Qu'est-ce qu'un ADFS ?
Les services de fédération Active Directory (généralement désignés sous l'acronyme ADFS) sont une solution d'authentification unique (SSO) conçue par Microsoft. Ces services, qui sont un composant des systèmes d'exploitation Windows Server, permettent aux utilisateurs de s'authentifier via Active Directory (AD) lorsqu'ils souhaitent accéder à une application qui ne peut pas utiliser l'authentification Windows intégrée (IWA).
Conçu dans un souci de praticité, ADFS permet aux entreprises de simplifier l'expérience utilisateur tout en gardant le contrôle sur les comptes de leurs employés, qui, grâce à l'authentification unique, peuvent utiliser les mêmes identifiants pour accéder à diverses applications.
Comment fonctionne ADFS ?
ADFS gère l'authentification via un service de proxy hébergé entre Active Directory et l'application cible. Pour valider l'accès des utilisateurs, ce service utilise une approbation fédérée (également appelée « Federated Trust ») qui établit un lien entre ADFS et l'application cible. Ainsi, les utilisateurs peuvent se connecter à l'application fédérée via l'authentification unique, et ce sans avoir à vérifier leur identité directement dans l'application.
En règle générale, le processus d'authentification se compose des quatre étapes suivantes :
- L'utilisateur se rend sur une URL fournie par le service ADFS.
- Le service ADFS vérifie l'identité de l'utilisateur via le service Active Directory de l'entreprise.
- Une fois l'identité validée, le service ADFS fournit à l'utilisateur une demande d'authentification.
- Le navigateur de l'utilisateur transmet alors cette demande à l'application cible, qui accorde ou non l'accès en fonction du service Federated Trust qui a été créé.
Pourquoi les entreprises utilisent-elles ADFS ?
Dans un monde de plus en plus connecté, ADFS a été conçu afin de répondre aux défis d'authentification inhérents à Active Directory. En matière d'authentification moderne, Active Directory et l'authentification Windows intégrée sont limitées, et ne peuvent pas vérifier l'identité des utilisateurs accédant de façon externe aux applications intégrées à Active Directory. Cela est problématique, car de nos jours les employés doivent souvent se connecter à des applications qui ne sont pas détenues ou gérées par leur Active Directory.
ADFS permet de résoudre ce problème et de simplifier les authentifications tierces. Cependant, certains risques et inconvénients sont inhérents à cette méthode.
Le service ADFS, grâce à une solution polyvalente d'authentification via interface Web qui utilise les identifiants standard de l'organisation Active Directory, permet aux utilisateurs en télétravail d'accéder aux applications intégrées à Active Directory. Les employés d'une entreprise peuvent ainsi accéder aux applications d'une autre entreprise ne faisant pas partie de leur domaine Active Directory. Cette configuration concerne par exemple les entreprises partenaires ou les services modernes dans le cloud, qui font désormais partie intégrante du domaine informatique étendu de bon nombre d'entreprises.
Plus de 90 % des entreprises utilisent Active Directory, ce qui signifie qu'elles utilisent également ADFS.
Quels sont les risques et les inconvénients ?
En raison de ses divers inconvénients, notamment son infrastructure invisible, son coût de maintenance et ses risques de sécurité, le service ADFS est loin d'être une solution d'authentification idéale.
Bien que le service ADFS soit une fonctionnalité gratuite de Windows Server, son utilisation requiert deux éléments : une licence Windows Server et un serveur où héberger ce service. Cela peut s'avérer coûteux pour une entreprise. En effet, depuis le lancement de Windows Server 2016, il faut désormais disposer d'une licence pour chaque processeur, ce qui a conduit à une augmentation des tarifs.
Des frais de maintenance mal anticipés
Outre les dépenses liées directement à l'utilisation du service ADFS, les entreprises doivent également prendre en compte les coûts opérationnels inhérents à la gestion et la maintenance de ce service. En effet, les approbations entre les domaines Active Directory doivent être entretenues par des employés très qualifiés et les serveurs ADFS doivent être régulièrement patchés, mis à jour et sauvegardés. De plus, en raison de son importance, il est essentiel de veiller à ce que le service ADFS ne souffre d'aucune interruption. Selon sa configuration, le service ADFS peut s'avérer plus coûteux que prévu, et ce aussi bien en raison de facteurs directs, tels que l'augmentation des besoins en infrastructure, que de facteurs indirects, comme la complexification des processus.
Une complexité généralisée
Mettre en service, configurer et entretenir une solution ADFS n'est pas une mince affaire. De plus, avec ce service, le processus d'ajout d'applications est chronophage et très technique, ce qui peut nuire à l'agilité de votre structure informatique.
Des risques de sécurité
Dans sa version clé en main, une installation standard du service ADFS n'offre pas une sécurité optimale. Afin de le sécuriser, de nombreuses opérations informatiques seront requises. De plus, étant donné que le service ADFS fonctionne via Windows Server, ce dernier devra également être renforcé et sécurisé afin d'écarter tout risque.
Service ADFS vs gestion des identités dans le cloud
Bien entendu, ADFS offre certains avantages qui en font une option toute trouvée pour bon nombre d'entreprises en quête d'une solution de fédération des identités. Cependant, cela ne doit pas pour autant occulter ses inconvénients.
Les services tiers de gestion des identités dans le cloud peuvent égaler, voire parfois surpasser à certains égards les fonctionnalités proposées par le service ADFS. Grâce à leurs coûts opérationnels plus faibles, les solutions d'authentification basées dans le cloud sont moins onéreuses. De plus, de par leur structure, elles affichent un taux de disponibilité très élevé et peuvent s'intégrer parfaitement à des centaines d'applications. Okta offre à ses utilisateurs des solutions sécurisées de gestion des identités dans le cloud qui sont non seulement capables de résoudre les défis inhérents à l'authentification, mais assurent également une sécurité de tous les instants.
En savoir plus : découvrir comment éviter les frais cachés du service ADFS et trouver les solutions d'authentification idéales pour votre entreprise.
