Qu’est-ce que les services de fédération Active Directory (ADFS) ?
Les outils de gestion des identités et des accès (IAM) sont devenus plus nécessaires que jamais dans l’environnement informatique actuel, en particulier avec le nombre de personnes travaillant à distance et la prolifération des menaces numériques qui se profilent à chaque coin de rue. À mesure que le marché de l’IAM évolue, de nombreux fournisseurs ont du mal à suivre l’évolution des besoins de l’entreprise. Aujourd’hui, les organisations s’appuient sur diverses combinaisons de solutions traditionnelles et basées sur le cloud pour prendre en charge les processus critiques tout en offrant de la flexibilité à leurs employés.
C’est sur cette base que Microsoft a dévoilé Active Directory Federation Services (ADFS) en tant que module complémentaire pour le système d’exploitation Windows Server lorsque ces tendances ont commencé à émerger en 2003. ADFS permet aux organisations d’étendre l’accès des utilisateurs à l’authentification unique (SSO). aux ressources situées en dehors du pare-feu de l’entreprise et au-delà des frontières organisationnelles. Il donne aux organisations la flexibilité nécessaire pour rationaliser l’expérience de l’utilisateur final tout en améliorant le contrôle des administrateurs informatiques sur les comptes d’utilisateurs dans les applications propriétaires et tierces.
Dans cet article, nous examinerons ce qu’est ADFS, comment il fonctionne, les cas d’utilisation et pourquoi le secteur s’éloigne des solutions complémentaires cloisonnées comme ADFS au profit de solutions IAM cloud plus complètes.
Qu’est-ce qu’ADFS ?
ADFS est la solution SSO sur site de Microsoft qui authentifie les utilisateurs auprès des applications incompatibles avec Active Directory (AD) et l’authentification Windows intégrée (IWA). Microsoft a lancé ADFS comme option pour de nombreuses organisations qui ont bénéficié du boom du logiciel en tant que service (SaaS) dans les années 2000.
À l’époque, Microsoft dominait le secteur informatique et presque toutes les applications utilisées par les entreprises étaient sur site et basées sur Windows. Cela a créé des problèmes d’authentification pour les applications situées en dehors de l’écosystème Windows et du périmètre organisationnel. Cependant, ADFS permet de partager en toute sécurité les informations d’identité en dehors du réseau de l’entreprise pour accéder à des ressources Web telles que des applications Web hébergées par des organisations avec lesquelles l’entreprise a établi des relations.
En bref, il permet aux organisations de créer des « relations de confiance » entre elles sur Internet, complétant AD en étendant les identités des paramètres sur site aux environnements cloud. Il fonctionne comme n’importe quel service SSO basé sur une application Web qui utilise le protocole SAML (Secure Assertion Markup Language). ADFS peut également utiliser des cookies et d’autres normes de jetons telles que les jetons Web JSON (JWT) pour fournir des services d’authentification ; cependant, il est utilisé dans des paramètres sur site et non dans le cloud.
Quelles sont les différentes parties d’ADFS ?
- ADFS se compose de quatre éléments principaux :
- Active Directory. C’est ici que les informations d’identité ADFS sont stockées. ADFS étend les informations AD au-delà du réseau d’entreprise. Cela permet aux utilisateurs d’accéder à Windows et aux applications tierces depuis les réseaux extérieurs de l’entreprise.
- Serveur de fédération. Il gère les fiducies mutualisées entre partenaires commerciaux en émettant des jetons de sécurité. Le serveur de fédération traite les demandes d’authentification des utilisateurs externes et émet des jetons de sécurité pour les demandes basées sur les informations d’identification stockées dans AD.
- Serveur proxy fédéré. Celui-ci se situe sur l’extranet de l’organisation et connecte les utilisateurs externes et le serveur de la fédération. De cette manière, le serveur de la fédération n’est pas directement exposé à Internet pour éviter les risques de sécurité.
- Serveur Web ADFS. Il héberge l’agent Web ADFS, un service qui autorise ou refuse à un utilisateur l’accès aux applications Web en fonction des cookies d’authentification et des jetons de sécurité qui lui sont envoyés.
Comment fonctionne ADFS ?
ADFS utilise une authentification basée sur les revendications, qui vérifie l’identité d’un utilisateur sur la base d’un ensemble de « revendications » concernant son identité à partir d’un jeton de confiance. ADFS donne ensuite aux utilisateurs une seule invite SSO, leur permettant d’accéder à plusieurs applications et systèmes même s’ils se trouvent sur des réseaux différents.
Dans ADFS, deux organisations établissent une fédération d’identité en affirmant une confiance entre deux domaines de sécurité. Un serveur de fédération dans une organisation authentifie un utilisateur via les services de domaine Active Directory (AD DS). AD DS émet ensuite un jeton composé d’une série de déclarations sur l’utilisateur, y compris son identité au sein de l’organisation.
