Ressources Guides de solutions

Sécurisation de l'identité pour Office 365

Aperçu

Microsoft Office 365 est un choix populaire lorsque vous cherchez à externaliser les coûts de gestion et d'infrastructure liés à l'exécution applications courantes telles que la messagerie électronique et d'autres outils de productivité. Office 365 permet l’utilisation d’un modèle d’identité fédéré qui vous donne un contrôle total sur l’identité d’un utilisateur, y compris ses hachages de mot de passe.

L’utilisation de BIG-IP Access Policy Manager (APM) vous permet de fournir une gestion sécurisée et fédérée des identités à partir de votre annuaire Active Directory existant vers Office 365, sans la complexité des couches supplémentaires de serveurs Active Directory Federation Services (ADFS) et de serveurs proxy. Vous pouvez utiliser de nombreuses fonctionnalités de sécurité APM améliorées, telles que les restrictions géographiques et l’authentification multifacteur, pour protéger davantage l’accès à Office 365.

Considérations

Une fois que vous avez décidé de migrer les utilisateurs vers Office 365, vous devrez décider d’un modèle de connexion. De nombreuses grandes organisations choisissent un modèle d’identité fédérée, afin de pouvoir conserver un contrôle interne complet des hachages de mots de passe.

Dans le modèle d’identité fédérée, Office 365 utilise Security Access Markup Language (SAML) pour authentifier les utilisateurs à l’aide de votre service Active Directory existant (le fournisseur d’identité ou IdP). Le choix de la connexion fédérée nécessite que vous autorisiez Office 365 à accéder à vos serveurs Active Directory et à traduire les demandes d’authentification SAML.

Une façon d’y parvenir consiste à utiliser les serveurs Microsoft Active Directory Federation Services (ADFS) et les serveurs proxy ADFS pour gérer l’accès sécurisé et agir en tant qu’IdP SAML.

Mais il existe un moyen plus simple.

Avec BIG-IP Local Traffic Manager (LTM) et Access Policy Manager (APM), vous pouvez éliminer soit uniquement les serveurs proxy ADFS, soit les serveurs proxy ADFS et les serveurs ADFS eux-mêmes. Dans les deux cas, les politiques de protection de sécurité avancées proposées par BIG-IP (fonctionnalités de pare-feu, restrictions géographiques, de réputation, pré-authentification et autres) peuvent être utilisées pour protéger votre infrastructure d'annuaire clé.

Le remplacement des serveurs proxy ADFS vous offre une haute disponibilité ainsi que des services de pré-authentification pour les serveurs ADFS, fournis par une plate-forme sécurisée et certifiée par pare-feu .

Le remplacement des serveurs proxy ADFS et des serveurs ADFS eux-mêmes offre les mêmes avantages en matière de sécurité et de pré-authentification, et simplifie l'infrastructure.

Les clients peuvent être pré-authentifiés avec des contrôles avancés tels que l'authentification à deux facteurs, les certificats clients, etc. Vous pouvez également déployer des contrôles de point de terminaison, tels que l'emplacement et la réputation.

Le déploiement de BIG-IP pour protéger ou remplacer les serveurs ADFS peut être grandement simplifié en utilisant le modèle iApp F5 ADFS . Les modèles iApp transforment la création de configurations avancées en un processus simple, piloté par un assistant, qui génère une configuration testée et vérifiée.

Une fois que vous disposez d'un IdP SAML fonctionnel, vous pouvez étendre cette fédération d'identité à de nombreuses autres applications et services compatibles SAML, vous offrant ainsi une authentification unique sur de nombreuses autres applications SaaS basées sur le Web.

Étapes

Tout d’abord, vous déciderez quel modèle de déploiement choisir. Vos options sont entièrement décrites dans la série d’articles F5 sur ADFS.

1. Une fois que vous avez choisi un modèle de déploiement qui répond à vos besoins, lisez le Guide de déploiement ADFS et téléchargez le modèle iApp .

2. Assurez-vous que vous disposez des informations d’identification et des autorisations nécessaires pour apporter des modifications de configuration à vos serveurs Active Directory.

3. Déployez vos systèmes BIG-IP et testez la haute disponibilité, la connectivité réseau, etc.

4. Exécutez le modèle iApp et entrez les informations requises. Vous disposez maintenant d'une installation fonctionnelle de base.

Diagramme des systèmes BIG-IP
Résultat

Accès simplifié, sécurisé et géré pour les utilisateurs d’Office 365.

Si vous souhaitez découvrir l'authentification avancée, lisez BIG-IP Access Policy Manager Policy Manager : Authentification et authentification unique .