure Active Directory – Partie 4 – Portail des applications et SSO
Azure Active Directory est une solution complète pour la gestion des identités et de l'accès dans le cloud. Azure Active Directory fournit un ensemble de fonctionnalités permettant de gérer les utilisateurs et les groupes, et de sécuriser l'accès aux applications, notamment aux services en ligne de Microsoft tels qu'Office 365, Microsoft Intune et aux nombreuses autres applications SaaS tierces.
Dans ses déclinaisons Gratuite, Basic et Premium, Azure Active Directory permet aux administrateurs de proposer aux collaborateurs un portail d'accès aux applications Web, Intranet ou SaaS.
L'objectif est ici d'émanciper les utilisateurs et leur fournir un accès simplifié en terme d’authentification, le tout sur leurs différents appareils (PC, tablette, smartphone).
Ce portail des applications peut être accédé via :
- un compte Azure Active Directory
- un compte Active Directory synchronisé dans AAD
- un compte Active Directory fédéré avec AAD
Note : il est tout à fait possible de sécuriser encore plus l'accès à ce portail via une authentification forte comme Azure Multi-Factor Authentication (qui est inclus dans Azure AD Premium)
Plus d'informations sur Azure MFA
- Le cours MVA : Introduction à l'authentification multifacteur Azure [FR] https://aka.ms/mfa-b
- La documentation officielle https://azure.microsoft.com/fr-fr/services/multi-factor-authentication/
1- Quelles applications mettre dans le portail ?
Avec Azure Active Directory, il devient possible de gérer les accès des utilisateurs et groupes aux applications SaaS commerciales ou métiers hébergées à l’extérieur de votre organisation. Reste l’épineuse question : est ce vos utilisateurs ou divisions métiers utilisent exclusivement les applications et services que vous gérez ?
Probablement pas. Avec le développement de la mobilité et des services cloud, le phénomène de Shadow IT s’amplifie au sein des organisations où l’informatique n’est pas assez agile ou à l’écoute des besoins de leurs utilisateurs.
Dans l’optique de vous aider à déterminer le taux de pénétration de services cloud non officiels dans votre Système d’Information, Microsoft propose un outil de découverte et d’analyse baptisé Cloup App Discovery.
Cet outil accessible sur https://appdiscovery.azure.com/ est donc un bon point de départ pour établir la liste des applications à publier.
Plus d'informations sur Cloup App Discovery, comment le configurer et l'utiliser : Azure Active Directory – introduction à Cloup App Discovery https://blogs.technet.com/b/stanislas/archive/2014/10/20/azure-active-directory-introduction-224-cloup-app-discovery.aspx
2- Publier une application dans le portail
2.1- Application simple avec login / mot de passe fourni par l'utilisateur
Aller dans le portail d’administration de Microsoft Azure (https://manage.windowsazure.com/), Aller dans la partie Azure Active Directory, sélectionner l’annuaire AAD puis se placer dans l’onglet APPLICATIONS. Cliquer sur Add
Sélectionner Add an application from the gallery.
Sélectionner par exemple Twitter puis cliquer sur la coche en bas à droite de l’interface.
Cliquer sur Configure sign-on.
Sélectionner Password Sign-On pour les applications sans fédération.
Aller dans l’onglet USERS AND GROUPS et sélectionner les utilisateurs à qui affecter cette application. Cliquer ensuite en bas sur Assign.
L’application est désormais publiée et utilisable par les utilisateurs affectés dans le portail des applications. Ces utilisateurs saisiront une fois les crédentiels pour cette application puis ensuite il auront une expérience de Single Sign-On (cf. point 3 de cet article).
2.2- Application avec compte partagé
Plusieurs utilisateurs peuvent utiliser une application en utilisant le même compte (ex: compte Twitter / Facebook de l’organisation…).
Objectif : protéger ces comptes de l’organisation :
- L’administrateur AD contrôle les mots de passe de ces comptes partagés
- L’assignation des utilisateurs se fait via l’appartenance à un groupe
- Un utilisateur peut avoir accès à plusieurs comptes partagés
- Ces comptes partagés peuvent coexister avec les comptes personnels
Le mot de passe du compte partagé est sécurisé dans le tenant Azure Active Directory et est directement envoyé lorsque l'utilisateur veut accéder à l'application depuis le portail.
Pour utiliser un compte partagé, l'accès à l'application se fait via un groupe d'utilisateurs.
Exemple : publication de Facebook avec utilisation d’un compte partagé
Dans la zone applications d’Azure Active Directory, cliquer sur Add. Sélectionner Add an application from the gallery.
Cliquer sur Assign Users, sélectionner Groups et choisir un groupe d’utilisateurs qui aura accès à l’application en utilisant le compte partagé.
Saisir pour ce groupe d’utilisateurs (= groupe de sécurité) les crédentiels de l’application Facebook et cocher la case “I want to enter Facebook credentials to be shared among all group members”
Valider. L’application est publiée.
2.3- Application avec fédération
Certaines applications sont fédérables avec Azure Active Directory via différents mécanismes allant jusqu’à des processus de provisionning entrant ou sortant. Ces applications proposent généralement plus d’options de configuration dans leurs interfaces AAD et sont parfois aussi documentées de manière plus spécifique.
Quelques exemples :
Tutorial: Azure AD integration with Salesforce
https://msdn.microsoft.com/en-us/library/azure/dn308593.aspxTutorial: Azure AD integration with Box
https://msdn.microsoft.com/en-us/library/azure/dn308589.aspxTutorial: Azure AD integration with Dropbox for Business
https://msdn.microsoft.com/en-us/library/azure/dn510978.aspxTutorial: Azure AD integration with Citrix GoToMeeting
https://msdn.microsoft.com/en-us/library/azure/dn440168.aspxTutorial: Azure AD integration with Workday
https://msdn.microsoft.com/en-us/library/azure/dn510972.aspx
La liste des applications SaaS se fédérant avec Azure Active Directory augmentant rapidement, je vous encourage à aller sur le lien suivant qui les référence et documente les configurations spécifiques.
Application access : https://msdn.microsoft.com/en-us/library/azure/dn308590.aspx
3- Accéder au portail à une application
Les utilisateurs peuvent accéder au portail des applications via un navigateur Web ou via une application mobile :
- Portail Web : https://myapps.microsoft.com/
- Application iOS : https://itunes.apple.com/us/app/my-apps-azure-active-directory/id824048653?mt=8
- Application Android: https://play.google.com/store/apps/details?id=com.microsoft.myapps
Une fois authentifié, l'utilisateur n'a plus qu'à cliquer sur l'application désirée et saisir le cas échéant son mot de passe (généralement lors de première utilisation si aucun mécanisme de fédération n'a été mis en place)
Vous êtes professionnel et légitimement vous vous posez des questions sur le Cloud, Microsoft Azure, Hyper-V, Windows Server, l’évolution du datacenter vers un cloud privé ou hybride, la gestion des périphériques mobiles en entreprise alors pour en savoir plus, n’hésitez pas à suivre les sessions gratuites de formation de la Microsoft Virtual Academy : https://www.microsoftvirtualacademy.com/ Pour une recherche efficace des formation en français et faites par des français, saisir [FR] dans la zone de recherche.
Concernant Azure Active Directory Premium, le cours MVA en français est accessible via le lien suivant : https://aka.ms/aadprem