En quoi consistent les services de fédération Active Directory (AD FS) ?
Lesservices de fédération Active Directory (AD FS) sont une solution d’authentification unique (Single Sign-On, SSO) développée par Microsoft afin d’offrir un accès sécurisé à un domaine, un terminal, une application web ou un système au sein du service d’annuaire Active Directory (AD) d’une entreprise, ainsi qu’à des systèmes tiers approuvés.
Les AD FS reposent sur le principe de la fédération, ce qui signifie qu’ils centralisent l’identité des utilisateurs et permettent ainsi à chacun d’entre eux d’utiliser des identifiants de connexion AD existants pour accéder aux applications d’un réseau d’entreprise, ainsi que de sources fiables extérieures à l’entreprise, comme un réseau cloud, des applications SaaS ou l’extranet d’une autre entreprise. Ils permettent également aux utilisateurs d’accéder à des applications intégrées à AD lorsqu’ils travaillent à distance via le cloud.
Les AD FS ont pour but de simplifier l’expérience utilisateur tout en donnant aux entreprises les moyens de mettre en place des règles de sécurité robustes. Grâce aux AD FS, les utilisateurs ne doivent créer et mémoriser qu’une seule combinaison d’identifiant / mot de passe en ligne pour accéder à une multitude d’applications, de systèmes et de ressources.
See Crowdstrike Falcon In Action
Téléchargez le Global Threat Report 2022 pour découvrir les tendances observées par nos équipes chez les cyberpirates en matière de techniques, tactiques et procédures.
TéléchargerFonctionnement des AD FS
Les AD FS fonctionnent globalement de la même manière qu’une solution d’authentification unique classique, dans le sens où ils authentifient l’identité de l’utilisateur et vérifient ses privilèges d’accès.
Vérification de l’identité des utilisateurs
L’authentification unique AD FS s’appuie sur les informations disponibles dans le référentiel de données de l’entreprise pour confirmer l’identité des utilisateurs à partir d’un ou deux éléments d’information, comme le nom complet, le numéro ou identifiant d’employé, le numéro de téléphone ou l’adresse e-mail.
Gestion des revendications des utilisateurs
Les AD FS suivent un modèle d’authentification basé sur des revendications, en vertu duquel le système crée un jeton sécurisé contenant les droits d’accès, ou revendications, correspondant à chaque utilisateur. Lorsqu’un utilisateur tente d’accéder à un système, les AD FS vérifient que sa revendication est conforme en fonction de la liste des systèmes et des applications qu’il est autorisé à utiliser dans le cadre d’AD ou d’Azure AD. Cette vérification couvre l’ensemble des ressources internes de l’entreprise, ainsi que les systèmes tiers définis.
Approbation fédérée
L’authentification assurée par AD FS pour les systèmes tiers s’effectue par le biais d’un service de proxy utilisé par Active Directory et les applications externes, et qui associe à la fois l’identité des utilisateurs et la règle de revendication. Ce principe, connu sous le nom d’approbation fédérée, permet à l’utilisateur d’éviter de devoir s’authentifier pour chaque application.
Processus d’authentification AD FS
Le processus d’authentification AD FS se déroule en cinq étapes fondamentales :
- L’utilisateur clique sur un lien associé au service AD FS et saisit ses identifiants de connexion.
- Le service AD FS authentifie l’identité de l’utilisateur.
- L’outil AD FS crée une revendication personnalisée d’authentification pour l’utilisateur, qui répertorie les ressources auxquelles l’utilisateur est autorisé à accéder.
- Le service AD FS transmet cette revendication à d’autres applications lorsque l’utilisateur tente d’y accéder.
- L’application cible autorise ou refuse l’accès en fonction des conditions définies dans la revendication.
Pourquoi les entreprises utilisent-elles les AD FS ?
