Comprendre Active Directory et son fonctionnement avec un IAM

Qu’est-ce que l’Active Directory ?

Active Directory, ou son petit acronyme AD, est un service d’annuaire créé par Microsoft en 1996 (et oui ça ne nous rajeunit pas !) qui stocke dans une base de données des informations relatives aux ressources du monde Microsoft.

L’objectif de l’Active Directory est de centraliser l’identification et l’authentification d’un réseau de postes de travail Windows. Cela permet aux utilisateurs connectés de retrouver l’ensemble de leurs ressources. Active Directory joue un rôle d’annuaire technique pour les ressources matérielles et logicielles du réseau informatique.

Active Directory regroupe les ressources (poste de travail, imprimante, dossiers partagés …), les utilisateurs et les applications comme la messagerie qui ont tous une identification unique.

L’AD fonctionne avec des GPO ou des stratégies de groupe cela permet de restreindre des ressources, des accès outil d’administration et gestion du réseau représentation des ressources et des droits associés. Concrètement, cela vous permet d’interdire l’utilisation de clés USB ou de forcer les mises à jour du système etc…

Si vous souhaitez approfondir le sujet, vous pouvez aller voir la documentation sur la gestion des identités et des accès par Microsoft ou sur Active Directory expliqué très clairement en vidéo.

L’AD est-il un indispensable en entreprise ?

D’après la définition ci-dessus, si vous avez l’ensemble de vos ressources qui fonctionnent sur Windows on répondra : oui l’AD est indispensable dans une entreprise d’une certaine taille.

L’Active Directory est clairement un facilitateur pour la gestion de vos comptes, de vos identités et de vos ressources. L’Active Directory peut être votre base d’identité numérique pour l’entreprise.

Vous gérez aisément vos groupes et vous pouvez retrouver des services supplémentaires en y ajoutant des packs Microsoft pour gérer notamment le cycle de vie des identités avec Microsoft Identity Integration Server 2003 et bien d’autres.

L’AD est donc un formidable outil en entreprise qui va vous aider à gérer l’ensemble de vos utilisateurs et outils.

Quelles sont les limites d’Active Directory ?

Avec l’arrivée des logiciels SaaS, des logiciels métiers hébergés à l’extérieur de l’entreprise, l’Active Directory se retrouve souvent à ne plus gérer qu’une partie de l’IT d’une entreprise. Microsoft a mis en place une technologie de SSO avec Azure AD mais sa mise en place est relativement technique et ne gère que les applications compatibles.

Quand un utilisateur arrive on lui crée ses comptes, on peut donc penser que la gestion des utilisateurs et de ses comptes se fait naturellement dans AD. Oui mais, les comptes présents dans le SI ne reflètent pas vos utilisateurs : sur l’Active Directory il y a des comptes  qui peuvent être des comptes systèmes, des comptes d’utilisateurs présents ou partis.

C’est à partir de là, qu’arrive toute la difficulté : comment utiliser l’Active Directory comme un référentiel (source of truth) alors qu’il mélange les identités systèmes et RH ? Comment gérer les comptes présents avec les collaborateurs présents et faire un rapprochement pour gérer les droits, les accès, les licences, les clôtures de comptes ?

Comment faire pour gérer proprement ses comptes et ses utilisateurs dans l’AD ?

Maintenir un AD parfaitement à jour est quasiment mission impossible à moins d’y consacrer des ressources chronophages.

La liste des utilisateurs sur Active Directory ne correspond jamais vraiment à la réalité des collaborateurs de l’entreprise. Les comptes sont généralement créés à l’arrivée du collaborateur parce qu’il en a besoin pour accéder à certaines ressources, notamment pour l’accès aux fichiers ou aux imprimantes, mais son compte ne sera clôturé à son départ que par les administrateurs systèmes et réseaux extrêmement rigoureux et un service RH qui informe le département IT à chaque départ de collaborateur.

