Alors que les entreprises adoptent de nouvelles applications en SaaS (Salesforce.com, Office 365, WebEX, ServiceNow, Workday, Box, Google Apps) étendre Active Directory dans le Cloud devient une nécessité. Ces applications contiennent souvent des données critiques (CRM, HR, collaboration, mail, ..), la sécurité est donc primordiale dans ce contexte. Active Directory ne se connectant pas nativement au Cloud, son intégration reste un challenge. Ce support présente 3 scénarios d’intégration basés sur : La fédération avec Active Directory Federation Services Les APIs des applications SaaS Les services AD couplés avec un IAM dans le Cloud de type IdaaS.

2. | PROFIL | AGENCES
Cabinet de conseil et d’ingénierie
en Sécurité du système d’information
20 Années d’expertise
70personnes début 2014
+20 % de croissance depuis 2011
Paris
Marseille
Lille
Genève
2
Qui sommes nous ?
23/02/2016

3. Audit et Cadrage
Expertise et Intégration
Tierce Maintenance Applicative
Formation
| Nos expertises| Nos métiers
3
Quels sont nos métiers ?
23/02/2016

4. 4

5. “The Hidden Truth Behind Shadow IT – Frost & Sullivan, Nov 2013”
5

6. Applications Postes
Utilisateurs
7

7. Applications
Postes
Utilisateurs
Identité
8

8. Applications
Devices
People
Personnalisées, Cloud,
Mobiles
Applications Terminaux
Utilisateurs
iPhone, Android, iPad,
Windows 8
Internes, Externes, Clients
Identité
9

9. Difficultés pour les
utilisateurs
10

10. Complexité pour l’IT
Gestion des
comptes
chronophage
11

11. ?
Absence de visibilité pour
les équipes de sécurité
12

12. 13
Comment créer des
comptes ?
Comment authentifier
les utilisateurs ?
Comment gérer ces
comptes ?
Comment ces comptes
sont dé-provisionnés ?
Comment ces comptes
sont audités ?

13. 14
Federation Services

14. 15
App A App B App C App D App E
Single Sign-on No Yes Yes Paid Extra Yes
User
Management
Yes Yes No No Script
Automated
Directory Sync
Not Natively Partner Yes Script Cloud
Reporting/
Auditing
No No Yes Partial No
Analytics No No No Yes No
Implementation Toolkit API Partner API Toolkit
Multi-Factor
Authentication
Yes No No 3rd Party Yes
Compliqué à
implémenter
Couverture limitée
Fonctionnalités
limitées

15. 16
Source: technet.microsoft.com
16

16. Ferme de serveurs ?
Source: technet.microsoft.com
17

17. 18
Source: technet.microsoft.com
- Serveurs dédiés au sein du
réseau d’entreprise
- Serveurs doublés pour une
haute disponibilité

18. 19
Source: technet.microsoft.com
- Proxys dédiés positionnés
dans la DMZ
- Serveurs doublés pour une
haute disponibilité

19. 20
Nombre d’utilisateurs
accédant au Cloud
Nombre minimum de serveurs à déployer
De 1000 à 15000 utilisateurs
2 serveurs dédiés à la fédération
+
2 proxys dédiés à la fédération
De 15000 à 60000 utilisateurs
Entre 3 et 5 serveurs dédiés à la fédération
+
Au moins 2 proxys dédiés à la fédération
Source: technet.microsoft.com
De 4 à 7 serveurs dédiés pour une application Cloud
Dont une partie dans la DMZ

20. 21

21. 22
Certificate type
Token-signing certificate
Service communication certificate
Token-decryption certificate
Secure Sockets Layer (SSL) certificate
Source: technet.microsoft.com
• Certificats différents pour chaque
serveur
• Devant être acquis auprès d’une CA
• Devant être gérés et renouvelés

22. 23
Source: technet.microsoft.com
• Synchro toutes les 3 heures pour les
comptes, ou synchro manuelle
• Outil limité à Office 365 / Windows
Azure

23. 24
1 2 3 4
Support & Maintenance
Intégration (charges
projet) + coûts matériel
Coûts fixes
pour la
première
application

24. 1 2 3 4
25
+ d’applications = + de dépenses

25. 26

26. 27

27. 28
• Coût pour intégrer chaque application avec AD
• Coût des connecteurs
• Coût pour déployer HW sur site
• Coût pour maintenir SW/HW sur site
Réseau d’entreprise
Firewall
Internet
Active
Directory
User
storeUser
store
Applications sur site
APIs SaaS ou
Intégration
AD-FS

28. 29
1 2
3
Employés
mobiles
Active
Directory
Employés
Agent(s)
Okta
Firewall

29. 30
1 2
3
Remote/Mobile
Employees
Active
Directory
Employees
Okta Agent(s)
Firewall•
•
•
•
•
•

30. 31
1 3 4
Internet Firewall Réseau d’entreprise
Contrôleur de
domaine AD
Agent Okta
https://yourcompany.okta.com
2
•
•
•

31. 32
Internet Firewall Réseau d’entreprise
Contrôleur de
domaine AD
Agent Okta
(Sur Windows Server)
https://yourcompany.okta.com
3
1 2
32

32. 33
Internet Firewall Réseau d’entreprise
Contrôleur de
domaine AD
Agent Okta
(Sur Windows Server)
https://yourcompany.okta.com
1 2
3 4
Mobile ou local
33

33. Firewall
Contrôleur de
domaine AD
Agent Okta
(Sur Windows Server)
https://yourcompany.okta.com
ISV
SAML
Internet
Authentification déléguée
Utilisateur redirigé pour
login sur Okta (IDP)
L’utilisateur accède directement à l’application
et est redirigé vers Okta1
Authentification à Okta avec les données d’
Active Directory2
Okta délègue l’authentification à Active
Directory3
L’utilisateur est authentifié et redirigé sur
l’application4
Avec Desktop SSO, pas besoin de se
connecter
34

34. Firewall
2
1
Contrôleur de
domaine AD
•
•
Agent Okta
IWA
35

35. Contrôleur de
domaine AD
Agent Okta
Firewall
•
•
•
36

36. 1 2 3 4 5
37

37. 1 2 3 4 5
38

38. 1 2 3 4 5
39

39. 1 2 3 4 5
40

40. 5431 2
•
•
•
•
41

41. 42

42. Terminaux
Utilisateurs
Postes fixes et portables,
Tablettes, Smartphones
Employés, Clients,
Partenaires, Prestataires
Mobile
Sur site
Cloud
Identité sur site
LDAP

46. 47

47. Terminaux
Utilisateurs
Ordinateurs fixes et portables,
Tablettes, Smartphones
Employés, Clients,
Partenaires, Contractuels
Mobile
Sur site
Cloud
Identité sur site
LDAP
Productivité améliorée
Réduction des coûts IT
Sécurité renforcée

48. 3,000+ Applications

49. GARTNER IDaaS 2014 : Okta leader du marché

50. 51

51. 52
okta.com/free