Alors que les entreprises adoptent de nouvelles applications en SaaS (Salesforce.com, Office 365, WebEX, ServiceNow, Workday, Box, Google Apps) étendre Active Directory dans le Cloud devient une nécessité. Ces applications contiennent souvent des données critiques (CRM, HR, collaboration, mail, ..), la sécurité est donc primordiale dans ce contexte. Active Directory ne se connectant pas nativement au Cloud, son intégration reste un challenge.
Ce support présente 3 scénarios d’intégration basés sur :
La fédération avec Active Directory Federation Services
Les APIs des applications SaaS
Les services AD couplés avec un IAM dans le Cloud de type IdaaS.
2. | PROFIL | AGENCES
Cabinet de conseil et d’ingénierie
en Sécurité du système d’information
20 Années d’expertise
70personnes début 2014
+20 % de croissance depuis 2011
Paris
Marseille
Lille
Genève
2
Qui sommes nous ?
23/02/2016
3. Audit et Cadrage
Expertise et Intégration
Tierce Maintenance Applicative
Formation
| Nos expertises| Nos métiers
3
Quels sont nos métiers ?
23/02/2016
12. 13
Comment créer des
comptes ?
Comment authentifier
les utilisateurs ?
Comment gérer ces
comptes ?
Comment ces comptes
sont dé-provisionnés ?
Comment ces comptes
sont audités ?
14. 15
App A App B App C App D App E
Single Sign-on No Yes Yes Paid Extra Yes
User
Management
Yes Yes No No Script
Automated
Directory Sync
Not Natively Partner Yes Script Cloud
Reporting/
Auditing
No No Yes Partial No
Analytics No No No Yes No
Implementation Toolkit API Partner API Toolkit
Multi-Factor
Authentication
Yes No No 3rd Party Yes
Compliqué à
implémenter
Couverture limitée
Fonctionnalités
limitées
19. 20
Nombre d’utilisateurs
accédant au Cloud
Nombre minimum de serveurs à déployer
De 1000 à 15000 utilisateurs
2 serveurs dédiés à la fédération
+
2 proxys dédiés à la fédération
De 15000 à 60000 utilisateurs
Entre 3 et 5 serveurs dédiés à la fédération
+
Au moins 2 proxys dédiés à la fédération
Source: technet.microsoft.com
De 4 à 7 serveurs dédiés pour une application Cloud
Dont une partie dans la DMZ
21. 22
Certificate type
Token-signing certificate
Service communication certificate
Token-decryption certificate
Secure Sockets Layer (SSL) certificate
Source: technet.microsoft.com
• Certificats différents pour chaque
serveur
• Devant être acquis auprès d’une CA
• Devant être gérés et renouvelés
27. 28
• Coût pour intégrer chaque application avec AD
• Coût des connecteurs
• Coût pour déployer HW sur site
• Coût pour maintenir SW/HW sur site
Réseau d’entreprise
Firewall
Internet
Active
Directory
User
storeUser
store
Applications sur site
APIs SaaS ou
Intégration
AD-FS
30. 31
1 3 4
Internet Firewall Réseau d’entreprise
Contrôleur de
domaine AD
Agent Okta
https://yourcompany.okta.com
2
•
•
•
31. 32
Internet Firewall Réseau d’entreprise
Contrôleur de
domaine AD
Agent Okta
(Sur Windows Server)
https://yourcompany.okta.com
3
1 2
32
32. 33
Internet Firewall Réseau d’entreprise
Contrôleur de
domaine AD
Agent Okta
(Sur Windows Server)
https://yourcompany.okta.com
1 2
3 4
Mobile ou local
33
33. Firewall
Contrôleur de
domaine AD
Agent Okta
(Sur Windows Server)
https://yourcompany.okta.com
ISV
SAML
Internet
Authentification déléguée
Utilisateur redirigé pour
login sur Okta (IDP)
L’utilisateur accède directement à l’application
et est redirigé vers Okta1
Authentification à Okta avec les données d’
Active Directory2
Okta délègue l’authentification à Active
Directory3
L’utilisateur est authentifié et redirigé sur
l’application4
Avec Desktop SSO, pas besoin de se
connecter
34
42. Terminaux
Utilisateurs
Postes fixes et portables,
Tablettes, Smartphones
Employés, Clients,
Partenaires, Prestataires
Mobile
Sur site
Cloud
Identité sur site
LDAP
47. Terminaux
Utilisateurs
Ordinateurs fixes et portables,
Tablettes, Smartphones
Employés, Clients,
Partenaires, Contractuels
Mobile
Sur site
Cloud
Identité sur site
LDAP
Productivité améliorée
Réduction des coûts IT
Sécurité renforcée