Nouveautés d’AADconnect -Azure AD Pass Through Authentication et Seamless SSO

Beaucoup de sociétés souhaitent ne pas synchroniser les hash mots de passe sur Azure Active directory. Ceci permet de garantir que même à partir des infrastructures Microsoft , il n’est pas possible de s’authentifier dans l’AD local.

Pour mettre en place ce scénario dans Office 365 (et d’autres applications du marché), Microsoft et d’autres éditeurs proposent des applications de fédération d’identités et proposent des passerelles pour valider les authentificatons dans l’active directory.

Chez Microsoft, ce produit est ADFS.

Ce produit a certes beaucoup d’avantages, mais aussi quelques inconvénients :

  • Nécessite une infrastructure complexe (pour plus de sécurité 2 ADFS + 2 reverse proxy ADFS en DMZ (reverse proxy de type ADFS Proxy, ou WAP, ou équipements réseaux de type reverse proxy (KEMP, BIG IP, etc…)).
  • Nécessite des certificats publiques pour valider les flux HTTPS (avec le risque dû au renouvellement de certificat, …)

 

Depuis la version AADConnect version 1.1.370 Microsoft propose de réaliser les services de federation d’identité et de SSO comme le fait un ADFS .

  • Azure AD Pass Through Authentication
  • Seamless SSO

Certes toutes les fonctionnalités d’ADFS ne sont pas portée dans AADconnect, mais il est une bonne alternative pour une infrastructure simplifiée pour rendre ce service pour les applications Office 365 et Azure AD.

Si vous avez besoin d’ADFS pour des applications tierces, et que ces applications n’utilisent pas une identité Azure AD, vous serez obligé de conserver vos services portés par ADFS.

Les services proposés par AADConnect pour Azure AD Pass Through Authentication peuvent être redondés sur plusieurs serveurs permettant de rendre le service en cas de dysfonctionnement d’AADconnect.

 

Je vous propose un article sur le blog de Maxime Rastello , (MVP  Microsoft et animateur de session lors des séminaires Microsoft ) qui parle de ce sujet en mode Deep Dive.

http://www.maximerastello.com/deepdive-azure-ad-pass-through-authentication-et-seamless-sso/