Démo gratuite Contactez-nous
ADFS

ADFS

ADFS, ou Active Directory Federation Services, est une solution Microsoft qui vient compléter Active Directory (AD). Active Directory est un annuaire qui assure par défaut l’authentification et le Single Sign-On (SSO) pour les systèmes sur site connectés. ADFS permet également d’utiliser Active Directory pour authentifier des applications cloud, SSO inclus.

Qu’est-ce qu’ADFS ?

Active Directory est un annuaire dans lequel vous gérez les utilisateurs, les groupes, les appareils et les stratégies. À partir de ces données, la plateforme assure l’authentification des utilisateurs au moyen de protocoles tels que Kerberos ou NTLM. Elle le fait pour les systèmes sur site au sein du domaine réseau interne, et elle gère également l’accès, par exemple, aux partages de fichiers et aux imprimantes.

La plupart des organisations fonctionnent aujourd’hui en mode hybride ; elles utilisent, en plus des systèmes sur site, des applications cloud. Dans ce contexte, elles souhaitent généralement configurer et gérer elles-mêmes l’authentification des utilisateurs pour ces applications cloud. L’application cloud concernée doit donc déléguer l’authentification vers un système de l’organisation. C’est ce que l’on appelle la fédération, et cela exige une relation de confiance entre l’application cloud et la plateforme d’authentification de l’organisation.

Active Directory n’est pas conçu par défaut pour cela, d’où le développement d’un serveur de fédération distinct : ADFS. Il s’agit d’une plateforme sur site qui ajoute des fonctionnalités de fédération et de SSO au-dessus d’Active Directory. Le SSO ADFS s’appuie sur les données d’Active Directory et réalise l’authentification au moyen de standards modernes tels que SAML (Security Assertion Markup Language) et OIDC (OpenID Connect).

Comment fonctionne ADFS ?

Illustrons le fonctionnement de l’authentification ADFS avec un exemple concret. Supposons que vous travaillez dans une entreprise qui utilise à la fois des applications sur site et des applications cloud. Le scénario courant est le suivant :

  • Vous démarrez votre ordinateur en début de journée et vous vous connectez avec vos identifiants Active Directory. Il s’agit le plus souvent d’un nom d’utilisateur et d’un mot de passe. Vos informations sont vérifiées au sein des systèmes et vous êtes connecté au réseau de l’entreprise.

  • Vous accédez automatiquement aux applications internes pour lesquelles vous êtes autorisé. Grâce au mécanisme IWA (Integrated Windows Authentication), votre identité est contrôlée automatiquement. Comme vous êtes déjà connecté à Active Directory, vous n’avez pas à saisir de nouveau vos identifiants.

  • Si vous souhaitez vous connecter à une application cloud comme Salesforce, cette application détecte que l’organisation utilise ADFS. Votre demande d’accès est routée vers le serveur ADFS. Celui-ci reconnaît, via le mécanisme IWA mentionné plus haut, que vous êtes déjà connecté, et une nouvelle connexion n’est donc pas nécessaire.

  • ADFS envoie alors à l’application cloud un jeton contenant les informations d’identité de l’utilisateur. L’application cloud valide le jeton et accorde ensuite automatiquement l’accès. Grâce à cette authentification ADFS, l’utilisateur bénéficie d’un Single Sign-On fluide.

Pourquoi une organisation devrait-elle utiliser ADFS ?

Si votre organisation utilise à la fois des applications sur site et des applications cloud, deux approches permettent globalement d’harmoniser l’authentification et le SSO pour ces deux types d’applications :

  • Si vous souhaitez gérer l’authentification entièrement sur site, vous combinez Active Directory et ADFS. Les deux systèmes sont interconnectés et restent dans votre propre domaine IT. Vos systèmes locaux se connectent via Active Directory et vous utilisez ADFS pour l’authentification sur les systèmes cloud.

  • L’alternative consiste à utiliser, en plus de l’Active Directory local, Entra ID (anciennement Azure AD), le fournisseur d’identité cloud de Microsoft. Active Directory prend en charge l’authentification des utilisateurs sur les systèmes du réseau interne, et l’authentification des applications cloud est effectuée avec Entra ID. Les informations d’authentification sont alors synchronisées entre Active Directory et Entra ID.

Quels sont les avantages d’ADFS ?

