L’identité et le Cloud

L’identité et le Cloud : Introduction

Votre environnement Active Directory est un véritable fouillis. Quinze ans de meilleures pratiques changeantes, de nouvelles fonctionnalités, de forêts de ressources et d’approbations de forêts recueillies au fil des fusions et scissions d’entreprises… vous voilà maintenant aux prises avec un environnement complexe, où les utilisateurs sont dupliqués et la gestion est disparate.

Au loin, vous apercevez le Cloud, ce château scintillant des services à prix fixe. Vous vous aventurez dans sa direction, mais on vous arrête à la grille d’entrée. Le gardien lève un sourcil, regarde par-dessus votre épaule et, tandis que vous regardez aussi derrière vous, il souffle le mot : « Identité ».

Ce scénario peut paraître dramatique, mais beaucoup de grandes entreprises peinent à franchir cette « grille d’entrée ». Si le problème de l’identité n’est pas résolu, vous devrez traverser les montages pour arriver au Cloud.

Les services Cloud sont basés sur une structure d’identité horizontale, avec des données nettoyées. Si vous tentez de transmettre des données Active Directory mal gérées vers le Cloud, vous allez trébucher. Et si le service Cloud que vous mettez en œuvre est essentiel à vos affaires, vous risquez même de tomber.

Il m’est déjà arrivé, en travaillant avec une très grande entreprise, de voir une migration vers Exchange Online Protection (EOP) mal tourner en raison de problèmes liés au nettoyage des données Active Directory. Active Directory Connect (anciennement DirSync) ne synchronise pas les données Active Directory sur votre site directement dans le Cloud. Office 365 ajoutera automatiquement votre nom d’utilisateur principal (UPN) en tant qu’adresse courriel valide pour chaque utilisateur synchronisé. Étant donné qu’EOP utilise les données Azure Active Directory comme source, cette entreprise a découvert que les courriels destinés à un utilisateur étaient envoyés à un autre utilisateur dont l’UPN correspondait à l’adresse courriel. Par conséquent, environ 500 utilisateurs ne recevaient pas leurs courriels externes, il n’était pas envisageable de faire un retour arrière, et la taille importante de l’environnement occasionnait de longs délais entre les synchronisations. Il a fallu plusieurs jours avant que la société ne parvienne à résoudre tous les problèmes.

Assurez-vous que cette situation ne vous arrive pas. Ce billet porte sur le nettoyage des données et le cycle de vie des objets dans Active Directory. Vous y retrouverez aussi des solutions pratiques qui vous permettront de passer au Cloud en minimisant les tracas.

L’identité et le Cloud : Visez plus haut

Active Directory s’est beaucoup développé depuis 2000. Les meilleures pratiques ont changé, à mesure que les fonctionnalités et options de sécurité ont évolué. Avant de commencer votre nettoyage, évaluez la conception actuelle de votre système et déterminez si des changements majeurs s’imposent avant de vous concentrer sur les détails.

Optez pour un modèle à forêt unique et à domaine unique

Dans un environnement Active Directory moderne, il y a très peu de raisons d’avoir plusieurs domaines, et encore moins de raisons d’avoir plusieurs forêts. À une certaine époque, il était nécessaire d’avoir un nouveau domaine pour une politique de mot de passe différente, et les mises à jour de schéma étaient si intimidantes qu’une forêt de ressources s’avérait essentielle pour un déploiement d’Exchange. Cette époque est révolue. Désormais, l’idéal est d’avoir un environnement simple à gérer, avec le moins d’administrateurs possible.

Il n’y a que deux raisons pour lesquelles vous pourriez envisager un modèle à forêts ou à domaines multiples :

  1. Limites de sécurité strictes : La limite de sécurité réelle d’Active Directory se situe au niveau du domaine. S’il est absolument nécessaire que certaines de vos ressources ne soient pas affectées par les administrateurs externes, vous aurez besoin d’un domaine séparé.
  2. Liens de réplication: Si vous avez des liens réseau qui remontent aux années 80 – songez à un système Satlink sur un navire en haute mer ou dans une mine au cœur dela jungle–, il se peut que vous ayez besoin d’un autre domaine. Lisez cet article détaillé , sortez votre calculatrice et déterminez ce que vous êtes en mesure de faire.

