Choisir la méthode d’authentification adaptée à votre solution d’identité hybride Azure Active DirectoryChoose the right authentication method for your Azure Active Directory hybrid identity solution

Cet article est le premier d’une série visant à aider les organisations à implémenter une solution d’identité hybride Azure Active Directory (Azure AD) complète.This article begins a series of articles that help organizations implement a complete Azure Active Directory (Azure AD) hybrid identity solution. Cette solution a été présentée dans le cadre du Hybrid Identity Digital Transformation Framework.This solution was outlined as the Hybrid Identity Digital Transformation Framework. Elle traite des projections commerciales et des objectifs sur lesquels les organisations doivent se concentrer pour implémenter une solution d’identité hybride fiable et sécurisée.It covers the business outcomes and goals organizations can focus on to implement a robust and secure hybrid identity solution.

La première projection commerciale du framework énonce la nécessité pour les organisations de sécuriser le processus d’authentification utilisé par les utilisateurs pour accéder à des applications cloud.The first business outcome of the framework spells out the requirements for organizations to secure the authentication process when users access cloud apps. Le premier objectif commercial de la projection d’une authentification sécurisée est la possibilité pour les utilisateurs de se connecter à des applications cloud avec leurs nom d’utilisateur et mot de passe locaux.The first business goal in the authentication secured business outcome is users' ability to sign in to cloud apps by using their on-premises usernames and passwords. Ce processus d’authentification et de connexion permet de tous les éléments dans le cloud.This sign-in and authentication process makes everything in the cloud possible.

La première étape pour les organisations souhaitant migrer leurs applications vers le cloud est de choisir une méthode d’authentification appropriée.Choosing the correct authentication method is the first concern for organizations wanting to move their apps to the cloud. Cette décision ne doit pas être prise à la légère, et ce pour les raisons suivantes :Don't take this decision lightly, for the following reasons:

  1. Il s’agit de la première décision que doit prendre une organisation souhaitant migrer vers le cloud.It's the first decision for an organization that wants to move to the cloud.

  2. La méthode d’authentification est un composant essentiel de la présence d’une organisation dans le cloud.The authentication method is a critical component of an organization’s presence in the cloud. Elle contrôle l’accès à l’ensemble des données et des ressources du cloud.It controls access to all cloud data and resources.

  3. Elle constitue le fondement sur lequel reposent toutes les autres fonctionnalités avancées en matière de sécurité et d’expérience utilisateur dans Azure AD.It's the foundation of all the other advanced security and user experience features in Azure AD.

  4. Une fois implémentée, la méthode d’authentification est difficile à modifier.The authentication method is difficult to change after it's implemented.

L’identité constitue le nouveau plan de contrôle de la sécurité informatique.Identity is the new control plane of IT security. L’authentification protège par conséquent une organisation qui accède au nouveau monde du cloud.So authentication is an organization’s access guard to the new cloud world. Les organisations ont besoin d’un plan de contrôle d’identité qui renforce leur sécurité et protège leurs applications cloud contre les intrus.Organizations need an identity control plane that strengthens their security and keeps their cloud apps safe from intruders.

Hors proposOut of scope

Les organisations qui ne présentent aucune empreinte d’un annuaire local existant ne sont pas concernées par cet article.Organizations that don't have an existing on-premises directory footprint aren't the focus of this article. En général, ces entreprises créent uniquement des identités résidant dans le cloud, ce qui n’exige pas une solution d’identité hybride.Typically, those businesses create identities only in the cloud, which doesn’t require a hybrid identity solution. Les identités résidant uniquement dans le cloud ne sont pas associées à des identités locales correspondantes.Cloud-only identities exist solely in the cloud and aren't associated with corresponding on-premises identities.

Méthodes d’authentificationAuthentication methods

En choisissant la solution d’identité hybride Azure AD comme nouveau plan de contrôle, l’authentification constitue la base de l’accès au cloud.When the Azure AD hybrid identity solution is your new control plane, authentication is the foundation of cloud access. Le choix de la méthode d’authentification est une première décision essentielle dans la configuration d’une solution d’identité hybride Azure AD.Choosing the correct authentication method is a crucial first decision in setting up an Azure AD hybrid identity solution. L’implémentation de la méthode d’authentification est configurée à l’aide d’Azure AD Connect, qui provisionne également les utilisateurs dans le cloud.Implement the authentication method that is configured by using Azure AD Connect, which also provisions users in the cloud.

Pour choisir une méthode d’authentification, vous devez prendre en compte l’infrastructure existante, le temps nécessaire à l’implémentation, sa complexité et les coûts associés.To choose an authentication method, you need to consider the time, existing infrastructure, complexity, and cost of implementing your choice. Ces facteurs sont différents pour chaque organisation et peuvent varier au fil du temps.These factors are different for every organization and might change over time.

Azure AD prend en charge les méthodes d’authentification suivantes pour les solutions d’identité hybride.Azure AD supports the following authentication methods for hybrid identity solutions.

