Est-il possible de faire cohabiter Cloud et Active Directory ?

  • Home
  • Cloud
  • Est-il possible de faire cohabiter Cloud et Active Directory ?

L’annuaire Active Directory est une pièce maîtresse des systèmes d’informations. Toutefois, s’il a fait ses preuves en local, ses fonctionnalités sont encore difficile à porter vers l’extérieur de l’entreprise…  Comment le rendre compatible avec le Cloud ou les usages en mobilité ?

Les applications SaaS prennent une place importante dans un Système d’Information, il est impératif de repenser la fonction d’annuaire pour les applications Cloud.

L’annuaire Active Directory, à quoi sert-il ?

Un annuaire Active Directory est un outil permettant de répondre à plusieurs besoins essentiels d’une entreprise :

  • La mise à disposition d’un moyen d’identification aux collaborateurs
  • La gestion des droits d’accès et l’authentification des utilisateurs
  • La maîtrise des équipements mis à disposition par l’entreprise

Par exemple, lorsqu’un collaborateur se connecte à son application de gestion de temps de travail, un mécanisme authentifie l’utilisateur et lui fournit l’accès : il est identifié et seules les ressources pertinentes à sa fonction lui seront accessibles. Ce processus centralisé est mis à disposition par l’annuaire Active Directory dans la plupart des organisations.

Son utilisation est aujourd’hui très standardisée, et permet de faire lien avec une grande quantité d’applications. Cet outil est très complexe et couvre énormément de besoins différents. Il est souvent adopté par défaut dans de nombreuses entreprises, malgré ses coûts de mise en place, de licences et de support élevés.

Finalement, l’intérêt de cette technologie repose sur sa capacité à contenir des données utiles à la gestion des identités et accès au sein de l’entreprise, de manière centralisée.

Limites et contraintes venant du SaaS

L’intégration de nouveaux SaaS peut remettre en question l’approche d’un outil tel que l’annuaire Active Directory. L’un des intérêts principaux de ces applications est d’augmenter leur périmètre d’accessibilité en dehors d’un réseau d’entreprise.

Car, si les applications SaaS sont dans le cloud, elles nécessitent néanmoins certaines fonctionnalités qu’un Active Directory dit « on-premise » (local) possède.

C’est pour cela qu’il est souvent nécessaire d’adopter un service extérieur permettant de faire le lien à ces applications.

Dans les faits, Microsoft s’est adapté à cette transformation en créant une offre cloud « Azure Active Directory ». Il s’agit d’une adaptation de l’outil on-premise mais disponible en dehors du réseau d’entreprise. Cette instance est tout de même connectée à l’architecture locale afin d’y synchroniser ses données, au moins pour sa  première mise en place.

Cependant, il n’est pas le seul acteur dans ce marché, et beaucoup d’autre solutions intéressantes existes. Il s’agit des IDaaS (Identification as a Service). Nous pouvons citer comme contributeur Google, Jumpcloud, ou Capgemini.

Ainsi, si un Azure Active Directory est intégré dans l’entreprise, il ne sera plus nécessaire d’ouvrir l’architecture locale vers chaque fournisseur d’application extérieur. L’instance dans le cloud permettra d’apporter la centralisation des services de l’annuaire nécessaires aux applications SaaS. L’intérêt est que cela se passe directement depuis le même milieu. Le SSO pourra s’occuper de l’authentification des usagers, l’annuaire Azure Active Directory de gérer l’identité et les accès, et le logiciel de MDM de s’assurer de la sécurisation des équipements distants au réseau d’entreprise.

En conclusion, les applications SaaS nécessitent aussi de maîtriser de la gestion d’identité, et révèlent l’opportunité d’utiliser de nouveaux outils autre que l’annuaire Active Directory.

Exemple de transition possible

L’hybridation

Cet exemple illustre une hybridation. En effet, l’annuaire Active Directory local est directement connecté aux différents éléments correspondants à chaque fonctionnalité distincte.

Cette solution peut répondre aux exigences suivantes :

  • Les applications métiers spécifiques locales doivent être accessibles depuis le réseau d’entreprise
  • Les applications SaaS doivent être accessibles depuis l’extérieur de l’entreprise sans modifier l’Active Directory on-premise
  • La conservation des services provenant d’un contrôleur de domaine à l’intérieur du réseau d’entreprise

La mobilité par le cloud

Ce deuxième exemple illustre quant à lui une approche totalement détachée d’une architecture locale. Cette solution répond à un besoin de mobilité fort et de l’utilisation de logiciels métiers standards, tout en garantissant un minimum de sécurité aux équipements informatiques.

En somme, seule la bonne connaissance des besoins applicatifs et des contraintes business de l’entreprise déterminera l’intérêt de l’une ou l’autre solution. Dans tous les cas, il vous faudra vous détacher de l’Active Directory on-premise pour vous rendre compatible au SaaS.

Avantages et gains

La mise en place d’un Active Directory on-premise est encore aujourd’hui une nécessité pour la plupart des entreprises utilisant toutes ses fonctionnalités. Néanmoins, il perd de plus en plus son intérêt du fait de sa complexité de mise en œuvre et de maintenance par rapport à des services différents. Ces services : IDaaS, SSO, MDM, sont plus souples et faciles à intégrer au SI. Les bénéfices à tirer de l’implémentation de ces nouveaux outils sont différents en fonction du métier et de la structure d’entreprise :

  • Pour un premier type d’entreprise, l’utilisation des outils de gestion d’identité du SI dans le cloud dégagera une très forte opportunité business et vous assurera une compatibilité avec les logiciels SaaS
  • Pour une structure ayant des besoins informatiques métiers « standards », l’éventuel détachement d’infrastructure locale permettra une exploitation simplifiée et d’éviter de nombreux freins ou contraintes 

Enfin, l’intégration d’une solution de gestion des identités en cloud peut être moteur de performance business. Cependant, il peut être important de se faire accompagner dans cette démarche afin de maîtriser l’outil et en dégager les meilleures performances.

Pour conclure, rendre un annuaire Active Directory traditionnel compatible avec le modèle SaaS manque d’intérêt. Par contre, il existe une autre façon de rendre le système d’information éligible au SaaS : la mise en place de plusieurs services cloud comme l’IDaaS, le MDM, et SSO par le biais d’autre éditeurs.

Tags:
Laisser un commentaire