Dans le passé, vous auriez eu besoin d’une implantation de FIM personnalisée et/ou d’une forêt AD intermédiaire simplement pour utiliser un environnement à forêts multiples avec Office 365. Désormais, Active Directory Connect prend en charge la réplication de forêts multiples, mais ce modèle comporte son lot de défis, notamment les noms d’utilisateurs qui entrent en conflit et les duplications d’identités des usagers. Si vous ne correspondez pas à l’un des scénarios ci-dessus (ou aux deux), sortez votre trousse de migration Active Directory et préparez-vous à rationaliser..

Utilisez un nom de forêt publiquement routable

Le DNS de votre forêt Active Directory est-il nommé Corp.Local? Il faut que ça change! Depuis 2007, Microsoft recommande d’utiliser un domaine publiquement routable (et de propriété publique) pour votre DNS. Les problèmes associés à ce type de nom de forêt sont nombreux, et maintenant que les domaines de premier niveau sont vendus au plus offrant, quelqu’un d’autre pourrait posséder votre domaine et détourner votre trafic d’authentification vers ses propres serveurs, accidentellement ou intentionnellement. Le Cloud vous offre la mobilité, mais la mobilité augmente le risque que quelqu’un d’autre puisse contrôler la passerelle entre vos utilisateurs et vos serveurs. Si vous choisissez de concevoir un nouvel environnement Active Directory, assurez-vous à tout prix d’avoir un nom de forêt public et publiquement routable.

Utilisez une adresse courriel pour ouvrir une session

Bien qu’il soit perçu comme un format d’ancienne génération, DOMAIN\Username continue d’être utilisé en tant que format d’ouverture de session pour Outlook sur le Web (anciennement OWA; ), les postes de travail et de nombreuses applications héritées. Avec l’avènement du Cloud, il est temps de délaisser le format DOMAIN\Username. Utilisez les adresses courriel de vos utilisateurs pour les valeurs UPN de ces derniers, et encouragez le format UPN lorsque possible. Les adresses courriel sont déjà uniques dans le monde, alors elles représentent un choix sécuritaire.

Attribuez à chaque utilisateur un seul objet d’utilisateur Active Directory

Le problème des identités dupliquées peut s’avérer difficile à résoudre, mais cette tâche est nécessaire. Les comptes d’utilisateurs représentent des coûts non négligeables dans un scénario SaaS (« software as a service »). En effet, pour chaque utilisateur dupliqué, vous paierez une dizaine de dollars dans le vide chaque mois. Tâchez donc de régler le problème.

Définissez des normes pour vos données Active Directory

Si vous désirez profiter de la meilleure expérience possible avec le Cloud, documentez les façons dont vos données Active Directory doivent être utilisées. Tenez compte des facteurs suivants :

  • Données d’attributs : Voulez-vous que votre liste d’adresses globale (GAL) contienne un numéro de téléphone dans le format de numérotation international? Vous aurez les données que vous méritez. Documentez les exigences, faites des recherches dans vos données et corrigez les problèmes.
  • Attributs personnalisés : Utilisez-vous extensionAttribute15 pour filtrer les utilisateurs d’Office 365? Documentez cette utilisation.
  • Format du nom d’utilisateur : Pour l’attribution des noms, établissez une norme qui évitera les doublons.
  • Structure horizontale: N’oubliez pas que les unités d’organisation ne devraient servir que pour gerer les strategies de groupes ou la delegation. La plupart de vos unités d’organisation ne sont pas vraiment essentielles.

Automatisez et supprimez les délégations

La gestion des identités a peut-être perdu de son lustre, mais elle est plus importante que jamais. Si vous devez ouvrir votre console Utilisateurs et ordinateurs Active Directory chaque fois que quelqu’un doit mettre à jour son numéro de téléphone ou accéder à un fichier, vous n’avez pas la bonne approche.