Authentification cloudCloud authentication

Quand vous choisissez cette méthode d’authentification, Azure AD gère le processus de connexion des utilisateurs.When you choose this authentication method, Azure AD handles users' sign-in process. Si vous l’associez à une authentification unique (SSO) fluide, les utilisateurs peuvent se connectent aux applications cloud sans avoir à retaper leurs informations d’identification.Coupled with seamless single sign-on (SSO), users can sign in to cloud apps without having to reenter their credentials. L’authentification cloud propose deux options :With cloud authentication, you can choose from two options:

Synchronisation de hachage de mot de passe Azure AD.Azure AD password hash synchronization. Il s’agit du moyen le plus simple d’activer l’authentification pour les objets d’annuaire locaux dans Azure AD.The simplest way to enable authentication for on-premises directory objects in Azure AD. Elle permet aux utilisateurs d’utiliser les mêmes nom d’utilisateur et mot de passe qu’ils utilisent localement sans avoir à déployer une infrastructure supplémentaire.Users can use the same username and password that they use on-premises without having to deploy any additional infrastructure. Certaines fonctionnalités premium d’Azure AD, telles que la Protection d’identité et Azure AD Domain Services, nécessitent la synchronisation de hachage de mot de passe, quelle que soit la méthode d’authentification que vous choisissez.Some premium features of Azure AD, like Identity Protection and Azure AD Domain Services, require password hash synchronization, no matter which authentication method you choose.

Notes

Les mots de passe ne sont jamais stockés en texte clair ni chiffrés avec un algorithme réversible dans Azure AD.Passwords are never stored in clear text or encrypted with a reversible algorithm in Azure AD. Pour plus d’informations sur le processus réel de la synchronisation de hachage du mot de passe, consultez Implémenter la synchronisation de hachage du mot de passe avec la synchronisation Azure AD Connect.For more information on the actual process of password hash synchronization, see Implement password hash synchronization with Azure AD Connect sync.

Authentification directe Azure AD.Azure AD Pass-through Authentication. Fournit une validation de mot de passe simple pour les services d’authentification Azure AD à l’aide d’un agent logiciel qui s’exécute sur un ou plusieurs serveurs locaux.Provides a simple password validation for Azure AD authentication services by using a software agent that runs on one or more on-premises servers. Les serveurs valident les utilisateurs directement avec votre Active Directory local, ce qui garantit que la validation du mot de passe ne se produit pas dans le cloud.The servers validate the users directly with your on-premises Active Directory, which ensures that the password validation doesn't happen in the cloud.

Cette méthode d’authentification convient pour les entreprises qui, pour des raisons de sécurité, requièrent l’application immédiate d’heures d’ouverture de session, de stratégies de mot de passe et d’états des comptes d’utilisateur locaux.Companies with a security requirement to immediately enforce on-premises user account states, password policies, and sign-in hours might use this authentication method. Pour plus d’informations sur le processus réel de l’authentification directe, consultez Connexion de l’utilisateur avec l’authentification directe Azure AD.For more information on the actual pass-through authentication process, see User sign-in with Azure AD pass-through authentication.

Authentification fédéréeFederated authentication

Quand vous choisissez cette méthode d’authentification, Azure AD délègue le processus d’authentification à un système d’authentification approuvée distinct, par exemple les services de fédération Active Directory (AD FS), pour valider le mot de passe de l’utilisateur.When you choose this authentication method, Azure AD hands off the authentication process to a separate trusted authentication system, such as on-premises Active Directory Federation Services (AD FS), to validate the user’s password.

Le système d’authentification peut fournir des conditions d’authentification supplémentaires,The authentication system can provide additional advanced authentication requirements. comme l’authentification par carte à puce ou une authentification multifacteur tierce.Examples are smartcard-based authentication or third-party multifactor authentication. Pour plus d’informations, consultez Déploiement des services de fédération Active Directory (AD FS).For more information, see Deploying Active Directory Federation Services.

L’arbre de décision présenté dans la section suivante vous aide à déterminer la méthode d’authentification adaptée à vos besoins.The following section helps you decide which authentication method is right for you by using a decision tree. Vous pouvez ainsi décider si vous devez déployer une authentification cloud ou une authentification fédérée pour votre solution d’identité hybride Azure AD.It helps you determine whether to deploy cloud or federated authentication for your Azure AD hybrid identity solution.

Arbre de décisionDecision tree

Authentification AD Azure : arbre de décision

Détails relatifs aux questions de décision :Details on decision questions:

  1. Azure AD peut gérer la connexion des utilisateurs sans s’appuyer sur des composants locaux pour vérifier les mots de passe.Azure AD can handle sign-in for users without relying on on-premises components to verify passwords.
  2. Azure AD peut transférer la connexion des utilisateurs à un fournisseur d’authentification approuvé tel qu’AD FS de Microsoft.Azure AD can hand off user sign-in to a trusted authentication provider such as Microsoft’s AD FS.
  3. Si vous devez appliquer des stratégies de sécurité Active Directory au niveau utilisateur, telles que l’expiration de compte, la désactivation de compte, l’expiration de mot de passe, le verrouillage de compte et les heures de connexion à chaque connexion d’utilisateur, Azure AD requiert certains composants locaux.If you need to apply user-level Active Directory security policies such as account expired, disabled account, password expired, account locked out, and sign-in hours on each user sign-in, Azure AD requires some on-premises components.
  4. Fonctionnalités de connexion non prises en charge en mode natif par Azure AD :Sign-in features not natively supported by Azure AD:
    • Connexion à l’aide de cartes à puce ou de certificats.Sign-in using smartcards or certificates.
    • Connexion à l’aide d’un serveur MFA local.Sign-in using on-premises MFA Server.
    • Connexion à l’aide d’une solution d’authentification tierce.Sign-in using 3rd party authentication solution.
    • Solution d’authentification locale multisite.Multi-site on-premises authentication solution.
  5. Quelle que soit la méthode de connexion choisie, pour générer le rapport Utilisateurs avec des informations d’identification divulguées, Azure AD Identity Protection nécessite une synchronisation du hachage de mot de passe.Azure AD Identity Protection requires Password Hash Sync regardless of which sign-in method you choose, to provide the Users with leaked credentials report. Les organisations peuvent basculer vers une synchronisation du hachage de mot de passe si leur méthode de connexion principale échoue alors qu’elle a été configurée avant l’événement d’échec.Organizations can failover to Password Hash Sync if their primary sign-in method fails and it was configured before the failure event.