De l’autre côté de l’organisation (côté ressources), un autre serveur de fédération valide les jetons et fournit un autre jeton pour permettre aux serveurs locaux d’accepter l’identité revendiquée. Cela permet au système de fournir un accès contrôlé à ses ressources sans exiger qu’un utilisateur s’authentifie directement auprès de l’application.
Le diagramme ci-dessous résume le flux de travail pour les systèmes basés sur ADFS :
Pourquoi les organisations utilisent-elles ADFS ?
Avant 2003, les organisations utilisaient largement AD et IWA pour gérer l’accès des utilisateurs finaux aux ressources de l’entreprise. Avec la popularité croissante de l’accès à distance et des services basés sur le cloud, il est devenu évident qu’AD et IWA ne pouvaient pas gérer l’authentification moderne. En effet, les utilisateurs de ces environnements souhaitent souvent accéder à des applications n’appartenant pas à l’entreprise, telles que les applications SaaS et Web.
ADFS a résolu et simplifié les problèmes d’authentification tierce, permettant aux organisations de mieux gérer l’accès aux ressources dans un lieu de travail en constante évolution. Avec ADFS, les utilisateurs sont authentifiés sur tous les systèmes de confiance et applications tierces dès qu’ils se connectent avec leurs informations d’identification Windows.
Avec SSO, les utilisateurs n’ont pas besoin de mémoriser des informations d’identification de compte inconnues et différentes lorsqu’ils accèdent aux applications SaaS et Web. Outre les utilisateurs, ADFS offre également des avantages aux administrateurs informatiques et aux développeurs. Par exemple, les administrateurs informatiques peuvent conserver en grande partie leur configuration AD existante, en particulier si d’autres aspects de leur environnement sont encore largement sur site et basés sur Windows.
Cela leur a permis d’avoir une visibilité totale sur leur identité numérique. ADFS a également fourni aux développeurs une approche simple pour authentifier les utilisateurs via les identités de l’annuaire de l’organisation, leur permettant ainsi de se concentrer sur des tâches plus productives.
Quelles sont les limites d’ADFS ?
Bien qu’ADFS soit devenu populaire lorsque AD était le principal service d’annuaire utilisé et que tous les environnements informatiques étaient basés sur Windows, il présente certains problèmes et limitations qui ne peuvent être ignorés.
Bien qu’ADFS soit une fonctionnalité gratuite sur les systèmes d’exploitation Windows Server, son exécution nécessite une licence et un serveur pour héberger les services de fédération. Cela peut coûter cher à une organisation. Non seulement vous devez prendre en compte le coût de la licence d’accès client (CAL) de l’utilisateur final, mais vous devez également vous rappeler que depuis que Microsoft a publié Windows Server 2016, le coût des licences serveur a augmenté et est désormais calculé en fonction du nombre de licences serveur. noyaux. Outre les problèmes de coûts, ADFS n’offre pas la flexibilité nécessaire aux organisations disposant d’un environnement informatique mixte (c’est-à-dire tout ce qui n’est pas connecté aux ressources Windows).
Pour rester compétitifs dans l’environnement actuel, les outils IAM et SSO doivent connecter les utilisateurs au plus grand nombre possible de leurs ressources informatiques, quels que soient la plateforme, le fournisseur, l’emplacement ou le protocole. Personne ne veut utiliser, payer ou gérer plusieurs solutions disparates qui ne couvrent pas entièrement la gestion des identités et des accès, et le secteur s’éloigne des solutions SSO d’applications Web basées sur des points comme ADFS au profit de solutions entièrement intégrées avec des solutions plus complètes. Plateformes IAM.
En s’en tenant à ADFS, les organisations s’enferment essentiellement dans un écosystème basé sur Windows et quelques solutions SaaS. Microsoft n’étant plus le seul acteur du secteur informatique, les entreprises ne peuvent unifier leur gestion des identités que si elles osent sortir de l’écosystème Microsoft.
Modernisez votre infrastructure avec JumpCloud
L’utilisation d’un outil tel que JumpCloud Directory Platform peut aider les organisations à optimiser la gestion des identités dans des environnements hétérogènes. La migration d’ADFS vers JumpCloud est également un processus simple. JumpCloud peut être utilisé comme une extension cloud complète d’AD, comme passerelle d’identité vers des ressources non Windows telles que Linux et macOS, ou comme remplacement moderne et entièrement fonctionnel d’AD.
JumpCloud propose une plate-forme cloud IAM complète avec des fonctionnalités True SSO™ qui permettent aux utilisateurs de se connecter de manière sécurisée et efficace à pratiquement n’importe quelle ressource informatique via SSO – pensez aux appareils Mac, Windows et Linux, aux réseaux Wi-Fi, aux VPN, aux applications cloud et existantes, aux applications physiques et héritées. serveurs de fichiers virtuels, etc.
Essayez la solution JumpCloud gratuitement
Testez la solution IAM moderne et simplifiée de JumpCloud avec True SSO et voyez si elle convient à votre organisation ! Inscrivez-vous aujourd’hui pour un essai gratuit de 30 jours.