L’automatisation constitue la seule manière de normaliser et de nettoyer l’environnement des identités des utilisateurs. Les suites haut de gamme pour la gestion de l’identité sont parfois coûteuses, mais certaines options (quasi) gratuites vous sont également offertes.

Une fois que vous avez automatisé la majorité de vos demandes d’accès, vous déléguerez l’accès à moins de gens. Moins vous avez d’administrateurs, moins vous aurez de changements non gérés et, conséquemment, plus votre sécurité sera élevée. Le résultat? Un environnement mieux nettoyé.

L’identité et le Cloud : le cycle de vie de l’identité

Les utilisateurs « naissent » dans l’univers des données et portent des identifiants d’employés, des numéros de téléphone, des seconds prénoms et des titres. Ils ont accès aux ressources, ils changent de postes et de bureaux… et, par accident, ils appuient sur le gros bouton rouge qui met le centre de données en panne. Ils sont alors congédiés, puis vous devez chercher furieusement le bouton « supprimer » pour révoquer leur accès avant que les choses n’empirent. Ce scénario, quoique rocambolesque, illustre le cycle de vie des identités.

Création d’utilisateurs

La création d’utilisateurs se produit lorsque la première ressource de TI est attribuée, soit le compte d’utilisateur. Cette étape ne devrait jamais se faire manuellement. Le taux moyen de rotation des employés se situe à environ 10%, et la création manuelle demande généralement deux heures par utilisateur. Selon des calculs sommaires, l’exécution de ce travail manuellement nécessite l’embauche à temps plein d’un administrateur des TI pour chaque tranche de 10 000 employés. Une solution d’identité bien implantée éliminera les coûts de TI et s’autofinancera.

Pour le Cloud, chaque utilisateur créé comporte un coût mensuel direct; au sein des grandes compagnies, une telle individualisation facilite la compréhension des coûts associés à chaque utilisateur. Les solutions de gestion de l’identité permettent généralement de faire le suivi des demandes, avec l’option d’un modèle de rétrofacturation. Ainsi, les unités de votre entreprise peuvent comptabiliser les coûts réels d’un employé, y compris les licences, la gestion des TI, etc.

Opérations

L’octroi d’accès aux ressources réseau et la mise à jour des renseignements des utilisateurs sont des tâches fastidieuses. Déléguez et automatisez celles-ci autant que possible. En utilisant des solutions en libre-service, c’est aux utilisateurs finaux que revient le travail.

Suppression des utilisateurs

La révocation de l’accès à des utilisateurs est essentielle à la sécurité de votre environnement. Ceci vaut particulièrement pour les services Cloud, car dans bien des cas, les utilisateurs peuvent accéder à ces services à partir de n’importe où. En outre, le nombre d’utilisateurs définit généralement le montant que vous payez.

En ce qui a trait aux modèles d’authentification modernes, il importe de savoir que les identités risquent d’être utilisées après la suppression des comptes d’utilisateurs. Un employé malveillant connecté à son compte courriel Office 365 sur un téléphone mobile peut y avoir accès pendant les huit heures suivant la désactivation de son compte dans Active Directory. Il n’est pas possible d’invalider un jeton SAML actif, mais vous pouvez réduire la période d’expiration du jeton SAML en manipulant la durée de vie du jeton web SSO et la durée de vie du jeton de la partie dépendante sur le serveur ADFS. Rappelez-vous de le faire avant de congédier un employé mal intentionné.

Lorsque vous supprimez un utilisateur du Cloud, la plupart du temps, ses données disparaîtront aussi. Testez vos systèmes SaaS, et élaborez un plan pour conserver les données d’utilisateurs que vous ne voulez pas perdre dans le vaste univers numérique.