Notes

Azure AD Identity Protection nécessite des licences Azure AD Premium P2.Azure AD Identity Protection require Azure AD Premium P2 licenses.

Considérations détailléesDetailed considerations

Authentification cloud : Synchronisation de hachage de mot de passeCloud authentication: Password hash synchronization

  • Effort.Effort. La synchronisation de hachage du mot de passe nécessite le moins d’effort en matière de déploiement, de maintenance et d’infrastructure.Password hash synchronization requires the least effort regarding deployment, maintenance, and infrastructure. Ce niveau d’effort s’applique généralement aux organisations dont les utilisateurs se connectent uniquement à Office 365, à des applications SaaS et à d’autres ressources Azure AD basées sur Active Directory.This level of effort typically applies to organizations that only need their users to sign in to Office 365, SaaS apps, and other Azure AD-based resources. Une fois activée, la synchronisation de hachage du mot de passe fait partie du processus de synchronisation Azure AD Connect et s’exécute toutes les deux minutes.When turned on, password hash synchronization is part of the Azure AD Connect sync process and runs every two minutes.

  • Expérience utilisateur.User experience. Pour améliorer l’expérience de connexion des utilisateurs, déployez l’authentification unique transparente avec synchronisation de hachage du mot de passe.To improve users' sign-in experience, deploy seamless SSO with password hash synchronization. L’authentification unique transparente élimine les invites inutiles quand les utilisateurs sont connectés.Seamless SSO eliminates unnecessary prompts when users are signed in.

  • Scénarios avancés.Advanced scenarios. Les organisations peuvent choisir d’utiliser les insights des identités avec les rapports Azure AD Identity Protection avec Azure AD Premium P2,If organizations choose to, it's possible to use insights from identities with Azure AD Identity Protection reports with Azure AD Premium P2. par exemple le rapport sur les informations d’identification divulguées.An example is the leaked credentials report. Windows Hello entreprise a des exigences spécifiques lorsque vous utilisez la synchronisation de hachage de mot de passe.Windows Hello for Business has specific requirements when you use password hash synchronization. Azure AD Domain Services nécessitent une synchronisation de hachage de mot de passe pour configurer des utilisateurs avec leurs informations d’identification d’entreprise dans le domaine géré.Azure AD Domain Services require password hash synchronization to provision users with their corporate credentials in the managed domain.

    Les organisations qui requièrent une authentification multifacteur avec synchronisation de hachage de mot de passe doivent utiliser l’authentification multifacteur Azure AD.Organizations that require multifactor authentication with password hash synchronization must use Azure AD multifactor authentication. Elles ne peuvent pas utiliser des méthodes d’authentification multifacteur tierces ou locales.Those organizations can't use third-party or on-premises multifactor authentication methods.

  • Continuité des activités.Business continuity. La synchronisation de hachage du mot de passe avec authentification cloud est un service cloud hautement disponible qui s’adapte à tous les centres de données Microsoft.Using password hash synchronization with cloud authentication is highly available as a cloud service that scales to all Microsoft datacenters. Pour vous assurer que la synchronisation de hachage du mot de passe ne baisse pas pendant de longues périodes, déployez un second serveur Azure AD Connect en mode préproduction dans une configuration de secours.To make sure password hash synchronization does not go down for extended periods, deploy a second Azure AD Connect server in staging mode in a standby configuration.

  • Considérations.Considerations. À l’heure actuelle, la synchronisation de hachage du mot de passe n’applique pas immédiatement les changements aux états des comptes locaux.Currently, password hash synchronization doesn't immediately enforce changes in on-premises account states. Cela signifie qu’un utilisateur a accès aux applications cloud jusqu’à ce que l’état du compte utilisateur soit synchronisé avec Azure AD.In this situation, a user has access to cloud apps until the user account state is synchronized to Azure AD. Pour contourner cette limitation, les organisations peuvent exécuter un nouveau cycle de synchronisation après les mises à jour en bloc effectuées par les administrateurs sur les états des comptes locaux,Organizations might want to overcome this limitation by running a new synchronization cycle after administrators do bulk updates to on-premises user account states. par exemple la désactivation de comptes.An example is disabling accounts.

Notes

Les états indiquant un mot de passe expiré et un compte verrouillé ne sont pas synchronisés avec Azure AD à l’aide d’Azure AD Connect.The password expired and account locked-out states aren't currently synced to Azure AD with Azure AD Connect.

Pour obtenir les étapes de déploiement, consultez Implémentation de la synchronisation de hachage du mot de passe.Refer to implementing password hash synchronization for deployment steps.

