Comparer les fournisseurs d’identité Microsoft
Un fournisseur d’identité est un système qui crée, gère et stocke des identités numériques. Microsoft Entra ID est un exemple. Les fonctions et fonctionnalités des fournisseurs d’identité peuvent varier. Les trois composants les plus couramment utilisés sont les suivants :
- Un dépôt d’identités utilisateur
- Un système d’authentification
- Des protocoles de sécurité qui protègent contre les intrusions
Un fournisseur d’identité vérifie les identités des utilisateurs avec un ou plusieurs facteurs d’authentification, tels qu’un mot de passe ou une analyse d’empreinte digitale. Un fournisseur d’identité est souvent un fournisseur approuvé à utiliser avec l’authentification unique (SSO) pour accéder à d’autres ressources. L’authentification unique améliore la facilité d’utilisation en réduisant la « fatigue du mot de passe ». Elle renforce également la sécurité en réduisant la surface d’attaque potentielle. Les fournisseurs d’identité peuvent faciliter les connexions entre les ressources cloud computing et les utilisateurs, réduisant ainsi la nécessité pour les utilisateurs de se réauthentifier lors de l’utilisation d’applications mobiles et itinérantes.
Protocoles d’identité courants
Fournisseur OpenID : OpenID Connect (OIDC) est un protocole d’authentification basé sur le protocole OAuth2 (utilisé pour l’autorisation). OIDC utilise les flux de messages standardisés d'OAuth2 pour fournir des services d'identité. Plus précisément, une entité système (appelée OpenID-Provider) émet des jetons d’identité au format JSON à destination de parties de confiance OIDC via une API HTTP RESTful.
Fournisseur d’identité SAML : Security Assertion Markup Language (SAML) est une norme ouverte pour l’échange de données d’authentification et d’autorisation entre un fournisseur d’identité et un fournisseur de services. SAML est un langage de balisage basé sur XML pour les assertions de sécurité, qui sont des instructions que les fournisseurs de services utilisent pour prendre des décisions de contrôle d’accès.
Comparer les fournisseurs d’identité dans Microsoft Azure
Microsoft fournit plusieurs outils différents pour l’identité en fonction des besoins et des objectifs de votre entreprise. Microsoft Entra ID doit être votre point de départ pour l’identité basée sur le cloud. D’autres services peuvent fournir des fonctionnalités de prise en charge quand vous passez d’un environnement local au cloud.
| Microsoft Entra Domain Services | Microsoft Entra ID | Services de domaine Active Directory |
|---|---|---|
| Fournit des services de domaine managés avec un sous-ensemble de fonctionnalités AD DS traditionnelles entièrement compatibles, comme la jonction de domaine, la stratégie de groupe, le protocole LDAP et l’authentification Kerberos/NTLM. | Gestion des identités et des appareils mobiles basée sur le cloud qui fournit des services d’authentification et de compte d’utilisateur pour les ressources telles que Microsoft 365, le portail Azure ou les applications SaaS. | Serveur LDAP (Lightweight Directory Access Protocol) prêt pour l’entreprise qui fournit des fonctionnalités clés telles que l’identité et l’authentification, la gestion des objets ordinateur, la stratégie de groupe et les approbations. |
Active Directory Domain Services (AD DS)
Serveur LDAP (Lightweight Directory Access Protocol) prêt pour l’entreprise qui fournit des fonctionnalités clés telles que l’identité et l’authentification, la gestion des objets ordinateur, la stratégie de groupe et les approbations.
- AD DS est un composant central dans de nombreuses organisations disposant d’un environnement informatique local et fournit des fonctionnalités d’authentification de compte d’utilisateur et de gestion d’ordinateurs de base.
Microsoft Entra ID
Gestion des identités et des appareils mobiles basée sur le cloud qui fournit des services d’authentification et de compte d’utilisateur pour les ressources telles que Microsoft 365, le portail Azure ou les applications SaaS.
- Microsoft Entra ID peut être synchronisé avec un environnement AD DS local pour fournir une identité unique aux utilisateurs qui travaillent en mode natif dans le cloud.
Microsoft Entra Domain Services
Fournit des services de domaine managés avec un sous-ensemble de fonctionnalités AD DS traditionnelles entièrement compatibles, comme la jonction de domaine, la stratégie de groupe, le protocole LDAP et l’authentification Kerberos/NTLM.
- Microsoft Entra DS s’intègre à Microsoft Entra ID, qui peut lui-même se synchroniser avec un environnement AD DS local. Cette capacité étend les cas d’usage de l’identité centrale aux applications web traditionnelles qui s’exécutent dans Azure dans le cadre d’une stratégie lift-and-shift.