Comment configurer l’authentification unique (SSO) entre Microsoft Office 365 et Active Directory

Comme les organisations l’ont découvert depuis longtemps, les mots de passe à eux seuls passent mal à l’échelle. L’authentification unique (SSO) simplifie l’authentification des utilisateurs en leur permettant d’accéder à plusieurs applications à l’aide d’un seul ensemble d’identifiants. L’un des cas d’usage les plus courants aujourd’hui est l’authentification unique à Microsoft 365.

Adopter le SSO devrait sembler évident : c’est tellement pratique.

Mais dans la réalité, la mise en œuvre du SSO se complique presque toujours dès les premières étapes.

Pourquoi ?

La première décision consiste à déterminer où seront situées la plateforme SSO et l’infrastructure d’identité sur laquelle elle repose. Les responsables IT ont généralement deux options :

1. Utiliser un service SSO cloud, basé sur une plateforme d’identité dédiée. Cela peut être fourni par divers éditeurs, y compris Microsoft Azure.

2. Mettre en œuvre le SSO à partir d’un système d’identité existant, qui dans la plupart des cas est Microsoft Active Directory (AD), hébergé localement.

En principe, une plateforme SSO cloud simplifie l’infrastructure : le fournisseur héberge à la fois la couche SSO et le système d’identité auquel les utilisateurs s’authentifient.

Cela facilite la prise en charge de nombreuses applications cloud via SAML 2.0 et d’autres protocoles. Les organisations n’ont plus besoin de maintenir une infrastructure sur site, ce qui libère du temps pour les équipes IT.

• création d’un point de défaillance unique,

• coûts récurrents potentiellement élevés,

• risques de dépendance fournisseur (vendor lock-in),

• exposition accrue des données d’identité à un tiers.

L’attaque de 2023 menée par Scattered Spider contre le fournisseur SSO Okta a bien démontré que la sécurité de ces plateformes ne peut plus être considérée comme acquise.

Autre limite : le SSO cloud ne prend pas toujours en charge les applications locales ou héritées.

Le principal avantage est évident : les organisations peuvent s’appuyer sur l’infrastructure AD dans laquelle elles ont investi pendant des années. En utilisant AD comme référentiel d’identité, elles conservent un contrôle total sur leur infrastructure SSO.

C’est essentiel pour les secteurs soumis à des obligations strictes de conformité.

Toutes les organisations utilisent aujourd’hui un mélange d’applications internes et cloud. La question n’est donc pas si elles doivent être intégrées, mais comment.

On pourrait penser que cela pousse naturellement vers un SSO cloud, mais beaucoup d’organisations privilégient encore la maîtrise de leur infrastructure. Leur défi est donc de mettre en place un SSO local sans complexité excessive.

Le SSO doit impérativement prendre en charge Microsoft 365 et les applications Azure.

En théorie, utiliser l’infrastructure AD déjà en place devrait être une solution idéale.
Mais la réalité est plus compliquée.

Certains choisissent d'utiliser AD Federation Services (AD FS), la solution SSO on-premise proposée par Microsoft.

Cependant, AD FS est complexe, composé de plusieurs éléments nécessitant chacun leur propre serveur.

Cette complexité augmente les coûts d’implémentation, de maintenance et de gestion.

N’oublions pas que l’objectif du SSO est de supprimer les frictions et les pertes de productivité liées à la gestion des accès.

En pratique, AD FS fait souvent l’inverse :

• il augmente la charge de travail,

• il manque de fonctionnalités essentielles courantes dans AD (partage de fichiers, impression via un serveur d’impression, RDP dans la plupart des configurations),

• et surtout, il prend en charge un éventail très limité de méthodes MFA, ce qui est problématique.

Puisque le SSO ouvre l’accès à une infrastructure centrée sur AD, une cible privilégiée pour les attaquants, il est impératif que la MFA soit robuste, flexible et configurable.

Les organisations doivent donc pouvoir combiner SSO et MFA sans dégrader l’expérience utilisateur, ce qui implique :

• une MFA granulaire,

• une visibilité complète sur les usages d’accès.

Pour éliminer la complexité du SSO sur site, nous avons conçu UserLock Active Directory SSO afin de prendre en charge :

• les applications d’entreprise (Salesforce, Slack, Zendesk, Dropbox, etc.),

• Microsoft 365,

• et les applications personnalisées.

Pour Microsoft 365, UserLock vous permet d’adopter le SSO tout en ajoutant les couches de sécurité indispensables :

• Gestion de sessions

• Authentification multifacteur (MFA)

• Contrôles d’accès contextuels

UserLock s’intègre directement à votre annuaire AD existant : vous n’avez pas besoin de maintenir une identité cloud supplémentaire pour le SaaS.

• Mise en place simplifiée du SSO sur site,

• Sécurité renforcée,

• Intégration complète Microsoft 365 et SaaS sans perte de contrôle sur les comptes AD,

• Surface d’attaque limitée à votre infrastructure locale.

Du point de vue utilisateur, rien ne change :
Ils peuvent se connecter à leurs applications internes, SaaS et Microsoft en utilisant uniquement leurs identifiants AD, même à distance via VPN.

Si la MFA est requise, sa granularité garantit une expérience fluide.

La configuration du SSO Microsoft 365 avec UserLock se déroule en trois étapes :

1. Ajouter Microsoft 365 comme fournisseur.

2. Configurer les paramètres SSO via l’outil Microsoft 365 d’IS Decisions.

3. Connecter les domaines AD locaux à Azure via l’assistant IS Decisions ou via Entra Connect.

UserLock et Microsoft 365 communiquent via une application dédiée :

• Lancer l’application de configuration Microsoft 365.

• Sélectionner le domaine UserLock SSO à connecter.

• Choisir le domaine AD à fédérer avec Microsoft 365.

• Synchroniser les utilisateurs AD via l’assistant UserLock (petits environnements) ou Azure AD Connect (environnements plus vastes).

Un guide détaillé est disponible : comment configurer Microsoft 365 pour UserLock SSO.

De nombreuses organisations adoptent des environnements hybrides.
Mais comme les cyberattaques récentes l’ont montré, les fournisseurs d’identité cloud qui stockent vos identifiants ne sont pas infaillibles.

UserLock SSO est une alternative idéale pour les organisations qui souhaitent, ou doivent, maintenir la gestion des identités en interne.

• Fabricant français : besoin de flexibilité MFA, supervision VPN et protection Microsoft 365 sans SMS non fiable. UserLock a permis d’intégrer SSO, MFA et supervision dans une plateforme unique.

• Entreprise énergétique canadienne : sécurisation du réseau OT, nécessité de MFA entre IT/OT, solutions cloud trop coûteuses/complexes. UserLock a apporté MFA + SSO via l’infrastructure AD existante.