Authentification cloud : Authentification directeCloud authentication: Pass-through Authentication

  • Effort.Effort. L’authentification directe nécessite l’installation d’un ou plusieurs agents légers (trois sont recommandés) sur des serveurs existants.For pass-through authentication, you need one or more (we recommend three) lightweight agents installed on existing servers. Ces agents doivent avoir accès à vos services AD DS (Active Directory Domain Services) locaux et à vos contrôleurs de domaine AD locaux.These agents must have access to your on-premises Active Directory Domain Services, including your on-premises AD domain controllers. Ils doivent disposer d’un accès sortant à Internet et à vos contrôleurs de domaine.They need outbound access to the Internet and access to your domain controllers. Le déploiement des agents dans un réseau de périmètre n’est donc pas pris en charge.For this reason, it's not supported to deploy the agents in a perimeter network.

    L’authentification directe nécessite un accès réseau sans contrainte aux contrôleurs de domaine.Pass-through Authentication requires unconstrained network access to domain controllers. Tout le trafic réseau est chiffré et limité aux demandes d’authentification.All network traffic is encrypted and limited to authentication requests. Pour plus d’informations sur ce processus, consultez l’immersion dans la sécurité sur l’authentification directe.For more information on this process, see the security deep dive on pass-through authentication.

  • Expérience utilisateur.User experience. Pour améliorer l’expérience de connexion des utilisateurs, déployez l’authentification unique transparente avec l’authentification directe.To improve users' sign-in experience, deploy seamless SSO with Pass-through Authentication. L’authentification unique transparente élimine les invites inutiles quand les utilisateurs sont connectés.Seamless SSO eliminates unnecessary prompts after users sign in.

  • Scénarios avancés.Advanced scenarios. L’authentification directe applique la stratégie de compte local au moment de la connexion.Pass-through Authentication enforces the on-premises account policy at the time of sign in. Par exemple, l’accès est refusé quand l’état d’un compte d’utilisateur local indique que le compte est désactivé, verrouillé, que le mot de passe a expiré ou que les heures de connexion associées au compte ne correspondent pas aux heures d’ouverture de session autorisées de l’utilisateur.For example, access is denied when an on-premises user’s account state is disabled, locked out, or password expired or falls outside the hours when the user is allowed to sign in.

    Les organisations qui requièrent une authentification multifacteur avec l’authentification directe doivent utiliser Azure Multi-Factor Authentication (MFA).Organizations that require multifactor authentication with pass-through authentication must use Azure Multi-Factor Authentication (MFA). Elles ne peuvent pas utiliser une méthode d’authentification multifacteur tierce ou locale.Those organizations can't use a third-party or on-premises multifactor authentication method. Les fonctionnalités avancées nécessitent le déploiement de la synchronisation de hachage du mot de passe (que vous choisissiez l’authentification directe ou non).Advanced features require that password hash synchronization is deployed whether or not you choose pass-through authentication. C’est le cas notamment du rapport sur la fuite des informations d’identification généré par Identity Protection.An example is the leaked credentials report of Identity Protection.

  • Continuité des activités.Business continuity. Nous vous recommandons de déployer deux agents d’authentification directe supplémentaires.We recommend that you deploy two extra pass-through authentication agents. Ces agents complètent le premier agent sur le serveur Azure AD Connect.These extras are in addition to the first agent on the Azure AD Connect server. Ce déploiement supplémentaire garantit la haute disponibilité des demandes d’authentification.This additional deployment ensures high availability of authentication requests. Quand trois agents sont déployés et que l’un d’eux est hors service pour maintenance, l’échec d’un agent n’a aucune incidence.When you have three agents deployed, one agent can still fail when another agent is down for maintenance.

    Outre l’authentification directe, le déploiement de la synchronisation de hachage du mot de passe offre un autre avantage.There's another benefit to deploying password hash synchronization in addition to pass-through authentication. Il sert de méthode d’authentification de secours lorsque la méthode d’authentification principale n’est plus disponible.It acts as a backup authentication method when the primary authentication method is no longer available.

  • Considérations.Considerations. Vous pouvez utiliser la synchronisation de hachage de mot de passe comme une méthode d’authentification de secours pour l’authentification directe, et les agents ne peuvent pas valider les informations d’identification d’un utilisateur en raison d’un incident local.You can use password hash synchronization as a backup authentication method for pass-through authentication, when the agents can't validate a user's credentials due to a significant on-premises failure. Le basculement vers la synchronisation de hachage du mot de passe ne se produit pas automatiquement et vous devez utiliser Azure AD Connect pour basculer manuellement la méthode de connexion.Failover to password hash synchronization doesn't happen automatically and you must use Azure AD Connect to switch the sign-on method manually.

    Pour découvrir d’autres considérations sur l’authentification directe, notamment la prise en charge d’ID de connexion de substitution, consultez le forum aux questions.For other considerations on Pass-through Authentication, including Alternate ID support, see frequently asked questions.

Pour obtenir les étapes de déploiement à suivre, consultez Implémentation de l’authentification directe.Refer to implementing pass-through authentication for deployment steps.

Authentification fédéréeFederated authentication

  • Effort.Effort. L’utilisation d’un système d’authentification fédérée s’appuie sur un système externe de confiance pour authentifier les utilisateurs.A federated authentication system relies on an external trusted system to authenticate users. Certaines entreprises souhaitent rentabiliser leur investissement et réutiliser leur système fédéré existant avec leur solution d’identité hybride Azure AD.Some companies want to reuse their existing federated system investment with their Azure AD hybrid identity solution. La maintenance et la gestion du système fédéré ne relèvent pas d’Azure AD.The maintenance and management of the federated system falls outside the control of Azure AD. Il appartient à l’organisation d’utiliser le système fédéré pour vérifier qu’il est déployé de manière sécurisée et qu’il peut gérer la charge de l’authentification.It's up to the organization by using the federated system to make sure it's deployed securely and can handle the authentication load.

