Active Directory (AD) est le service d’annuaire On-Premise de Microsoft sous Windows Server. Il permet de gérer les permissions et de contrôler de manière centralisée l’accès aux ressources du réseau. Les données stockées sous forme ‘d’objets’ comprennent les utilisateurs, les groupes, les applications et les périphériques. Cela implique une authentification des utilisateurs et des ordinateurs avant de pouvoir accéder aux ressources pour lesquelles ils sont autorisés.

ADFS (services de fédération Active Directory) solution d’authentification unique (Single Sign On) conçue par Microsoft, permet aux utilisateurs de s’authentifier, via Active Directory (AD), de façon transparente aux différentes applications ou services. Grâce à l’authentification unique, les utilisateurs peuvent utiliser les mêmes identifiants pour y accéder.

Comment fonctionne ADFS ?

ADFS gère l’authentification via un service de proxy hébergé entre Active Directory et l’application cible.

Le processus d’authentification se compose des quatre étapes suivantes :

• L’utilisateur se rend sur une URL fournie par le service ADFS.
• Le service ADFS vérifie l’identité de l’utilisateur via le service Active Directory de l’entreprise.
• Une fois l’identité validée, le service ADFS fournit à l’utilisateur un jeton d’authentification (token) contenant l’ensemble de ces revendications.
• Le navigateur de l’utilisateur transmet alors le jeton à l’application cible, qui accorde ou non l’accès en fonction du service ‘Federated Trust’ qui a été créé.

Pourquoi les entreprises utilisent-elles ADFS ?

Active Directory et l’authentification Windows intégrée sont limitées, et ne peuvent pas vérifier l’identité des utilisateurs accédant de façon externe aux applications intégrées à Active Directory.

C’est notamment le cas pour les utilisateurs en télétravail, pour les entreprises partenaires ou encore pour les services modernes dans le cloud.

ADFS permet de résoudre ce problème et de simplifier les authentifications tierces.

Plus de 90 % des entreprises utilisent Active Directory et donc utilisent vraisemblablement également ADFS.

ADFS offre certains avantages qui en font une option toute trouvée pour bon nombre d’entreprises en quête d’une solution de fédération des identités.

Cependant, cette méthode n’est pas sans risques et s’accompagne de certains inconvénients, bref ce n’est pas forcément la solution idéale.

Quels sont les inconvénients d’ADFS ?

Des coûts de licence et de maintenance

Fonctionnalité gratuite de Windows Server, ADFS requiert une licence Windows Server et un serveur où héberger ce service. Depuis le lancement de Windows Server 2016, il faut désormais disposer d’une licence pour chaque processeur.

Les approbations entre les domaines Active Directory doivent être entretenues par des techniciens très qualifiés et les serveurs ADFS doivent être régulièrement patchés, mis à jour et sauvegardés. Selon sa configuration, le service ADFS peut s’avérer coûteux en raison de facteurs directs comme l’augmentation des besoins en infrastructure, ou indirects, comme la complexification des processus.

Une complexité généralisée

ADFS est compliqué à configurer, à déployer et à exploiter, surtout dans les environnements cloud comme Microsoft Azure. L’ajout d’applications cibles au service nécessite des compétences techniques très pointues. Mettre en service, configurer et maintenir une solution ADFS n’est pas simple en soi et le processus d’ajout d’applications est particulièrement chronophage, très technique, et ne va pas forcément dans le sens de l’agilité.

Des risques de sécurité

Dans sa version standard, ADFS n’offre pas une sécurité optimale. Il est donc nécessaire de la renforcer, y compris celle de Windows server. Pour améliorer la sécurité de l’application, votre objectif est de disposer d’un seul ensemble de contrôles d’accès et de stratégies dans vos environnements locaux et cloud.

Vous l’aurez compris, cette technologie un peu décriée aujourd’hui, arrive en bout de course. Notamment en raison des problèmes de trust, mobilité, disponibilité, performances…

Pourquoi migrer d’ADFS vers la gestion des identités dans le cloud ?

La migration de l’ensemble des authentifications de vos applications vers Azure AD est une solution à envisager voire, peut être la solution optimale :

• Elle propose un plan de contrôle unique pour la gestion des identités et des accès.
• Grâce à leurs coûts opérationnels plus faibles, non seulement les solutions d’authentification basées dans le cloud sont moins onéreuses mais aussi, de par leur structure, elles affichent un taux de disponibilité très élevé et peuvent s’intégrer parfaitement à des centaines d’applications.

En effet, Azure Active Directory (Azure AD) est un service Microsoft multilocataire basé sur le cloud qui gère les identités, les accès et permet de :

• ajouter l’authentification unique (SSO) à vos applications en les intégrant à Azure AD
• accéder aux propriétés de l’annuaire à l’aide de l’API Microsoft Graph
• exploiter la prise en charge d’Azure AD pour l’infrastructure d’autorisation OAuth2.0 et la connexion OpenID en utilisant les points de terminaison HTTP/REST natifs et les bibliothèques d’authentification Azure AD multiplateformes.

Comment faire concrètement ?

Lorsque vous planifiez votre migration vers Azure AD, migrez en priorité les applications qui utilisent des protocoles d’authentification modernes (tels que SAML et Open ID Connect). Les applications SAML 2.0 peuvent être intégrées à Azure AD soit via la galerie d’applications Azure AD, soit en inscrivant l’application dans Azure AD. La plupart des applications SaaS peuvent être configurées dans Azure AD. Microsoft propose de nombreuses connexions préconfigurées pour les applications SaaS dans la galerie d’applications Azure AD.

Les applications qui utilisent OAuth 2.0 ou OpenID Connect peuvent être intégrées à Azure AD de façon similaire en tant qu’inscriptions d’application. Les applications qui utilisent des protocoles hérités peuvent utiliser le proxy d’application AD pour s’authentifier auprès d’Azure AD.

En savoir plus https://learn.microsoft.com/fr-fr/azure/active-directory/hybrid/migrate-from-federation-to-cloud-authentication