Premiers pas sur la Planète Okta


 

Tables des illustrations

Figure 1 : les 7125 applications possibles gérées par Okta    2

Figure 2 : Intégration de l’agent dans l’environnement Okta    3

Figure 3: l’agent Okta coté Contrôleur de Domaine    4

Figure 5 : Choix des OU dans la synchronisation    5

Figure 4 : Première Importation AD dans le tenant Okta    5

 

  1. Introduction

    Depuis plusieurs années, les différents projets que j’ai conduit en tant qu’architecte m’ont amené à me poser bon nombre de questions sur les meilleures stratégies à adopter sur les environnements hybrides de Microsoft pour d’une part, diminuer les risques de rupture de production et d’autre part, être conforme aux exigences de sécurité et de confidentialité des entreprises.

    La plupart des entreprises envisageant de migrer vers l’environnement Office 365 émettent quelques restrictions sur la synchronisation de leurs annuaires Active Directory vers l’environnement Azure Active Directory, d’autres le font sans réticence aucune. La quasi-totalité ont recours à l’outil fourni gratuitement par Microsoft connu sous le nom d’Azure Ad Connect.

    Pour l’avoir installé, configurer et parfois maintenu, l’outils Azure Ad Connect (AADC) est une solution simple et efficace qui n’a pour seul but que de synchroniser vos annuaires Active Directory vers l’environnement Azure. Que se passerait -il si votre entreprise avait fait un choix différent ?

  • Auriez-vous les mêmes fonctionnalités ?
  • Seriez-vous supporté par Microsoft ?
  • Serez-vous en mesure de mieux contrôler votre sécurité ?
  1. Okta en quelques mots

    Bon, je ne vais pas vous le cacher en tant qu’architecte Microsoft, ma connaissance de la planète Okta est plutôt récente. Cependant, m’étant fait aidé par des personnes ayant une expérience significative sur les solutions Okta, j’ai pu rapidement découvrir leur univers, je dirais plutôt séduisant.

    Afin d’éviter toutes ambigüité, la solution Okta ne serait se limiter à une simple synchronisation d’annuaire Active Directory vers un Tenant 0365. L’environnement OKta est beaucoup plus riche que cela et permet d’interconnecter une multitude, de solutions Saas , d’annuaires locaux permettant de faire de la consolidation et de fournir un service d’authentification (IDP) comme peuvent le faire Ping Federate ou encore Microsoft ADFS. Vous trouverez ci-dessous un exemple des 7125 intégrations possibles


    Figure 1 : les 7125 applications possibles gérées par Okta

    Des modules complémentaires permettent également de fournir un service de conformité de périphériques pour vérifier par exemple que le périphérique à l’origine de la demande d’authentification répond bien aux exigences de conformité de l’entreprise. Un équivalent du moins sur le papier de Microsoft Intune.

    La grande force de cette solution réside dans sa simplicité de déploiement, sa modernité et dans ces capacités d’intégration avec une multitude de fournisseurs de services. On est très loin de la complexité d’un déploiement local d’un environnement ADFS ou Ping Federate.

  2. L’environnement et l’objectif du Test

    Le but du test est de vérifier que l’on puisse correctement utiliser la solution OKta pour synchroniser son environnement On Premise (Skype, Exchange, Active Directory) et travailler en mode hybride.

    Ayant pu bénéficier :

  • D’un Tenant Okta
  • D’un environnement On Premise Active Directory, Exchange 2016 et Skype 2015
  • D’Un Tenant Office 365

Je disposais de l’ensemble des éléments pour pouvoir évaluer l’impact de ne pas, pour une fois, utiliser Azure Ad Connect.

  1. Première synchronisation

    En quelques mots l’installation de la synchronisation de mon environnement Active Directory vers le Tenant Okta s’est fait extrêmement rapidement.