  • Expérience utilisateur.User experience. L’expérience utilisateur de l’authentification fédérée dépend de l’implémentation de fonctionnalités, de la topologie et de la configuration de la batterie de serveurs de fédération.The user experience of federated authentication depends on the implementation of the features, topology, and configuration of the federation farm. Certaines organisations ont besoin de cette souplesse pour configurer l’accès à la batterie de serveurs de fédération en fonction de leurs exigences en matière de sécurité.Some organizations need this flexibility to adapt and configure the access to the federation farm to suit their security requirements. Par exemple, il est possible de configurer en interne des utilisateurs connectés et des appareils capables de connecter automatiquement les utilisateurs. Aucune information d’identification n’est donc demandée aux utilisateurs.For example, it's possible to configure internally connected users and devices to sign in users automatically, without prompting them for credentials. Cette configuration fonctionne car ils sont déjà connectés à leur appareil.This configuration works because they already signed in to their devices. Si nécessaire, certaines fonctionnalités de sécurité avancées compliquent le processus de connexion des utilisateurs.If necessary, some advanced security features make users' sign-in process more difficult.

  • Scénarios avancés.Advanced scenarios. Une solution d’authentification fédérée est généralement requise lorsque les clients ont une exigence d’authentification non prise en charge par Azure AD en mode natif.A federated authentication solution is usually required when customers have an authentication requirement that Azure AD doesn't support natively. Affichez des informations détaillées pour vous aider à choisir l’option de connexion adaptée.See detailed information to help you choose the right sign-in option. Examinez les exigences courantes suivantes :Consider the following common requirements:

    • Authentification nécessitant des cartes à puce ou des certificats.Authentication that requires smartcards or certificates.
    • Serveurs MFA locaux ou fournisseurs d’authentification multifacteur tiers.On-premises MFA servers or third-party multifactor providers.
    • Authentification à l’aide de solutions d’authentification tierces.Authentication by using third-party authentication solutions. Consultez la liste de compatibilité de fédération Azure AD.See the Azure AD federation compatibility list.
    • Connexion nécessitant un sAMAccountName, par exemple DOMAINE\nomutilisateur, et non avec un nom d’utilisateur principal (UPN) comme user@domain.com.Sign in that requires an sAMAccountName, for example, DOMAIN\username, instead of a User Principal Name (UPN), for example, user@domain.com.
  • Continuité des activités.Business continuity. Les systèmes fédérés nécessitent généralement un groupe de serveurs à charge équilibrée, également appelé « batterie de serveurs ».Federated systems typically require a load-balanced array of servers, known as a farm. Cette batterie est configurée dans une topologie de réseau interne et de réseau de périmètre pour garantir la haute disponibilité des demandes d’authentification.This farm is configured in an internal network and perimeter network topology to ensure high availability for authentication requests.

    Déployez une synchronisation de hachage du mot de passe conjointement avec l’authentification fédérée comme méthode d’authentification de secours quand la méthode d’authentification principale n’est plus disponible,Deploy password hash synchronization along with federated authentication as a backup authentication method when the primary authentication method is no longer available. par exemple en cas d’indisponibilité des serveurs locaux.An example is when the on-premises servers aren't available. Certaines grandes entreprises exigent une solution de fédération pour prendre en charge plusieurs points d’entrée Internet configurés avec géo-DNS pour les demandes d’authentification à faible latence.Some large enterprise organizations require a federation solution to support multiple Internet ingress points configured with geo-DNS for low-latency authentication requests.

  • Considérations.Considerations. Les systèmes fédérés nécessitent généralement un investissement plus important dans l’infrastructure locale.Federated systems typically require a more significant investment in on-premises infrastructure. La plupart des organisations choisissent cette option si elles disposent déjà d’une solution de fédération localeMost organizations choose this option if they already have an on-premises federation investment. et qu’elles sont contraintes d’utiliser un fournisseur d’identité unique pour des raisons commerciales.And if it's a strong business requirement to use a single-identity provider. La fédération est plus difficile à utiliser et à dépanner que les solutions d’authentification cloud.Federation is more complex to operate and troubleshoot compared to cloud authentication solutions.

Avec un domaine non routable qui ne peut pas être vérifié dans Azure AD, l’implémentation d’une connexion d’ID utilisateur nécessite une configuration supplémentaire.For a nonroutable domain that can't be verified in Azure AD, you need extra configuration to implement user ID sign in. Cette exigence est connue sous le nom de « prise en charge des ID de connexion de substitution ».This requirement is known as Alternate login ID support. Pour connaître les limitations et les exigences, consultez Configuration d’un ID de connexion de substitution.See Configuring Alternate Login ID for limitations and requirements. Si vous choisissez d’utiliser un fournisseur d’authentification multifacteur tiers avec la fédération, vérifiez qu’il prend en charge WS-Trust pour autoriser les appareils à rejoindre Azure AD.If you choose to use a third-party multi-factor authentication provider with federation, ensure the provider supports WS-Trust to allow devices to join Azure AD.

Pour accéder aux étapes de déploiement, consultez Déploiement des serveurs de fédération.Refer to Deploying Federation Servers for deployment steps.

