AzureAD Pass-Through Authentication et SSO : la fin de ADFS ?

Bonjour à tous,

Nous avons tous connu le cas où l’implémentation de ADFS pour faire le SSO dans O365 ou Azure posait problème.

  • Client avec budget limité
  • Client avec ressources locale limitée
  • Etc.

Au final, dans nombre de projets, on finit par implémenter ADFS mais sans HA.

Une nouveauté d’Azure AD arrive pour ces cas précis : Azure AD PTA.

AAD PTA fournit un modèle simple, sécurisé et évolutif pour la validation des mots de passe par rapport à votre Active Directory local via un simple connecteur déployé dans l’environnement local.

Pass-through Authentication

Ce connecteur utilise uniquement des communications sécurisées sortantes, donc aucune zone DMZ n’est requise et il n’y a pas non plus de points d’extrémité non authentifiés sur Internet.

Cela veux dire quoi exactement ? Eh bien, les mots de passe de vos utilisateurs sont validés par votre Active Directory, sans avoir besoin de déployer des serveurs ADFS !

Comment cela fonctionne ?

  1. PTA fonctionne en transmettant le mot de passe entré sur la page de connexion Azure AD au connecteur local
  2. Ce connecteur le valide ensuite contre les contrôleurs de domaine locaux
  3. Le connecteur renvoie les résultats à Azure AD
  4. L’utilisateur est authentifié

Donc comme je vous le disais, c’est le même principe qu’ADFS mais sans la contrainte d’implémenter ADFS et il est à noter qu’il n’y a absolument aucune mise en cache du mot de passe dans le nuage.

Haute dispo et Fail-Over vous allez me dire…

PTA équilibre également automatiquement la charge entre l’ensemble des connecteurs disponibles pour la haute disponibilité et la redondance sans nécessiter d’infrastructure supplémentaire.

Le connecteur est super léger pour qu’il puisse être facilement intégré à votre infrastructure existante et même déployé sur vos contrôleurs Active Directory.

PTA est en preview et des fonctionnalités avancées sont aussi annoncées, dont (mais pas seulement) la réinitialisation des mots de passe en libre service (SSPR).

Nous consacrerons un article plus complet dès lors que nous aurons réalisé une implémentation en production pour voir le réel potentiel de cette nouveauté.

En attendant, tout ce qu’il y a à savoir est ici : https://docs.microsoft.com/fr-fr/azure/active-directory/connect/active-directory-aadconnect-pass-through-authentication

Leave a Reply