Pour Office 365, songez à ce que vous devrez faire avec la boîte de réception de l’utilisateur une fois que son compte est supprimé et que vous avez repris possession de la licence. Après la période de 30 jours durant laquelle une boîte de réception supprimée est récupérable, cette dernière disparaîtra, à moins d’activer la mise en attente pour litiges ou de la convertir en boîte de réception partagée.

L’identité et le Cloud : nettoyage des données Active Directory

Afin d’entrer dans le Cloud – et de prévenir les problèmes une fois que vous y êtes – vous devrez gérer les utilisateurs tout au long de leur cycle de vie pour vous assurer que vos données sont bien nettoyées et qu’elles le restent.

Nettoyage des données Active Directory

Dans votre projet de nettoyage de données Active Directory, les objets périmés sont un des éléments les plus simples et évidents à prendre en charge. Les outils d’entreprise pour l’analyse de données et la production de rapports comportent généralement des fonctions intégrées pour cette tâche, mais avec PowerShell, vous pourriez assembler une solution qui répond adéquatement à vos besoins.

Restructuration

Examinez la structure de vos unités d’organisation (OU). Avez-vous plus de trois niveaux? Si oui, il y a probablement des OU dont vous n’avez pas besoin. Suivez le principe KISS : « Keep it simple, stupid ». Une nouvelle unité d’organisation est nécessaire uniquement lorsque vous voulez faire une des deux choses suivantes :

  1. Attribuer une politique de groupe à un sous-ensemble d’utilisateurs/ordinateurs seulement
  2. Déléguer des permissions à un sous-ensemble d’objets seulement

Si vous avez des OU qui existent pour différents services ou régions géographiques, il y a de bonnes chances que votre structure soit plus compliquée que nécessaire. Plus la structure de vos unités d’organisation est simple, plus il sera facile de comprendre où chaque objet devrait aller.

Gestion de l’identité

Si vous ne l’avez pas déjà fait, vous devriez sérieusement examiner vos options en ce qui a trait aux produits de gestion de l’identité. Si votre système de ressources humaines pouvait automatiquement créer et mettre à jour un objet d’utilisateur conforme à vos normes, vous ne liriez pas cet article. Après tout, la conformité aux normes constitue la promesse de la gestion de l’identité.

J’ai vu quelques-uns de ces produits au fil de ma carrière : Dell One Identity Manager, Forefront Identity Manager, NetIQ Identity Manager, Tivoli Identity Manager. Le choix d’un produit répondant à vos besoins précis est un sujet qui dépasse le propos de ce billet, mais si vous n’avez pas examiné les possibilités de ces produits, vous avez intérêt à le faire.

Même si vous n’optez pas pour un produit haut de gamme, écrivez au moins un script PowerShell afin que vous utilisateurs soient créés d’une manière cohérente.

Une autre option à envisager est l’Agent de script Exchange, qui est disponible avec votre déploiement Exchange sur site. L’Agent de script vous permet d’ajouter une validation supplémentaire avant l’exécution des cmdlets à l’aide de l’environnement de ligne de commande Exchange Management Shell ou de la console de gestion Exchange (EMC). Vous pouvez l’utiliser pour appliquer les normes de données Active Directory lorsque vos administrateurs créent les comptes d’utilisateurs.

Audit

L’ensemble d’outils d’audit standard, basé sur un journal d’événements, fera l’affaire dans un environnement de taille modeste. Songez à utiliser des services de collecte des journaux d’événements afin d’agréger vos journaux dans une console centralisée. Beaucoup de fournisseurs offrent également des outils d’audit, donc étudiez les options qui s’offrent à vous. En sachant où et quand des changements sont effectués, votre équipe sera bien informée, et vous serez en mesure de gérer efficacement les modifications non planifiées.

Le nettoyage des données Active Directory représente un défi constant. Plus vos processus sont automatisés, mieux votre environnement sera nettoyé. J’espère que ce billet vous a été utile. N’hésitez pas à me faire part de vos commentaires.




Prenez contact avec nous.

Partagez votre problème informatique avec nous, nous pouvons vous aider à le résoudre !