Notes

Quand vous déployez votre solution d’identité hybride Azure AD, vous devez veiller à implémenter l’une des topologies prises en charge d’Azure AD Connect.When you deploy your Azure AD hybrid identity solution, you must implement one of the supported topologies of Azure AD Connect. Pour découvrir les configurations prises en charge et celles qui ne le sont pas, consultezTopologies pour Azure AD Connect.Learn more about supported and unsupported configurations at Topologies for Azure AD Connect.

Diagrammes architecturauxArchitecture diagrams

Les diagrammes suivants présentent les composants architecturaux de haut niveau nécessaires pour chaque méthode d’authentification que vous pouvez utiliser avec votre solution d’identité hybride Azure AD.The following diagrams outline the high-level architecture components required for each authentication method you can use with your Azure AD hybrid identity solution. Ils vous offrent une vue d’ensemble pour vous aider à comparer les différences entre les solutions.They provide an overview to help you compare the differences between the solutions.

  • Simplicité d’une solution de synchronisation de hachage du mot de passe :Simplicity of a password hash synchronization solution:

    Identité hybride Azure AD avec synchronisation de hachage de mot de passe

  • Configuration requise de l’agent d’authentification directe, à l’aide de deux agents pour assurer la redondance :Agent requirements of pass-through authentication, using two agents for redundancy:

    Identité hybride Azure AD avec authentification directe

  • Composants obligatoires pour la fédération dans le réseau interne et le réseau de périmètre de votre organisation :Components required for federation in your perimeter and internal network of your organization:

    Identité hybride Azure AD avec authentification fédérée

Comparaison des méthodesComparing methods

ConsidérationConsideration Synchronisation de hachage du mot de passe + authentification unique transparentePassword hash synchronization + Seamless SSO Authentification directe + authentification unique transparentePass-through Authentication + Seamless SSO Fédération avec AD FSFederation with AD FS
Où l’authentification se produit-elle ?Where does authentication happen? Dans le cloudIn the cloud Dans le cloud, après un échange de vérification de mot de passe sécurisé avec l’agent d’authentification localIn the cloud after a secure password verification exchange with the on-premises authentication agent LocalOn-premises
Quelles sont les exigences pour le serveur local au-delà du système de provisionnement : Azure AD Connect ?What are the on-premises server requirements beyond the provisioning system: Azure AD Connect? AucunNone Un serveur par agent d’authentification supplémentaireOne server for each additional authentication agent Deux ou plusieurs serveurs AD FSTwo or more AD FS servers

Deux ou plusieurs serveurs WAP dans le réseau de périmètre/DMZTwo or more WAP servers in the perimeter/DMZ network
Quelles sont les exigences Internet et réseau locales au-delà du système de provisionnement ?What are the requirements for on-premises Internet and networking beyond the provisioning system? AucunNone Accès Internet sortant à partir des serveurs exécutant des agents d’authentificationOutbound Internet access from the servers running authentication agents Accès Internet entrant pour les serveurs WAP dans le périmètreInbound Internet access to WAP servers in the perimeter

Accès réseau entrant aux serveurs AD FS à partir des serveurs WAP dans le périmètreInbound network access to AD FS servers from WAP servers in the perimeter

Équilibrage de charge réseauNetwork load balancing
Y a-t-il une exigence de certificat SSL ?Is there an SSL certificate requirement? Non No Non No OuiYes
Existe-t-il une solution de supervision de l’intégrité ?Is there a health monitoring solution? Non requisNot required État de l’agent fourni par le Centre d’administration Azure Active DirectoryAgent status provided by Azure Active Directory admin center Azure AD Connect HealthAzure AD Connect Health
Les utilisateurs obtiennent-ils une authentification unique auprès des ressources cloud à partir d’appareils joints au domaine au sein du réseau d’entreprise ?Do users get single sign-on to cloud resources from domain-joined devices within the company network? Oui avec authentification unique fluideYes with Seamless SSO Oui avec authentification unique fluideYes with Seamless SSO OuiYes
Quels types de connexion sont pris en charge ?What sign-in types are supported? UserPrincipalName + mot de passeUserPrincipalName + password

Authentification Windows intégrée avec authentification unique transparenteWindows Integrated Authentication by using Seamless SSO

ID de connexion de substitutionAlternate login ID
UserPrincipalName + mot de passeUserPrincipalName + password

Authentification Windows intégrée avec authentification unique transparenteWindows Integrated Authentication by using Seamless SSO

ID de connexion de substitutionAlternate login ID
UserPrincipalName + mot de passeUserPrincipalName + password

sAMAccountName + mot de passesAMAccountName + password

Authentification Windows intégréeWindows Integrated Authentication

Authentification par certificat et carte à puceCertificate and smart card authentication

ID de connexion de substitutionAlternate login ID
Windows Hello Entreprise est-il pris en charge ?Is Windows Hello for Business supported? Modèle de confiance de cléKey trust model Modèle de confiance de cléKey trust model
Nécessite le niveau fonctionnel de domaine Windows Server 2016Requires Windows Server 2016 Domain functional level
Modèle de confiance de cléKey trust model

Modèle de certificat de confiance Certificate trust model
Quelles sont les options d’authentification multifacteur ?What are the multifactor authentication options? Azure MFAAzure MFA

Contrôles personnalisés avec accès conditionnel*Custom Controls with conditional access*
Azure MFAAzure MFA

Contrôles personnalisés avec accès conditionnel*Custom Controls with conditional access*
Azure MFAAzure MFA

