Active Directory Federation Services (ADFS) est une solution d'Single Sign-On (SSO) créée par Microsoft. En tant que composant des systèmes d'exploitation Windows Server, il offre aux utilisateurs un accès authentifié aux applications qui ne sont pas capables d'utiliser l'authentification Windows intégrée (IWA) via Active Directory (AD).
Conçu pour offrir une flexibilité, ADFS donne aux organisations la possibilité de contrôler les comptes de leurs employés tout en simplifiant l'expérience utilisateur : les employés n'ont besoin de se souvenir que d'un seul ensemble d'identifiants pour accéder à plusieurs applications via SSO.
Comment fonctionne ADFS ?
ADFS gère l’authentification via un service de proxy hébergé entre Active Directory et l’application cible. Pour valider l’accès des utilisateurs, ce service utilise une approbation fédérée (également appelée « Federated Trust ») qui établit un lien entre ADFS et l’application cible. Ainsi, les utilisateurs peuvent se connecter à l’application fédérée via l’authentification unique, et ce sans avoir à vérifier leur identité directement dans l’application.
En règle générale, le processus d’authentification se compose des quatre étapes suivantes :
- L’utilisateur se rend sur une URL fournie par le service ADFS.
- Le service ADFS vérifie l’identité de l’utilisateur via le service Active Directory de l’entreprise.
- Une fois l’identité validée, le service ADFS fournit à l’utilisateur une demande d’authentification.
- Le navigateur de l’utilisateur transmet alors cette demande à l’application cible, qui accorde ou non l’accès en fonction du service Federated Trust qui a été créé.
Pourquoi les entreprises utilisent-elles ADFS ?
Dans un monde de plus en plus connecté, ADFS a été conçu afin de répondre aux défis d’authentification inhérents à Active Directory. En matière d’authentification moderne, Active Directory et l’authentification Windows intégrée sont limitées, et ne peuvent pas vérifier l’identité des utilisateurs accédant de façon externe aux applications intégrées à Active Directory. Cela est problématique, car de nos jours les employés doivent souvent se connecter à des applications qui ne sont pas détenues ou gérées par leur Active Directory.
ADFS permet de résoudre ce problème et de simplifier les authentifications tierces. Cependant, certains risques et inconvénients sont inhérents à cette méthode.
Le service ADFS, grâce à une solution polyvalente d’authentification via interface Web qui utilise les identifiants standard de l’organisation Active Directory, permet aux utilisateurs en télétravail d’accéder aux applications intégrées à Active Directory. Les employés d’une entreprise peuvent ainsi accéder aux applications d’une autre entreprise ne faisant pas partie de leur domaine Active Directory. Cette configuration concerne par exemple les entreprises partenaires ou les services modernes dans le cloud, qui font désormais partie intégrante du domaine informatique étendu de bon nombre d’entreprises.
Plus de 90 % des entreprises utilisent Active Directory, ce qui signifie que beaucoup utilisent également ADFS.
Quels sont les risques et les inconvénients ?
En raison de ses divers inconvénients, notamment son infrastructure invisible, son coût de maintenance et ses risques de sécurité, le service ADFS est loin d'être une solution d'authentification idéale.
Bien que le service ADFS soit une fonctionnalité gratuite de Windows Server, son utilisation requiert deux éléments : une licence Windows Server et un serveur où héberger ce service. Cela peut s’avérer coûteux pour une entreprise. En effet, depuis le lancement de Windows Server 2016, il faut désormais disposer d’une licence pour chaque processeur, ce qui a conduit à une augmentation des tarifs.
Des frais de maintenance mal anticipés
Outre les dépenses liées directement à l’utilisation du service ADFS, les entreprises doivent également prendre en compte les coûts opérationnels inhérents à la gestion et la maintenance de ce service. En effet, les approbations entre les domaines Active Directory doivent être entretenus par des employés très qualifiés et les serveurs ADFS doivent être régulièrement patchés, mis à jour et sauvegardés. De plus, en raison de son importance, il est essentiel de veiller à ce que le service ADFS ne souffre d’aucune interruption. Selon sa configuration, le service ADFS peut s’avérer plus coûteux que prévu, et ce aussi bien en raison de facteurs directs, tels que l’augmentation des besoins en infrastructure, que de facteurs indirects, comme la complexification des processus.
Une complexité généralisée
Mettre en service, configurer et entretenir une solution ADFS n’est pas une mince affaire. De plus, avec ce service, le processus d’ajout d’applications est chronophage et très technique, ce qui peut nuire à l’agilité de votre structure informatique.
Des risques de sécurité
Dans sa version clé en main, une installation standard du service ADFS n'offre pas une sécurité optimale. Afin de le sécuriser correctement, il existe de nombreuses étapes que l'équipe IT doit effectuer. De plus, comme ADFS s'exécute sur un serveur Windows, celui-ci doit également être renforcé et sécurisé pour garantir que la solution n'est pas à risque.
Service ADFS vs gestion des identités dans le cloud
Bien entendu, ADFS offre certains avantages qui en font une option toute trouvée pour bon nombre d’entreprises en quête d’une solution de fédération des identités. Cependant, cela ne doit pas pour autant occulter ses inconvénients.
Les services d'identité tiers basés sur le cloud peuvent posséder des fonctionnalités qui correspondent à celles d'ADFS, voire les dépassent dans certains cas. Les solutions d'identité cloud sont plus rentables en raison des frais généraux d'exploitation moins élevés nécessaires à leur exécution ; au-delà de cela, elles offrent une haute disponibilité intégrée et une intégration transparente avec des centaines d'applications. Okta fournit des solutions d'identité sécurisées basées sur le cloud pour ses utilisateurs : des solutions qui non seulement résoudront les problèmes d'authentification, mais qui permettront également de garder la sécurité constamment à l'esprit.
Apprenez-en davantage sur la façon de et trouvez les solutions d'authentification adaptées à votre entreprise.
