[Office 365] Azure AD Connect SSO

Il y a un an j'avais publié une série d'articles présentant l'outil de synchronisation entre votre annuaire Active Directory local et Azure Active Directory.

Vous trouverez les articles en question avec le lien suivant : http://pbarth.fr/node/175.

Ils présentaient également, l'authentification unique avec les services de fédération d'identité AD FS sans en détailler la mise en œuvre. AD FS n'exige pas de synchroniser les mots de passe avec Azure, car c'est votre environnement local qui va authentifier l'utilisateur. Néanmoins la mise en œuvre d'AD FS avec un environnement hautement disponible peut s'avérer complexe.

La mise en œuvre d'Azure AD Connect sans AD FS obligeait l'utilisateur à s'authentifier lors de l'accès aux applications Web ou lors de l'utilisation de l'application Office Pro installé sur le poste.

Depuis fin 2016 Azure AD Connect dispose de nouvelles fonctionnalités comme l'authentification unique, sans AD FS, sans doute avec un moins de finesse, mais comme vous allez le voir, avec une mise en œuvre extrêmement simple.

La version minimale offrant ses fonctionnalités est : 1.1.370.

Vous pouvez télécharger la dernière version d'Azure AD Connect avec le lien : https://www.microsoft.com/en-us/download/details.aspx?id=47594

Je ne reprendrais pas l'ensemble des détails, mais retenez que vous devez :

  • disposer d'un nom de domaine public et le valider dans Office 365 :

     

  • configurer votre nom de domaine public comme suffixe UPN de vos utilisateurs, voir : http://pbarth.fr/node/17
  • installer la dernière version Azure Ad Connect sur un serveur membre au minimum 2012 R2.

     

Pour la partie authentification unique vous devez cocher la case et ajouter 2 URLs dans la zone de sécurité intranet afin de permettre au navigateur de récupérer les informations depuis la session.

Au niveau de la configuration d'Azure AD Connect, l'assistant de configuration est presque identique. Néanmoins les options suivantes dans l'image ci-dessous ont été ajoutées :

  • « Authentification directe » (Pass Through Authentication) : cette option que nous n'allons pas détailler ici, permet de ne pas synchroniser le mot de passe de l'AD local dans Azure. Vous pouvez installer un ou plusieurs connecteurs légers dans votre environnement qui validera les identités.
  • « Activer l'authentification unique » : cette option permet d'utiliser les identifiants de la session en cours sans être obligés de les saisir. C'est cette option que nous allons définir.

La première étape pour activer l'authentification unique est de cocher cette case au moment de la configuration d'Azure AD Connect. Si vous ne l'avez pas activé il est possible de le faire par après en relançant l'assistant de configuration et en choisissant la tâche « Modifier la connexion utilisateur ».

La deuxième étape consiste à créer une GPO en paramétrant les 2 valeurs suivantes dans :

« Configuration utilisateur\Modèles d'administration\Composants Windows\Internet Explorer\Panneau de configuration Internet\Page de sécurité et sélectionnez Liste des attributions de sites aux zones », puis cliquez sur « activé » et « afficher … »  

Il faut ajouter les valeurs suivantes dans la liste :

Le « 1 » correspond à la zone intranet locale qui autorise l'utilisation des identifiants de l'utilisateur connecté.

Cela nous donne :

 

Vous pouvez tester votre configuration sur un poste client, après avoir actualisé les stratégies de groupes (gpupdate /force). Vous devrez retrouver les valeurs configurées à l'étape précédente dans la zone « intranet local ».

Vous pouvez tester l'authentification unique depuis le navigateur en copiant l'URL suivante après avoir remplacé les « X » par le nom de votre compte tenant Office 365 :

https://myapps.microsoft.com/XXXXXXXXX.onmicrosoft.com

Vous verrez pendant quelques instants la page d'authentification et le navigateur passera automatiquement à la suite et identifiera l'utilisateur ayant ouvert la session.

 

Si vous utilisez des applications comme Word installées avec le support d'Office 365 vous verrez que l'activation du produit se fera automatiquement :

Je vous conseille la vidéo détaillée de Maxime Rastello que vous trouverez ici :

https://www.youtube.com/watch?v=vI8QoscjAZs&feature=youtu.be

 

Theme: 

Systeme: 

Annee: 

Commentaires

Windows 10 - 1703

IMPORTANT : Sur la version Windows 10 1703, j'ai du ajouté le site : https://login.microsoftonline.com dans les sites intranet du navigateur pour que le SSO fonctionne