Planifier un déploiement de l’authentification unique
Cet article fournit des informations que vous pouvez utiliser pour planifier votre déploiement de l’authentification unique (SSO) dans Azure Active Directory (Azure AD). Lorsque vous planifiez votre déploiement de l’authentification unique avec vos applications dans Azure AD, vous devez prendre en compte les questions suivantes :
- Quels sont les rôles d’administration requis pour la gestion de l’application ?
- Doit-on renouveler le certificat d’application SAML (Security Assertion Markup Language) ?
- Qui doit être informé des changements liés à l’implémentation de l’authentification unique ?
- Quelles sont les licences nécessaires pour garantir une gestion efficace de l’application ?
- Les comptes d’utilisateur partagés et invités sont-ils utilisés pour accéder à l’application ?
- Ai-je compris les options de déploiement de l’authentification unique ?
Rôles d’administration
Utilisez toujours le rôle ayant le moins de privilèges possible pour accomplir une tâche dans Azure AD. Passez en revue les différents rôles disponibles et choisissez celui qui répond le mieux aux besoins de chaque personnage de l’application. Certains rôles devront peut-être être appliqués temporairement, puis supprimés une fois le déploiement terminé.
| Utilisateur | Rôles | Rôle Azure AD (le cas échéant) |
|---|---|---|
| Administrateur du support technique | La prise en charge du niveau 1 affiche les journaux de connexion pour résoudre les problèmes. | None |
| Administrateur d’identité | Configuration et débogage lorsque les problèmes concernent Azure AD | Administrateur d'applications cloud |
| Administrateur d’application | Attestation de l’utilisateur dans l’application, configuration des utilisateurs disposant d’autorisations | None |
| Administrateurs de l’infrastructure | Propriétaire de la substitution de certificat | Administrateur d'applications cloud |
| Chef d’entreprise/Partie prenante | Attestation de l’utilisateur dans l’application, configuration des utilisateurs disposant d’autorisations | None |
Pour en savoir plus sur les rôles d’administrateur Azure AD, consultez Rôles intégrés Azure AD.
Certificats
Lorsque vous activez la fédération pour une application SAML, Azure AD crée un certificat par défaut valide pendant trois ans. Vous pouvez personnaliser la date d’expiration de ce certificat si nécessaire. Vérifiez que vous disposez de processus permettant de renouveler les certificats avant leur expiration.
Cette durée peut être modifiée dans le portail Azure. Assurez-vous de documenter l’expiration et de choisir comment gérer le renouvellement des certificats. Il est important d’identifier les rôles et les groupes de distribution d’e-mails appropriés qui sont impliqués dans la gestion du cycle de vie du certificat de signature. Les rôles suivants sont recommandés :
- Un propriétaire pour mettre à jour les propriétés utilisateur dans l’application
- Un propriétaire d’astreinte pour le dépannage de l’application
- Une liste de distribution e-mail surveillée de près pour les notifications de modification des certificats
Configurez un processus vous permettant de gérer le changement de certificat entre Azure AD et votre application. En mettant en place ce processus, vous pouvez éviter ou réduire au minimum une panne due à l’expiration d’un certificat ou à la substitution forcée d’un certificat. Pour plus d’informations, voir Gérer les certificats pour l’authentification unique fédérée dans Azure Active Directory.
Communications
La communication est essentielle à la réussite de tout nouveau service. Communiquez de manière proactive avec vos utilisateurs sur la façon dont leur expérience va changer. Indiquez-leur à quel moment cela va se faire et comment il est possible d’obtenir de l’aide en cas de problème. Passez en revue les différentes façons dont les utilisateurs peuvent accéder à leurs applications avec authentification unique, et adaptez vos communications à chaque cas de figure.
Créez votre plan de communication. Veillez à ce que vos utilisateurs sachent qu’un changement est à venir, quand il aura lieu et ce qu’ils doivent faire maintenant. Veillez également à fournir des informations sur la manière de demander de l’aide.
Licences
Assurez-vous que l’application est couverte par les conditions de licence suivantes :
Gestion des licences Azure AD : Pour les applications d’entreprise préintégrées, l’authentification unique est gratuite. Toutefois, le nombre d’objets contenus dans votre répertoire et les fonctionnalités que vous souhaitez déployer peuvent nécessiter des licences supplémentaires. Pour obtenir la liste complète des conditions de licence, consultez la page Tarification Azure Active Directory.
Licences d’application : Le type de licence que vous choisissez pour vos applications doit répondre aux besoins de votre entreprise. Contactez le propriétaire de l’application pour déterminer si les utilisateurs affectés à l’application disposent de licences adaptées à leurs rôles dans l’application. Si Azure AD gère l’attribution automatique d’utilisateurs en fonction des rôles, les rôles attribués dans Azure AD doivent s’aligner sur le nombre de licences détenues au sein de l’application. Si le nombre de licences détenues dans l’application est incorrect, cela peut entraîner des erreurs pendant l’approvisionnement ou la mise à jour d’un compte d’utilisateur.
