Editions ENI Livres | Vidéos | e-Formations
Synchronisation des identités
Introduction
Dans un environnement informatique, la synchronisation des identités fait partie des actions majeures dans la composition d’une infrastructure hybride.
Elle facilite l’intégration des comptes dans le cloud et évite aux administrateurs de gérer plusieurs identités pour une même personne.
La synchronisation des identités permet de garantir que les informations des utilisateurs sont cohérentes entre les annuaires locaux et les services cloud.
Sans synchronisation, les administrateurs seraient dans l’obligation de mettre en place une double gestion des comptes, c’est-à-dire de gérer des comptes dans les deux environnements différents.
Les utilisateurs seraient eux aussi impactés, car une absence de synchronisation signifierait pour eux de devoir manipuler plusieurs identifiants afin d’accéder aux applications internes et aux services cloud.
La synchronisation est donc un moyen de fournir aux utilisateurs une seule identité à utiliser, et aux administrateurs une seule identité à gérer.
Mode 100 % cloud vs mode hybride
Pour utiliser les technologies du cloud, les entreprises ont le choix entre deux approches : le mode 100 % cloud et le mode hybride. Chacune de ces approches a ses avantages et ses inconvénients. Pour une entreprise, le choix se portera sur les besoins, les contraintes ou encore la vision de l’organisation.
1. Mode 100 % cloud
L’environnement 100 % cloud est une architecture qui vise à migrer l’intégralité des infrastructures informatiques vers le cloud. Cela signifie que tous les services, les données et les applications sont hébergés chez un fournisseur. Avec ce modèle, il n’y a plus la contrainte de maintenir une infrastructure physique.
|
Avantages |
Inconvénients |
|
Mises à jour et évolutions des applications gérées automatiquement |
Grande dépendance |
|
Sécurité avancée |
Question sur la confidentialité des données |
|
Réduction des coûts sur les infrastructures |
Prix des abonnements |
Le choix d’un environnement 100 % cloud ne convient pas à toutes les entreprises. Avant de se lancer, il est important d’évaluer la structure et la politique de l’organisation afin d’être certain que ce mode est le bon choix.
2. Mode hybride
L’environnement hybride est une architecture qui combine le meilleur des deux mondes :...
Vue d’ensemble de Microsoft Entra Connect
Être en mesure de contrôler les accès des utilisateurs aux applications dans le cloud est un défi énorme, car les applications SaaS (Software-as-a-Service) sont de plus en plus accessibles.
Microsoft Entra Connect permet de synchroniser des identités entre un environnement Active Directory On-Premises et Microsoft 365, en s’assurant que les utilisateurs puissent utiliser le même identifiant de connexion ainsi que le même mot de passe, afin d’accéder à la fois aux ressources locales, mais aussi aux services cloud de Microsoft 365.
L’outil de base était appelé DirSync. L’appellation a été remplacée en 2015 par Azure AD Connect avant qu’une autre appellation ne voie le jour en 2023 : Microsoft Entra Connect.
1. Schéma de Microsoft Entra Connect
Le processus de réplication de Microsoft Entra Connect permet de synchroniser toutes les modifications apportées aux identités dans un environnement local automatiquement vers le cloud. Par exemple, lorsque le compte d’un nouvel employé est ajouté à l’Active Directory local, ce nouvel objet est automatiquement répliqué dans Microsoft Entra, permettant ainsi un accès presque instantané aux ressources cloud.
Voici une vue générale d’une infrastructure...
Installation et configuration de Microsoft Entra Connect
Avant de procéder à l’installation de Microsoft Entra Connect, certains prérequis doivent être respectés, comme par exemple :
-
Système d’exploitation : il faut s’assurer de la bonne version du système d’exploitation et du .NET Framework.
-
Permissions : l’installation nécessite deux comptes d’administration. Un compte administrateur Active Directory pour lire et synchroniser les objets AD et un compte Global Administrator pour la connexion avec Microsoft Entra.