Dans le cadre de leur travail, les collaborateurs accèdent régulièrement à des centaines d’applications différentes, ce qui ne fait que renforcer la nécessité d’un outil d’authentification ou de gestion des identités, d’une part, pour éviter de devoir s’authentifier de manière individuelle à chaque application et, d’autre part, pour préserver la sécurité. Les services d’authentification unique comme les AD FS confèrent de nombreux avantages aussi bien aux utilisateurs finaux qu’aux entreprises.
Avantages des AD FS pour les utilisateurs finaux
- Simplicité. Grâce aux AD FS, les utilisateurs finaux peuvent utiliser une seule combinaison d’identifiant / mot de passe pour tout un ensemble d’applications et de systèmes internes et externes, ce qui leur évite de devoir créer et mémoriser de nombreux identifiants de connexion différents.
- Expérience utilisateur améliorée. Une fois leur identité authentifiée par les AD FS, les utilisateurs peuvent basculer en toute transparence d’une application interne ou externe à l’autre. Cet outil de gestion des identités évite aux utilisateurs de devoir saisir leurs mots de passe et d’interrompre ainsi leur travail.
- Gains d’efficacité. Les AD FS assurent un accès transparent à une multitude d’applications web, de systèmes ou de terminaux. Pour les utilisateurs finaux, cela se traduit par la possibilité de passer d’une tâche à l’autre en toute flexibilité.
Avantages des AD FS pour les entreprises
- Diminution des interventions informatiques. L’une des principales demandes adressées au centre d’assistance concerne la réinitialisation de mots de passe oubliés, perdus ou arrivés à expiration. Grâce aux AD FS, il est possible de réduire le temps dédié à des problèmes courants de mots de passe et de se consacrer à des tâches présentant une plus grande valeur ajoutée. Les équipes informatiques passeront également moins de temps à configurer des identifiants de connexion pour les nouveaux comptes.
- Désactivation simplifiée. En cas de départ d’un collaborateur, les AD FS permettent de désactiver les identifiants pour tous les services et ressources associés de manière simple et efficace. Plutôt que de désactiver chaque compte de manière individuelle, un processus à la fois chronophage et source d’erreurs, les équipes informatiques peuvent désactiver un utilisateur spécifique et toutes les revendications associées dans le cadre des AD FS.
- Efficacité opérationnelle. Plus les collaborateurs seront performants dans leur travail, plus l’entreprise elle-même le sera aussi. Les AD FS suppriment les frictions au niveau de l’expérience utilisateur, ce qui se traduit par une productivité accrue.
- Sécurité renforcée. Les AD FS réduisent par définition la nécessité de recycler d’anciens mots de passe, d’utiliser le même mot de passe pour plusieurs applications ou encore de tenir un registre de tous les mots de passe. Cela limite grandement le risque que des cyberadversaires puissent utiliser un mot de passe piraté pour accéder à une multitude de comptes associés.
Limites et inconvénients des AD FS
Les AD FS présentent plusieurs limites importantes et inconvénients notables que les entreprises doivent prendre en compte dans le cadre de leur stratégie.
Coûts d’infrastructure. Bien que les AD FS soient disponibles en tant que fonctionnalité gratuite avec Windows Server, leur utilisation nécessite une licence Windows Server et un serveur dédié.
Coûts opérationnels et de maintenance. Au-delà des investissements infrastructurels liés notamment aux licences et aux serveurs, l’exploitation et la maintenance des AD FS induisent des coûts supplémentaires pour l’entreprise. Plus important encore, le maintien de l’approbation fédérée entre les domaines AD et les applications externes exige des équipes informatiques une expertise et un support technique approfondis. Cela peut s’avérer encore plus difficile dans un environnement Azure. Les AD FS entraînent également des coûts opérationnels et de maintenance élevés liés aux mises à niveau des infrastructures, à la gestion de la fédération et aux investissements de sécurité, comme les certificats SSL (Secure Sockets Layer).
Complexité. Même si les AD FS simplifient grandement l’expérience utilisateur, ils sont généralement très compliqués à configurer, à déployer et à exploiter, surtout dans les environnements cloud ou Microsoft Azure. L’ajout d’applications cibles au service nécessite des compétences techniques pointues. Paradoxalement, l’expérience utilisateur des AD FS est loin d’être intuitive et doit être gérée par un technicien informatique spécialement formé à cet effet.