    Le processus d’intégration extrêmement bien guidé, d’un annuaire Active Directory local vers le Tenant Okta se fait en quelques clics et passe naturellement par l’installation d’un agent que vous pouvez doubler voir triplez sur des serveurs de votre domaine. J’ai personnellement installé cet agent sur un contrôleur de domaine pour plus de facilité.

    L’assistant Web est assez efficace, et vous guidera très simplement dans cette première étape. Une fois installé l’interface Web de Okta vous permettre de visualiser le fonctionnement des agents de synchronisation.


    Figure 2 : Intégration de l’agent dans l’environnement Okta*

    Coté On Premise, l’agent OKTA utilise par défaut un compte AD qui ne possède que les droits de lecture.


    Figure 3: l’agent Okta coté Contrôleur de Domaine

    Comme Azure Ad Connect, le processus de Synchronisation vous permet de choisir depuis quelle Organisation Unit vous voulez synchronisez votre annuaire.

     

     


    Figure 4 : Choix des OU dans la synchronisation

    C’est valable pour les utilisateurs mais aussi pour les groupes.

    Une fois réalisé vous allez pouvoir faire votre première importation vers votre tenant comme le montre l’écran suivant :


    Figure 5 : Première Importation AD dans le tenant Okta

    Nos deux utilisateurs se retrouvent donc comme utilisateurs assignés dans Okta


     

  2. Etablissement de fédération

     

    Deux méthodes d’ouverture de session pour Microsoft Office 365 sont disponibles dans Okta : Secure Web Authentication (SWA) et WS-Federation (WS-Fed

    La dernière méthode celle que j’ai utilisé est la méthode la plus sûre.

  • SWA s’appuie sur un nom d’utilisateur et un mot de passe pour les informations d’identification de sécurité, qui peuvent être sélectionnés par l’utilisateur final ou attribués par l’administrateur.
  • WS-Federation est une spécification qui définit les mécanismes de transfert des informations d’identité à l’aide de messages SOAP chiffrés. Elle ajoute un niveau de sécurité supplémentaire. WS-Federation ne nécessite pas de mot de passe distinct pour Office 365 ; par conséquent, Okta n’a pas besoin de synchroniser les mots de passe des utilisateurs lorsque WS-Federation est utilisé.

Si Microsoft Office 365 est déjà configuré, sélectionnez Applications dans le tableau de bord de l’administrateur, localisez et sélectionnez l’application Microsoft Office 365, puis sélectionnez l’onglet Connexion.

Si vous configurez Microsoft Office 365 pour la première fois, accédez à l’onglet Sign On en cliquant sur Next dans l’onglet General Settings.

Dans le champ SIGN ON METHODS, cochez le bouton radio WS-Federation.


Figure 6 : Ws-Federation pour Office 365

Si vous choisissez de laisser Okta configurer WS-Federation automatiquement ce que j’ai fait, entrez votre nom d’utilisateur et votre mot de passe Microsoft 365 Admin.

Et cliquez sur Save.

La fédération est réalisée pour vous directement. Simple , Rapide et efficace.

Une fois réalisé pour pouvez définir une application de Type Office 365 et affectez l’utilisateur en question dans l’azure AD et lui affecter une licence E1, E3 etc..

C’est très efficace et très rapide. Mais ….. car il y a un mais. Je me suis aperçu que l’affectation de la licence Exchange générait la création d’une boite aux lettres alors même que l’utilisateur en question en possédait une OnPremise. L’objet créé aurait dû être un mail User.

Avais-je raté quelque chose… En fait oui

En recherchant des documents sur Okta et sur Office je suis tombé sur cette information :

Okta ne prend pas en compte les environnements Exchange Hybride !


Bon le « currently » peut laisser penser qu’il pourrait l’être un jour. On va demander à Okta directement.

Et moi qui me fassait une joie de pour une fois ne pas utiliser Azure AD connect, même si in fine cette solution gratuite est extrêmement fiable et adaptée aux environnements Hybride.

 

 


 

Votre commentaire

Choisissez une méthode de connexion pour poster votre commentaire:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s