Serveur Azure MFAAzure MFA server

MFA tiersThird-party MFA

Contrôles personnalisés avec accès conditionnel*Custom Controls with conditional access*
Quels sont les états de compte d’utilisateur pris en charge ?What user account states are supported? Comptes désactivésDisabled accounts
(délai pouvant atteindre 30 minutes)(up to 30-minute delay)
Comptes désactivésDisabled accounts

Compte verrouilléAccount locked out

Compte expiréAccount expired

Mot de passe expiréPassword expired

Heures de connexionSign-in hours
Comptes désactivésDisabled accounts

Compte verrouilléAccount locked out

Compte expiréAccount expired

Mot de passe expiréPassword expired

Heures de connexionSign-in hours
Quelles sont les options d’accès conditionnel ?What are the conditional access options? Accès conditionnel Azure AD, avec Azure AD PremiumAzure AD conditional access, with Azure AD Premium Accès conditionnel Azure AD, avec Azure AD PremiumAzure AD conditional access, with Azure AD Premium Accès conditionnel Azure AD, avec Azure AD PremiumAzure AD conditional access, with Azure AD Premium

Règles de revendication AD FSAD FS claim rules
Le blocage des protocoles hérités est-il pris en charge ?Is blocking legacy protocols supported? OuiYes OuiYes OuiYes
Pouvez-vous personnaliser le logo, l’image et la description sur les pages de connexion ?Can you customize the logo, image, and description on the sign-in pages? Oui, avec Azure AD PremiumYes, with Azure AD Premium Oui, avec Azure AD PremiumYes, with Azure AD Premium OuiYes
Quels sont les scénarios avancés pris en charge ?What advanced scenarios are supported? Verrouillage de mot de passe intelligentSmart password lockout

Rapports des informations d’identification divulguées, avec Azure AD Premium P2Leaked credentials reports, with Azure AD Premium P2
Verrouillage de mot de passe intelligentSmart password lockout Système d’authentification multisite à faible latenceMultisite low-latency authentication system

Verrouillage extranet AD FSAD FS extranet lockout

Intégration aux systèmes d’identité tiersIntegration with third-party identity systems

Notes

Contrôles personnalisés dans Azure AD. L’accès conditionnel ne prend actuellement pas en charge l’inscription d’appareil.Custom controls in Azure AD conditional access does not currently support device registration.

RecommandationsRecommendations

Votre système d’identité garantit à vos utilisateurs l’accès aux applications cloud et aux applications métier que vous migrez et rendez accessibles dans le cloud.Your identity system ensures your users' access to cloud apps and the line-of-business apps that you migrate and make available in the cloud. Pour assurer la productivité des utilisateurs autorisés et protéger les données sensibles de votre organisation contre les intrus, k’authentification contrôle l’accès aux applications.To keep authorized users productive and bad actors out of your organization’s sensitive data, authentication controls access to apps.

Utilisez ou activez la synchronisation de hachage du mot de passe, quelle que soit la méthode d’authentification choisie, et ce pour les raisons suivantes :Use or enable password hash synchronization for whichever authentication method you choose, for the following reasons:

  1. Haute disponibilité et récupération d’urgence.High availability and disaster recovery. L’authentification directe et la fédération s’appuient sur une infrastructure locale.Pass-through Authentication and federation rely on on-premises infrastructure. Pour l’authentification directe, l’empreinte locale inclut le matériel de serveur et la mise en réseau requis par les agents d’authentification directe.For pass-through authentication, the on-premises footprint includes the server hardware and networking the Pass-through Authentication agents require. Pour la fédération, l’empreinte locale est encore plus importante.For federation, the on-premises footprint is even larger. Elle nécessite des serveurs dans votre réseau de périmètre pour rediriger par l’intermédiaire d’un proxy les demandes d’authentification et les serveurs de fédération interne.It requires servers in your perimeter network to proxy authentication requests and the internal federation servers.

    Pour éviter des points de défaillance uniques, déployez des serveurs redondants.To avoid single points of failures, deploy redundant servers. Cette méthode garantit le traitement des requêtes d’authentification en cas d’échec d’un composant.Then authentication requests will always be serviced if any component fails. Du point de vue de l’authentification directe comme de la fédération, il est aussi attendu que les contrôleurs de domaine répondent aux demandes d’authentification, qui peuvent également échouer.Both pass-through authentication and federation also rely on domain controllers to respond to authentication requests, which can also fail. L’intégrité de nombreux composants passe par des opérations de maintenance.Many of these components need maintenance to stay healthy. Si celles-ci ne sont pas planifiées et implémentées correctement, le risque de panne est plus élevé.Outages are more likely when maintenance isn't planned and implemented correctly. La synchronisation de hachage du mot de passe permet d’éviter les pannes, car le service d’authentification cloud Azure AD de Microsoft est mis à l’échelle globalement et toujours disponible.Avoid outages by using password hash synchronization because the Microsoft Azure AD cloud authentication service scales globally and is always available.