Comptes partagés
Du point de vue de la connexion, les applications avec comptes partagés ne sont pas différentes des applications d’entreprise qui utilisent l’authentification unique par mot de passe pour les utilisateurs individuels. Toutefois, davantage d’étapes sont nécessaires lorsque vous planifiez et configurez une application conçue pour utiliser des comptes partagés.
- Collaborez avec les utilisateurs pour documenter les informations suivantes :
- Les groupes d’utilisateurs de l’organisation qui utiliseront l’application.
- Les informations d’identification existantes de l’application qui sont associées à chaque groupe d’utilisateur.
- Pour chaque combinaison groupe d’utilisateurs-informations d’identification, créez un groupe de sécurité localement ou dans le cloud, selon vos besoins.
- Réinitialisez les informations d’identification partagées. Une fois que l’application est déployée dans Azure AD, les utilisateurs n’ont plus besoin du mot de passe du compte partagé. Azure AD stocke le mot de passe, et vous devriez envisager de le configurer pour qu’il soit long et complexe.
- Si l’application le prend en charge, configurez la substitution automatique du mot de passe. De cette façon, même l’administrateur qui a effectué la configuration initiale ne connaît pas le mot de passe du compte partagé.
Options d’authentification unique
Vous pouvez configurer une application pour l’authentification unique de plusieurs façons. Le choix d’une méthode d’authentification unique dépend de la façon dont l’application est configurée pour l’authentification.
- Pour l’authentification unique, les applications cloud peuvent utiliser les méthodes suivantes : OpenID Connect, OAuth, SAML, par mot de passe ou liée. L’authentification unique peut également être désactivée.
- Pour l’authentification unique, les applications locales peuvent utiliser les méthodes suivantes : par mot de passe, Authentification Windows intégrée, par en-tête ou liée. Les choix pour les applications locales fonctionnent quand les applications sont configurées pour le Proxy d’application.
Cet organigramme vous permet de décider quelle méthode d’authentification unique est la plus adaptée à votre situation.
Les protocoles d’authentification unique suivants peuvent être utilisés :
OpenID Connect et OAuth : Choisissez OpenID Connect et OAuth 2.0 si l’application à laquelle vous vous connectez les prend en charge. Pour plus d’informations, consultez Protocoles OAuth 2.0 et OpenID Connect sur la plateforme d’identités Microsoft. Pour connaître les étapes à suivre pour implémenter l’authentification unique OpenID Connect, consultez Configurer l’authentification unique OIDC pour une application dans Azure Active Directory.
SAML : Choisissez SAML dans la mesure du possible pour les applications existantes qui n’utilisent pas ni OpenID Connect ni OAuth. Pour plus d’informations, consultez Protocole SAML d’authentification unique.
Par mot de passe : choisissez l’option par mot de passe lorsque l’application dispose d’une page de connexion HTML. L’authentification unique par mot de passe est également connue sous le nom d’archivage des mots de passe. L’authentification unique par mot de passe vous permet de gérer l’accès utilisateur et les mots de passe pour les applications web qui ne prennent pas en charge la fédération d’identité. Elle est également utile lorsque plusieurs utilisateurs doivent partager un seul compte, par exemple les comptes d’applications de réseaux sociaux de votre organisation.
L’authentification unique par mot de passe prend en charge les applications qui requièrent plusieurs champs de connexion et qui demandent d’autres champs en plus du nom d’utilisateur et du mot de passe pour la connexion. Vous pouvez personnaliser les étiquettes des champs de nom d’utilisateur et de mot de passe que vos utilisateurs voient dans Mes applications quand ils entrent leurs informations d’identification. Pour plus d’instructions sur l’implémentation de l’authentification unique par mot de passe, consultez Authentification unique par mot de passe.
Liée : Choisissez l’authentification liée quand l’application est configurée pour l’authentification unique dans un autre service de fournisseur d’identité. L’option liée vous permet de configurer l’emplacement cible lorsqu’un utilisateur sélectionne l’application dans les portails utilisateur final de votre organisation. Vous pouvez ajouter un lien vers une application web personnalisée qui utilise actuellement la fédération, par exemple les services de fédération Active Directory (AD FS).
Vous pouvez également ajouter des liens vers des pages web spécifiques que vous souhaitez voir apparaître dans les panneaux d’accès de l’utilisateur et vers une application qui ne requiert pas d’authentification. L’option Authentification liée ne fournit pas de fonctionnalité d’authentification via des informations d’identification Azure AD. Pour connaître les étapes à suivre pour implémenter l’authentification unique liée, consultez Authentification unique liée.
Désactivée : Choisissez l’authentification unique désactivée lorsque l’application n’est pas prête à être configurée pour l’authentification unique.
Authentification Windows intégrée (IWA) : Choisissez l’authentification unique IWA pour les applications qui utilisent IWA ou pour les applications prenant en charge les revendications. Pour plus d’informations, consultez Délégation contrainte Kerberos pour l’authentification unique à vos applications avec Proxy d’application.
Par en-tête : Choisissez l’authentification unique par en-tête quand l’application utilise des en-têtes pour l’authentification. Pour plus d’informations, consultez Authentification unique par en-tête.