Autres limites des AD FS
- Les AD FS ne prennent pas en charge le partage de fichiers entre utilisateurs ou groupes.
- Les AD FS ne prennent pas en charge les serveurs d’impression.
- Les AD FS ne prennent pas en charge la plupart des connexions de bureau à distance.
- Les AD FS ne peuvent pas accéder aux ressources Active Directory.
Composants et éléments de conception des AD FS
Composants des AD FS :
Active Directory (AD) et/ou Azure AD : services d’annuaire propriétaires de Microsoft permettant aux administrateurs réseau d’affecter des privilèges aux comptes et de les gérer pour l’ensemble des ressources réseau.
Serveur AD FS : serveur dédié utilisé pour la gestion et la conservation des jetons et autres éléments d’authentification, comme les cookies.
Azure AD Connect : module gérant la connexion entre Active Directory et Azure AD, généralement utilisé dans les déploiements hybrides.
Serveur de fédération : outil d’authentification unique assurant des services d’authentification et d’accès à une multitude de systèmes d’entreprises différentes par le biais d’un jeton de sécurité commun sur la base de la solution AD de l’hôte.
Serveur proxy de fédération : passerelle entre AD et les cibles externes chargée de coordonner les demandes d’accès avec le serveur de fédération.
AD FS et service d’identité dans le cloud
Les AD FS sont loin d’être les seuls outils d’authentification unique/de fédération sur le marché. Certaines entreprises sont en mesure de déployer les mêmes fonctionnalités à un coût moindre en s’appuyant sur des outils ou services tiers de gestion des identités dans le cloud.
Les authentificateurs d’identité dans le cloud sont souvent plus rentables en raison des coûts opérationnels plus faibles associés à l’environnement cloud. Ces outils assurent également une intégration transparente avec des centaines d’applications.
Les entreprises doivent collaborer avec leurs partenaires de cybersécurité afin d’identifier l’outil d’authentification le mieux adapté à leurs activités.
AD FS et cybersécurité
Compte tenu du développement du télétravail et de l’adoption croissante des technologies cloud, les entreprises doivent repenser leur façon d’authentifier les utilisateurs et de leur attribuer des privilèges d’accès. Bien que les AD FS garantissent un accès transparent et efficace, ils s’accompagnent de risques de sécurité potentiellement graves.
Il est important de collaborer avec un partenaire de cybersécurité afin d’assurer une surveillance continue des AD FS et l’application régulière des correctifs, mais aussi de veiller à ce que les autres risques de sécurité soient pris en charge dans le cadre de la stratégie de cybersécurité de l’entreprise.
CrowdStrike recommande aux entreprises de mettre en place les trois bonnes pratiques suivantes pour tirer parti des AD FS en toute sécurité :
- Unification de la visibilité sur les forêts AD aussi bien sur site que dans Microsoft Azure. Identifiez toutes les failles de sécurité liées aux règles d’authentification, aux rôles des utilisateurs, aux privilèges d’accès et aux comptes utilisateur et de service, ainsi que toute anomalie d’accès à l’environnement AD sur site et à Microsoft Azure AD.
- Renforcement de la sécurité AD par un accès conditionnel. Tirez parti d’un ensemble d’outils de cybersécurité capables d’évaluer les risques en continu, en fonction du comportement des utilisateurs associé à des entités comme les endpoints, les serveurs, les applications, les emplacements, les rôles et les groupes d’utilisateurs. Ces outils doivent également appliquer un accès conditionnel en cas d’anomalie, afin d’empêcher tout accès à haut risque et d’éliminer les frictions, garantissant ainsi un accès ultrafiable.
- Centralisation des investigations et de la réponse à incident. Assurez-vous que la solution de cybersécurité génère un rapport complet pour chaque événement suspect ou anormal, en indiquant la date et l’heure, l’activité concernée, la source et la destination.