De nombreuses organisations optent aujourd’hui pour la combinaison d’Active Directory et d’Entra ID. Néanmoins, l’approche plus traditionnelle avec un raccordement ADFS présente aussi des avantages. Elle peut être préférable lorsque les organisations disposent encore de nombreux systèmes sur site et assurent elles-mêmes la gestion IT de bout en bout. Si vous souhaitez également conserver de la latitude pour des développements spécifiques, certaines organisations choisissent ADFS. La sécurité de l’information peut aussi entrer en ligne de compte. Dans la coopération entre Active Directory et Entra ID, les identifiants doivent être synchronisés et, par exemple, des hachages de mots de passe sont stockés dans le cloud.

Quels sont les inconvénients d’ADFS ?

ADFS présente toutefois des inconvénients. ADFS est une solution sur site, ce qui entraîne davantage de complexité, de coûts et de charge d’administration. Vous devez gérer vous-même les serveurs, les certificats, les répartiteurs de charge et la gestion des mises à jour. Vous êtes aussi moins agile, car les innovations comme la connexion sans mot de passe doivent être mises en œuvre par vos soins ; vous ne bénéficiez pas automatiquement des évolutions d’Entra ID par exemple. La disponibilité peut également poser problème. En cas d’incident ADFS, les utilisateurs ne peuvent pas se connecter à leurs applications cloud. En raison de ces inconvénients, de plus en plus d’organisations optent pour une solution hybride avec Active Directory et Entra ID.

ADFS et HelloID

Dans quels cas une solution IAM comme HelloID interagit-elle avec ADFS ? Globalement, deux scénarios se présentent :

HelloID Access Management

Le module HelloID Access Management intègre son propre fournisseur d’identité et peut également se connecter à des annuaires et fournisseurs d’identité tiers. Par exemple Active Directory, Entra ID, ADFS, Google Workspace ou Salesforce. Dans des environnements IT hybrides avec plusieurs applications et partages de données, une organisation utilise rapidement plusieurs fournisseurs d’identité, et HelloID peut alors rationaliser la coopération entre ces plateformes. Cela est expliqué plus en détail dans cet article de blog.

Dans les environnements Microsoft hybrides en particulier, vous avez, en complément d’Active Directory pour les systèmes locaux, besoin d’un raccordement fédératif vers les applications cloud. ADFS offre ce complément, mais comme indiqué, il s’agit d’une solution complexe et désormais datée. Entra ID est une alternative évidente, en particulier si l’on utilise Microsoft 365 et d’autres services cloud Microsoft. En revanche, si une organisation utilise plutôt des applications cloud non Microsoft, HelloID constitue souvent une excellente alternative à ADFS.

HelloID Provisioning, Service Automation et Governance

Dans le même temps, de nombreuses organisations gèrent cet access management, donc tout ce qui concerne l’authentification, la fédération, le SSO et la MFA, de manière autonome en dehors de l’environnement IAM. Elles s’appuient souvent principalement sur les systèmes Microsoft et, selon les circonstances et besoins spécifiques, utilisent Active Directory, Entra ID et parfois encore ADFS.

Elles utilisent toutefois le plus souvent un environnement IAM tel que HelloID pour le provisionnement global et la gestion de l’ensemble des comptes et des droits requis. Les systèmes Microsoft deviennent alors les systèmes cibles dans lesquels HelloID crée et administre les comptes et autres paramètres. HelloID propose de nombreux connecteurs standards vers les systèmes cibles, et fournit également des connecteurs standards pour Active Directory et Entra ID, faciles à configurer. Ainsi, quel que soit le mécanisme de fédération utilisé (via AD-Entra ID ou avec AD-ADFS), vous pouvez automatiser simplement le provisionnement et la gestion continue de vos identités numériques avec HelloID.

Qu’est-ce qu’une connexion ADFS ?

Une connexion ADFS est un lien entre une application et Active Directory Federation Services. Elle permet aux utilisateurs de se connecter aux applications cloud via le Single Sign-On. Elle rend l’authentification à la fois sécurisée et conviviale.

Que signifie ADFS ?

ADFS signifie Active Directory Federation Services, une technologie Microsoft qui permet aux organisations d’utiliser le Single Sign-On (SSO), en interne comme dans le cloud.

À quoi sert ADFS ?

ADFS (Active Directory Federation Services) est une application reliée à Active Directory. Elle permet d’utiliser les données AD sur site pour offrir également le Single Sign-On (SSO) vers des applications situées en dehors du réseau de l’entreprise.