  2. Survie à une panne locale.On-premises outage survival. Les conséquences d’une panne locale à la suite d’une cyberattaque ou d’un sinistre peuvent être considérables, de l’atteinte à l’image de marque à la paralysie de l’organisation si celle-ci ne parvient pas à gérer l’attaque.The consequences of an on-premises outage due to a cyber-attack or disaster can be substantial, ranging from reputational brand damage to a paralyzed organization unable to deal with the attack. Récemment, de nombreuses organisations ont été victimes d’attaques menées par des programmes malveillants, notamment des ransomwares (rançongiciels), qui ont provoqué la mise hors service de leurs serveurs locaux.Recently, many organizations were victims of malware attacks, including targeted ransomware, that caused their on-premises servers to go down. Lorsque Microsoft aide les clients à gérer ces types d’attaques, deux catégories d’organisations se dégagent :When Microsoft helps customers deal with these kinds of attacks, it sees two categories of organizations:

    • Les organisations qui avaient auparavant activé la synchronisation de hachage du mot de passe ont modifié leur méthode d’authentification pour utiliser la synchronisation de hachage du mot de passe.Organizations that previously turned on password hash synchronization changed their authentication method to use password hash synchronization. Ils étaient de nouveau en ligne après quelques heures.They were back online in a matter of hours. En accédant aux e-mails par le biais d’Office 365, elles ont pu résoudre les problèmes et accéder à d’autres charges de travail sur le cloud.By using access to email via Office 365, they worked to resolve issues and access other cloud-based workloads.

    • Les organisations qui n’a pas auparavant activé la synchronisation de hachage de mot de passe devaient recourir à des systèmes de messagerie externes non fiables pour les communications résoudre les problèmes.Organizations that didn’t previously enable password hash synchronization had to resort to untrusted external consumer email systems for communications to resolve issues. Dans ce cas, il a fallu les semaines à restaurer leur infrastructure d’identité en local, avant que les utilisateurs pouvaient se connecter aux applications en nuage à nouveau.In those cases, it took them weeks to restore their on-premises identity infrastructure, before users were able to sign-in to cloud-based apps again.

  3. Protection des identités.Identity protection. Azure AD Identity Protection avec Azure AD Premium P2 est un des meilleurs moyens de protéger les utilisateurs dans le cloud.One of the best ways to protect users in the cloud is Azure AD Identity Protection with Azure AD Premium P2. Microsoft analyse en permanence Internet à la recherche de listes d’utilisateurs et de mots de passe vendues et mises à disposition sur le « dark web » par des utilisateurs malveillants.Microsoft continually scans the Internet for user and password lists that bad actors sell and make available on the dark web. Azure AD peut utiliser ces informations pour vérifier si les noms d’utilisateur et les mots de passe de votre organisation sont compromis.Azure AD can use this information to verify if any of the usernames and passwords in your organization are compromised. Il est donc essentiel d’activer la synchronisation de hachage du mot de passe, et ce quelle que soit la méthode d’authentification vous utilisez (fédérée ou directe).So it's critical to enable password hash synchronization no matter what authentication method you use, whether that's federated or pass-through authentication. Les informations d’identification divulguées sont présentées sous forme de rapport.Leaked credentials are presented as a report. Utilisez ces informations pour bloquer ou forcer les utilisateurs à modifier leurs mots de passe lorsqu’ils tentent de se connecter avec des mots de passe divulgués.Use this information to block or force users to change their passwords when they try to sign in with leaked passwords.

Enfin, selon Gartner, Microsoft propose l’ensemble le plus complet de fonctions de gestion de l’identité et de l’accès.Lastly, according to Gartner, Microsoft has the most full-featured set of identity and access management functions. Microsoft gère 450 milliards de demandes d’authentification chaque mois pour fournir l’accès à des milliers d’applications SaaS telles qu’Office 365 à partir de pratiquement n’importe quel appareil.Microsoft handles 450 billion authentication requests every month to provide access to thousands of SaaS applications like Office 365 from virtually any device.

ConclusionConclusion

Cet article présente les différentes options d’authentification que les organisations peuvent configurer et déployer pour prendre en charge l’accès aux applications cloud.This article outlines various authentication options that organizations can configure and deploy to support access to cloud apps. Face à des exigences professionnelles, sécuritaires et techniques variées, les organisations ont le choix entre la synchronisation de hachage du mot de passe, l’authentification directe et la fédération.To meet various business, security, and technical requirements, organizations can choose between password hash synchronization, Pass-through Authentication, and federation.

Examinez chaque méthode d’authentification.Consider each authentication method. L’effort pour déployer la solution et l’expérience utilisateur du processus de connexion répondent-ils aux besoins de votre entreprise ?Does the effort to deploy the solution, and the user's experience of the sign-in process, address your business requirements? Déterminez également si votre organisation a besoin des scénarios avancés et des fonctionnalités de continuité d’activité de chaque méthode d’authentification.Evaluate whether your organization needs the advanced scenarios and business continuity features of each authentication method. Enfin, vous devez évaluer les considérations relatives à chaque méthode d’authentificationFinally, evaluate the considerations of each authentication method. pour voir si l’une d’elles empêche l’implémentation de votre choix.Do any of them prevent you from implementing your choice?

Étapes suivantesNext steps

Aujourd’hui, les menaces sont présentes 24 heures sur 24 et proviennent de partout.In today’s world, threats are present 24 hours a day and come from everywhere. L’implémentation d’une méthode d’authentification appropriée permet d’atténuer les risques en matière de sécurité et de protéger vos identités.Implement the correct authentication method, and it will mitigate your security risks and protect your identities.

Démarrez avec Azure AD et déployez la solution d’authentification adaptée à votre organisation.Get started with Azure AD and deploy the right authentication solution for your organization.

Si vous envisagez de passer de l’authentification fédérée à l’authentification cloud, découvrez plus en détail comment changer la méthode de connexion.If you're thinking about migrating from federated to cloud authentication, learn more about changing the sign-in method. Pour vous aider à planifier et à implémenter la migration, utilisez ces plans de déploiement de projet.To help you plan and implement the migration, use these project deployment plans.