Azure

AAD Connect : Basculer de ADFS vers Password Hash Synchronization (PhS)

Introduction

Si vous avez un peu suivi mes derniers articles sur Azure AD Connect, vous savez que par défaut Microsoft propose les 4 méthodes d’authentification suivantes :

  • Password Hashed Synchronization (PhS)
  • Federation (avec ADS)
  • Pass-Through Authentication (PTA)
  • PingFederate

Le plus souvent les entreprises vont choisir entre les 2 premiers scénarios à savoir : Password Hashed Synchronization ou ADFS. Dans la première méthode, l’authentification est exécutée directement auprès de Microsoft car Azure Active Directory connaît le hash des mots de passe et peut donc vous authentifier sans intermédiaire. Dans la seconde méthode ADFS, vous devez déployer une ferme ADFS et c’est ce composant qui réalisera l’authentification au sein de votre infrastructure on-premises.

(Ads)

Combiner la méthode ADFS et Password Hash Synchronization

Mais sachez qu’il est également possible de combiner ces 2 méthodes. En effet, on peut activer Password Hash Synchronization en plus de la méthode ADFS.

De ce fait, si jamais votre infrastructure ADFS locale rencontre un problème, vous pouvez rapidement basculer sur la méthodologie Password Hashed Synchronization. Cela vous donnera ainsi du temps pour remettre en place votre ADFS sans interrompre les services pour vos utilisateurs ! 😉

Mais pour cela, il vous faut activer l’option de PhS en plus de l’ADFS. Pour ce faire, activez la méthode Password Hashed Synchronization depuis l’assistant AAD Connect.

Si ce n’est pas déjà le cas, relancez l’assistant Azure AD Connect et cochez simplement le case qui prévue à cet effet. Je ne vais pas mettre toutes les captures d’écran donc si je dis rien, gardez les options par défaut ou cliquez simplement sur Next.

AAD Connect – Activation de Password Hash Synchronization (1)
AAD Connect – Activation de Password Hash Synchronization (2)

Cliquez sur Next et re-configurez votre AAD Connect. Une nouvelle synchronisation sera alors exécutée et les hash des passwords seront alors synchronisés.

(Ads)

Basculer de ADFS vers Password Hash Synchronization

Imaginons que nous ayons maintenant un problème avec notre infrastructure ADFS. Pour forcer la bascule et l’utilisation de la méthode Password Hashed Synchronisation au lieu de ADFS, il nous faut repasser nos domaines du statut « Federated » à « Managed« .

Cela s’effectue en PowerShell avec les deux CmdLet suivantes :

Connect-MsolService 
Set-MsolDomainAuthentication -Authentication Managed -DomainName <domain name>

Le plus simple et d’exécuter cette commande directement depuis le serveur AAD Connect car vous disposez déjà du module PowerShell. Mais vous pouvez le faire depuis n’importe quelle machine dès lors que vous avez le module MSOnline.

Vous pouvez ensuite confirmer le statut de votre domaine avec la commande suivante :

 Get-MsolDomain 

Dans mon cas, j’ai le résultat suivant qui confirme que je suis bien en mode domaine « Managed » et non plus « Federated« .

Lors de la prochaine connexion au portail O365 (ou autre service), je ne serai donc plus redirigé vers l’URL de ma ferme ADFS mais la mire d’identification de Microsoft pourra réaliser l’authentification directement !

Plus d’information sur le TechNet en suivant ce lien : https://docs.microsoft.com/fr-fr/azure/active-directory/hybrid/plan-migrate-adfs-password-hash-sync. Et je vous invite également à consulter l’article suivant où je détaille la mise en place de l’authentification ADFS du début à la fin.

(Ads)
Share
Published by
thibault

Recent Posts

Télétravail : La Société Générale Réduit à 1 Jour par Semaine, une Tendance IT ?

Télétravail : La Société Générale Réduit à 1 Jour par Semaine, une Tendance IT ?…

2 jours ago

Lyon et la Souveraineté Technologique : Pourquoi les Écologistes Abandonnent Microsoft

Lyon et la Souveraineté Technologique : Pourquoi les Écologistes Abandonnent Microsoft Lyon, célèbre pour sa…

2 jours ago

Automatiser la création d’articles dans WordPress avec ChatGPT et Zapier

Automatiser la création d’articles dans WordPress avec ChatGPT et Zapier Aujourd'hui les innovations autour de…

3 jours ago

Microsoft et le Sovereign Cloud : 5 Efforts pour l’Europe

Microsoft et le Sovereign Cloud : 5 Efforts pour l'Europe Dans un contexte européen complexe,…

4 jours ago

Les Jouets Connectés à l’IA : Une Révolution ou une Inquiétude pour nos Enfants ?

Les Jouets Connectés à l'IA : Une Révolution ou une Inquiétude pour nos Enfants ?…

5 jours ago

Pourquoi le Danemark se sépare de Microsoft pour Linux et LibreOffice

Pourquoi le Danemark se sépare de Microsoft pour Linux et LibreOffice Le Danemark se sépare…

6 jours ago