[AD DS] Interconnexion avec d’autres domaines

Il est possible qu'à un moment ou un autre, vous vous retrouviez dans l'obligation de partager des ressources avec d'autres entreprises. C'est le cas par exemple lors du rachat d'une entreprise ou d'une fusion. Si dans une forêt Active Directory l'ensemble des domaines s'approuvent automatiquement, il est possible de mettre en place des relations d'approbations avec des environnements extérieurs à la forêt. La mise en place d'une approbation nécessite de disposer d'interconnexions entre les 2 réseaux et les contrôleurs de domaine des deux entités. Ce type de solution est simple à mettre en œuvre mais représente un risque de sécurité avec des partenaires sur lesquels vous n'avez pas de maîtrise. Il existe différents types d'approbation :

  • Approbation de domaine : uniquement entre les deux domaines de l'approbation (non transitif)
  • Approbation de forêt : entre l'ensemble des domaines des forêts de l'approbation (transitif)
  • Approbation raccourcie : approbation entre 2 domaines d'une même forêt qui s'approuvent déjà par la transitivité des domaines parent. Elle permet d'optimiser les performances
  • Approbation Kerberos : permet de créer des approbations avec des annuaires supportant l'authentification Kerberos autre que des domaines Active Directory

Les approbations entre des environnements Active Directory distincts, sont également utilisées afin de réaliser des opérations de migrations des utilisateurs et des ressources vers un nouveau domaine. Microsoft a fourni un outil spécifique à la restructuration de domaine, il s'agit d'Active Directory Migration Tool.

Une autre solution pour le travail collaboratif entre partenaires est la mise en œuvre de la fédération d'identité. La fédération d'identité ne nécessite pas de mettre en place des liaisons entre les contrôleurs de domaine des deux partenaires. Dans le principe chaque utilisateur va s'identifier dans son environnement et demander des tickets d'authentification afin de les présenter au partenaire. « Active Directory Federation Services » est la solution de fédération proposé par Microsoft sur site. Sa mise en œuvre est largement plus complexe que les approbations mais garantit un niveau de sécurité plus importante et évite d'exposer son environnement.

Azure AD offre une solution de fédération d'identité cloud, utilisé entres autre sur Office 365.

 

Theme: 

Systeme: 

Annee: 

Type: