L'un des principaux défis liés à l'adoption de services en nuage consiste à étendre les politiques d'identité de l'environnement sur site au nuage. Dans un environnement Active Directory (AD), il peut être tentant de se tourner vers Active Directory Federation Services (ADFS), qui a longtemps été la solution pour fournir des capacités d'authentification unique permettant aux utilisateurs de s'authentifier et d'accéder à des applications qui ne leur seraient pas accessibles en utilisant uniquement Active Directory, comme Azure et Microsoft 365.
Cependant, comme les acteurs de la menace continuent de cibler les environnements en nuage, il convient de se demander si l'ADFS est la meilleure solution pour les organisations qui adoptent des environnements hybrides. Bien que l'ADFS ne soit pas intrinsèquement non sécurisé, la complexité de sa mise en œuvre correcte le rend vulnérable aux attaquants. Comme l'a démontré l'attaque de la chaîne d'approvisionnement de SolarWinds, une vulnérabilité dans l'environnement sur site peut finalement conduire à la compromission du locataire Azure AD. En plus d'être un autre ensemble de serveurs physiques à gérer, les serveurs ADFS élargissent également la surface d'attaque que les entreprises doivent protéger.
Même Microsoft a recommandé aux organisations d'envisager de migrer loin d'ADFS, en notant dans un billet de blog de janvier : "Si vous souhaitez étendre le MFA et l'accès conditionnel aux anciennes applications sur site, y compris les applications basées sur les en-têtes, utilisez Azure AD Application Proxy ou une solution intégrée de l'un de nos partenaires en matière d'accès hybride sécurisé. Avec nos outils de migration, vous pouvez moderniser l'authentification de toutes les applications et retirer votre implémentation ADFS. Cela permettra de prévenir les attaques qui sont particulièrement difficiles à détecter dans les systèmes d'identité sur site."
Lecture associée
Un monde sans ADFS
Pour aider les organisations à connecter toutes leurs applications à Azure AD, Microsoft a introduit Password Hash Synchronization (PHS) et Pass-through Authentication (PTA). Grâce à la synchronisation du hachage des mots de passe, les administrateurs Active Directory peuvent synchroniser le hachage du mot de passe AD d'un utilisateur sur site avec Azure AD. En effet, cela permet aux utilisateurs d'utiliser des services tels que Microsoft 365 en utilisant le même mot de passe que pour leur compte AD sur site.
La deuxième méthode d'authentification gérée pour Azure AD est l'authentification de passage, qui valide les mots de passe des utilisateurs par rapport à l'annuaire Active Directory de l'organisation sur site. Elle utilise des agents d'authentification dans l'environnement sur site. Ces agents écoutent les demandes de validation de mot de passe envoyées par Azure AD et n'ont besoin d'aucun port entrant exposé à l'internet pour fonctionner. Les mots de passe n'ont pas besoin d'être présents dans Azure AD sous quelque forme que ce soit, ce qui élimine un vecteur d'attaque potentiel. En outre, les politiques sur site, telles que l'expiration des comptes ou les restrictions d'heures de connexion, peuvent être appliquées aux comptes. Pour que l'authentification par transparence fonctionne, les utilisateurs doivent être provisionnés dans Azure AD à partir d'Active Directory sur site à l'aide d'Azure AD Connect.
Bien qu'il existe encore des cas d'utilisation où il peut être judicieux de maintenir un déploiement d'ADFS - comme l'utilisation d'ADFS pour l'authentification des certificats d'utilisateur - pour de nombreuses organisations, les arguments en faveur de l'abandon d'ADFS sont solides. En utilisant PHS et PTA, les organisations peuvent réduire le nombre de mots de passe que les utilisateurs doivent retenir. Cependant, ce n'est que l'un des avantages de la migration. L'ADFS est complexe à déployer et nécessite du matériel physique qui doit être entretenu. Si un serveur ADFS n'est pas mis à jour avec les derniers correctifs, il est vulnérable aux attaques. PHS, en revanche, est maintenu par Microsoft et son utilisation réduit l'infrastructure que les organisations doivent protéger.
Si vous êtes au début de votre parcours hybride, ADFS ne devrait pas être votre première option pour relier l'authentification entre les charges de travail sur site et en ligne. Cependant, si vous avez déployé ADFS, vous envisagez une migration qui offre toujours une sécurité accrue par rapport à ADFS.
Changer de méthode d'authentification n'est cependant pas une tâche triviale et nécessite une planification et des tests importants. Toute migration à partir d'ADFS doit se faire par étapes afin de permettre des tests suffisants et des temps d'arrêt potentiels. Au minimum, les organisations doivent utiliser Azure AD Connect 1.1.819.0 pour effectuer avec succès les étapes de migration vers la synchronisation du hachage des mots de passe. La méthode pour passer à PHS dépend de la façon dont ADFS a été configuré à l'origine. Si ADFS a été configuré via Azure AD Connect, l'assistant Azure AD Connect doit être utilisé. Dans ce cas, Azure AD Connect exécute automatiquement la cmdlet Set-MsolDomainAuthentication et dé-fédère automatiquement tous les domaines fédérés vérifiés dans le locataire Azure AD.
Si une organisation n'a pas configuré ADFS à l'origine en utilisant Azure AD Connect, elle peut utiliser Azure AD Connect avec PowerShell pour migrer vers PHS. Toutefois, l'administrateur AD doit encore modifier la méthode de connexion des utilisateurs via l'assistant Azure AD Connect. L'assistant AD Connect n'exécutera pas automatiquement la cmdlet Set-MsolDomainAuthentication, ce qui laisse à l'administrateur le contrôle total des domaines convertis et de l'ordre dans lequel ils le sont.
Soutenir les initiatives en matière d'informatique dématérialisée
Pour les entreprises disposant d'environnements hybrides, la connexion de toutes les applications à Azure AD réduit la complexité et offre la possibilité de diminuer la surface d'attaque. En outre, cela permet d'améliorer l'expérience de l'utilisateur en mettant en œuvre la signature unique ainsi que des contrôles de sécurité des comptes rigoureux. Alors que les organisations adoptent des approches d'identité hybride pour soutenir leurs initiatives de cloud computing, elles devraient prendre le temps d'examiner si ADFS répond le mieux à leurs besoins.