BLOG

Fédération d'identité et SSO pour les clients Microsoft et F5

Miniature F5
F5
Publié le 11 janvier 2018

Forts de notre élan depuis Microsoft Ignite en septembre, il y a de quoi se réjouir pour ceux d’entre vous qui utilisent Microsoft Active Directory Federation Services (AD FS). Je sens de l'incrédulité, mais continuez à lire, je vous promets que la joie est à l'œuvre.   

Pourquoi AD FS est-il si important ? Comme vous l’avez probablement compris à partir du titre, AD FS est la solution Microsoft pour mettre en œuvre la fédération d’identité et l’authentification unique (SSO) du réseau d’entreprise vers les applications intranet, extranet et cloud. Cela signifie que les utilisateurs peuvent utiliser leurs informations de connexion d’entreprise pour accéder à des applications en dehors de l’organisation. Par exemple, AD FS permet à vos utilisateurs de se connecter à partir de l’environnement Microsoft/Windows et d’avoir un accès transparent à Office 365 et à des applications externes comme Salesforce ou Box.

Vous pensez probablement que les entreprises font cela depuis des années, ce n’est pas passionnant. Où est la joie que tu as promise ? On y arrive, accrochez-vous. Ceux qui sont familiarisés avec le déploiement d’AD FS connaissent probablement également Microsoft Web Application Proxy (WAP). WAP est le produit passerelle de Microsoft permettant l'accès externe aux applications internes (derrière le pare-feu), comme AD FS par exemple. WAP dispose d'un support spécifique pour AD FS utilisant Active Directory Federation Services et Proxy Integration Protocol ( MS-ADFSPIP , dans ce qui est certainement l'acronyme le plus long apparaissant dans ce blog). Ce protocole permet l'authentification mutuelle basée sur un certificat requise et l'échange d'informations spécifiques entre le serveur AD FS et le WAP.

Les utilisateurs externes doivent passer par le WAP pour accéder à AD FS. WAP fonctionne sur des serveurs Windows. C’est la partie qui ajoute de la complexité et du coût. Ces systèmes doivent généralement être équilibrés en charge et hautement configurés pour la sécurité, car ils sont exposés à l'Internet ouvert et vous pouvez en avoir besoin de plusieurs pour évoluer.

Voici la bonne partie : F5 a permis à la plateforme F5 BIG-IP de prendre en charge MS-ADFSPIP, et c'est le premier produit non Microsoft à le faire. Qu'est-ce que cela signifie? F5 BIG-IP avec Access Policy Manager (APM) peut remplacer les serveurs WAP et les équilibreurs de charge qui les prennent en charge. Vous pouvez proxy AD FS avec une solution sécurisée conçue pour être exposée à Internet. Avec F5 comme proxy AD FS, vous pouvez réduire le nombre de serveurs dans la DMZ, simplifier le déploiement, évoluer plus rapidement et bénéficier d'une prise en charge complète de MS-ADFSPIP.

Vous pouvez consulter la session Microsoft Ignite au cours de laquelle Samuel Devasahyan, responsable principal du programme de groupe - Division Identité de Microsoft, révèle les nouvelles passionnantes ici . On peut presque entendre les larmes de joie couler.