-
Réseau : le serveur qui héberge Microsoft Entra Connect doit être en mesure de communiquer avec l’Active Directory On-Premises et Microsoft Entra ID à travers des ports spécifiques. En voici quelques-uns :
Active Directory On-Premises et Microsoft Entra Connect
|
Protocole |
Ports |
|
DNS |
53 (TCP/UDP) |
|
Kerberos |
88 (TCP/UDP) |
|
MS-RPC |
135 (TCP) |
|
LDAP |
389 (TCP/UDP) |
|
SMB |
445 (TCP) |
|
LDAP/SSL |
636 (TCP/UDP) |
|
RPC |
49152- 65535 (Random high RPC Port) (TCP/UDP) |
Microsoft Entra Connect et Microsoft Entra ID
|
Protocole |
Ports |
|
HTTP |
80 (TCP/UDP) |
|
HTTPS |
443 (TCP/UDP) |
Les prérequis ainsi que les ports sont présents sur le site de Microsoft.
Prérequis : https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/how-to-connect-install-prerequisites.
Ports : https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/reference-connect-ports.
1. Installation
Pour procéder à l’installation de Microsoft Entra Connect, téléchargez le fichier d’installation depuis le centre d’administration de Microsoft Entra : https://entra.microsoft.com/#view/Microsoft_AAD_Connect_Provisioning/AADConnectMenuBlade/%7E/GetStarted...
Maintenance et dépannage
La maintenance de Microsoft Entra Connect doit faire partie des tâches régulières d’un administrateur. La consultation des logs et alertes, la vérification du statut des synchronisations ou encore la planification des mises à jour font partie des nombreuses actions à mener au quotidien.
Cette maintenance est très importante, car elle permettra de détecter certains problèmes et de mettre à jour l’outil afin d’optimiser ses performances.
1. Intervalle de synchronisation
L’intervalle de synchronisation est la fréquence à laquelle les modifications présentes sur l’Active Directory On-Premises sont répliquées dans le cloud. Lors de l’installation de Microsoft Entra Connect, la valeur par défaut est définie à 30 minutes.
Bien que cette valeur soit le plus souvent utilisée par les organisations, il est tout à fait possible de la modifier. Cependant, un tel changement doit être suffisamment réfléchi, car il peut provoquer certaines contraintes. En effet, un intervalle trop long peut engendrer des lots de synchronisation trop volumineux avec des changements qui ne seraient pas assez rapidement répliqués dans le cloud, ce qui peut empêcher les utilisateurs d’accéder à certaines ressources présentes en ligne.
Affichage des paramètres de configuration en PowerShell
Pour afficher les paramètres de configuration, la cmdlet à exécuter est Get-ADSyncScheduler.
Après l’exécution de la commande, voici le résultat obtenu :
Explication des paramètres
-
AllowedSyncCycleInterval : fréquence minimale entre les cycles de synchronisation ;
-
CurrentlyEffectiveSyncCycleInterval : intervalle de synchronisation actuellement configuré ;
-
CustomizedSyncCycleInterval : intervalle de synchronisation personnalisé (si le paramètre est vide, cela signifie qu’aucune valeur n’est configurée) ;
-
NextSyncCyclePolicyType : type de la prochaine synchronisation ;...
Conclusion
Microsoft Entra Connect est un élément central dans un environnement hybride, permettant de synchroniser les identités entre un annuaire local (On-Premise) et un environnement cloud. Cette synchronisation est primordiale pour garantir une gestion cohérente des identités et des accès dans un environnement hybride.
La bonne utilisation de cet outil repose non seulement sur la compréhension d’une synchronisation, mais aussi sur :
-
la vue d’ensemble de ce service pour en comprendre le fonctionnement ;
-
l’installation et la configuration pour en connaître les différentes fonctionnalités et possibilités ;
-
la maintenance pour être opérationnel en cas de problème, comme l’arrêt d’une synchronisation.
La mise en place d’une gouvernance sur Microsoft Entra Connect ainsi que l’application de bonnes pratiques sont primordiales, car elles permettent aux administrateurs de minimiser les interruptions de service.