Ces deux conditions n’étant pas toujours remplies, l’Active Directory finit par devenir un dépotoir de comptes plus ou moins fantômes et dont on ne sait pas réellement s’ils sont utilisés ou utiles. Le nettoyage “de printemps” qui consiste à exporter sous Excel la liste de tous les comptes de l’AD et des les pointer un par un les rapprochant de listes de collaborateurs, d’intérimaires, de prestataires… se révèle évidemment fastidieux et souvent vain.

C’est ici qu’une solution d’IAM, de gestion des identités et des accès, intervient pour mettre en parfaite relation les comptes (Active Directory) et les utilisateurs (collaborateurs de l’entreprise).

Le principe est simple, la solution se connecte à votre SIRH et à votre AD et réconcilie utilisateurs et comptes. Ainsi, vous pouvez gérer l’ensemble de vos habilitations depuis un dashboard. Tout est clair, vous pouvez filtrer, gérer, suspendre, créer et automatiser.

Pour vous donner un exemple, un collaborateur arrive, les RH renseignent l’information, celle-ci est automatiquement envoyée dans la solution d’IAM puis, les comptes sont créés, il n’y a plus qu’à valider les créations. Au moment du départ, même chose, l’information arrive dans la solution ce qui suspend tous les comptes de la personne qui part.

Vous avez ainsi un AD parfaitement à jour.

Comment fonctionne un outil d’IAM avec Active Directory ?

Un agent s’installe sur vos serveurs Active Directory et joue le rôle de proxy ce qui permet les échanges sécurisés entre votre solution de gestion des identités et des accès et votre AD.

Cet agent a deux fonctions principales : lister les comptes Active Directory pour qu’ils s’affichent dans votre IAM et lancer les actions de création, de modifications ou de suspensions demandées. Dès lors que l’agent est installé, une synchronisation s’effectue très régulièrement. Ce fonctionnement permet notamment de prendre en charge les logiciels on-premise et SaaS.

Vous aurez dès lors, la possibilité de :

• Créer des utilisateurs : votre solution détecte le format de nommage du compte de l’utilisateur et crée automatiquement les comptes avec le bon nom. Plus de fautes sur le nom ou le prénom et une harmonisation des comptes.
• Activer/Désactiver des comptes utilisateurs : un utilisateur parti ? Manuellement ou automatiquement vous pouvez suspendre le compte d’un utilisateur.
• Attribuer des droits aux utilisateurs : vous pouvez modifier les groupes de sécurité pour un utilisateur. Ces modifications seront appliquées automatiquement après quelques secondes sur le compte AD de l’utilisateur. De plus, en fonction de certains paramètres, la solution pourra vous suggérer des groupes de sécurité à ajouter à un utilisateur.
• Accès VPN : comme les groupes de sécurité, vous pouvez indiquer que l’utilisateur est autorisé à accéder au VPN. Cette modification sera mise en place automatiquement sur votre Active Directory.
• Scripts d’ouverture de session : souvent oubliés à la création des comptes, ces scripts se révèlent bien pratiques à l’usage et sont gérables par votre outil d’IAM
• Filtrer les utilisateurs : vous avez créé des groupes en fonction de vos équipes, de privilèges ou autre, vous avez besoin de les retrouver facilement, cela est possible avec une solution d’IAM. Cela facilite grandement la réalisation d’audit notamment pour avoir une vue rapide des arrivées ou départs.
• Modifier les attributs comme les lecteurs réseau, les attributs personnalisés (employee number…) en fonction de l’usage que vous en faites sur les applications connectées. Par exemple, un outil de gestion des signatures mail va utiliser les champs adresse, fonction, service etc… qui sont renseignés sur les comptes utilisateurs de votre Active Directory.

Pour en savoir plus sur les fonctionnalités présentes dans une solution d’IAM.

Active Directory est un outil encore essentiel en entreprise pour la gestion de vos utilisateurs et de leurs comptes mais le laisser ‘vivre’ sans gérer proprement les comptes utilisateurs n’est plus possible dans un contexte de cyberattaque, de gestion des données sensibles. L’IT doit impérativement avoir un contrôle sur les accès des utilisateurs, notamment à leur départ. Un outil d’IAM s’impose car Excel n’est pas non plus la solution 😉 La réconciliation et l’automatisation sont les atouts d’une solution de gestion des identités et des accès.