Informations, communications, conseils en infrastructure
#Azure AD, Tenant, Identités
Identité: elles sont stockées dans AZure AD soit AAD. C’est un service AD qui va détenir les objets cloud. Ils peuvent être:
Tenant: c’est une instance qui est lié à un client, chaque client à un tenant qui lui est unique. Il est associé à un nom de domaine comme keysoncloud.onmicrosoft.om. Ce tenant va contenir les identités Cloud. Votre tenant va être attaché à un ou plusieurs abonnements (subscription). Vous allez pouvoir accéder à vos ressources cloud (base de données, Storage account, VM).
L’abonnement est vue comme une facturation qui englobe vos ressources.
Domaine Active Directory on premise : ils possèdent des contrôleurs de domaine qui contiennent des objets; user, groupe et ordinateur.
On retrouve par exemple des utilisateurs comme: user@keysoncloud.com. Cela peut être une adresse email.
Synchronisation: Pour pouvoir faire la synchronisation on va ajouter une machine virtuelle sur laquelle on va installer un produit qui se nomme AAD Connect.
Son but est de récupérer la liste des utilisateurs et des groupes pour les transférer vers le Tenant AAD.
Ce que l’on remarque c’est que les identités ne sont pas les mêmes puisque d’un coté on a:
Pour cela on va aller dans le portail Azure puis dans “Azure Active Directory”. Si l’on regarde on peut voir que les utilisateurs sont synchronisés ou pas comme on peut le voir sur le listing user.
Pour pouvoir faire la liaison on va aller dans “Custom domain name” et dans cette partie on va rajouter notre domaine
Lorsque l’on rajoute un Domaine, Microsoft va nous demander d’ajouter un enregistrement DNS de type TXT ou MX. Une fois l’action faite, notre domaine va passer en mode Available.
Guest: une fois le membre d’un autre tenant invité. il va avoir accès à un abonnement.
Pour cela on va dans “New user” on se retrouve avec deux choix soit:
Create : Si l’on prend le premier choix, on peut indiquer ses identifiantsavec son nom, prenom le nom de son compte en spécifiant le domaine.
Invite: on peut là aussi indiquer le nom de l’utilisateur ainsi que son adresse email qu’il détient pour qu’il puisse recevoir une invitation. Il va ainsi recevoir si on le souhaite accéder à des ressources sur notre Tenant.
On peut aussi faire des requêtes globales via “Bulk operations” où l’on peut faire en volume des créations, des invitations ainsi que des suppressions.
Bulk create: à l’aide d’un fichier CSV on peut créer des utilisateurs, invités des utilisateurs d’un autre Tenant, mais aussi les supprimer. Dernier point on peut aussi télécharger la liste de l’ensemble des utilisateurs via loption Download User.
Par défaut un utilisateur n’a accès à aucune ressource azure, il faut aller dans abonnement/subscriptions où l’on retrouve notre abonnement, On va ensuite sur “groupes de ressources”. Dans notre cas de figure nous avons une VM, si l’on veut donner accès à cette dernière à un membre de notre Tenant, il faut aller sur “Access control (IAM)”. Cela se base sur RBAC, puis nous cliquons sur “Add”, et l’on retrouve:
On choisit “Add role assignment”, Microsoft propose des “rôles builtin”, ils répondent à des rôles biens particuliers. On a par exemple un role qui permet de gérer tout ce qui est machine virtuelle dans Azure → Virtual Machine Administrator login. L’utilisateur chiot pourra se connecter en tant qu’administrateur sur la VM.
Pour accéder aux ressources réseau dans Azure on peut s’attribuer le rôle “Network contributor”. Tous ces droits se base sur RBAC, Role based access control.
Si le rôle ne correspond pas exactement au besoin on peut préciser les accès spécifiques via “Add custom rôle” toujours dans Access control (IAM). Il se base sur un fichier JSON, il est créer par administrateur et il se base sur les besoins de l’entreprise. On arrive donc sur la page “Create a custom role”.
En créant le role on peut spécifier tout ce qui est Network.
On peut spécifier la portée du rôle “assignable scopes”, il peut s’appliquer sur:
On retrouve ensuite le fichier “Json” sur lequel on retrouve toutes nos spécificités. On retrouve le nom du rôle, le scope du rôle, les permissions associées. Pour finaliser la création on fait “Review + create”.
Il est conseillé d’utiliser des builtin rôle plutôt que des customs rôles, car la maintenance est difficile, par exemple s’il y a une nouvelle fonctionnalité. Le custom rôle peut aussi être créé en Azure CLI, Bash…
Rôles Tenant
L’utilisateur peut aussi avoir des droits sur le Tenant en plus des ressources Azure. Les rôles sur le Tenant permettent de gérer les identités. On retrouve notamment le rôle de gestion des licences “Billing administrateur”. Le rôle le plus important est “Global administrator” qui est l’équivalent d’administrateur du domaine active directory.
Ce compte peut gérer les utilisateurs mais aussi publier des applications.
Ajout d’applications
Pour pouvoir ajouter des applications il faut aller sur Applications puis cliquer sur “New applications”. A ce niveau on va pouvoir ajouter notre application, “Create your own application”.
Lorsque l’on va ajouter une application, un compte de services va être ajouté, de type “service principal”. C’est un compte managé par Microsoft, avec un certificat.
Historiquement les protocoles LDAP (Kerberos, NTLM) étaient utilisés pour les connexions à Active Directory, pour ce connecter à Azure AD on passe par HTTPS et les protocoles SAML, WS Federation, ou encore OPEN ID (Oauth). Maintenant les authentifications peuvent être déléguées à un tiers tel que Google, Facebook.
On le retrouve dans la partie “External Identities → All identity providers”, on retrouve à ce niveau les tiers que l’on cité précédemment tel que Facebook ou google.
