Active Directory, ou son petit acronyme AD, est un service d’annuaire créé par Microsoft en 1996 (et oui ça ne nous rajeunit pas !) qui stocke dans une base de données des informations relatives aux ressources du monde Microsoft.
L’objectif de l’Active Directory est de centraliser l’identification et l’authentification d’un réseau de postes de travail Windows. Cela permet aux utilisateurs connectés de retrouver l’ensemble de leurs ressources. Active Directory joue un rôle d’annuaire technique pour les ressources matérielles et logicielles du réseau informatique.
Active Directory regroupe les ressources (poste de travail, imprimante, dossiers partagés …), les utilisateurs et les applications comme la messagerie qui ont tous une identification unique.
L’AD fonctionne avec des GPO ou des stratégies de groupe cela permet de restreindre des ressources, des accès outil d’administration et gestion du réseau représentation des ressources et des droits associés. Concrètement, cela vous permet d’interdire l’utilisation de clés USB ou de forcer les mises à jour du système etc…
Si vous souhaitez approfondir le sujet, vous pouvez aller voir la documentation sur la gestion des identités et des accès par Microsoft ou sur Active Directory expliqué très clairement en vidéo.
D’après la définition ci-dessus, si vous avez l’ensemble de vos ressources qui fonctionnent sur Windows on répondra : oui l’AD est indispensable dans une entreprise d’une certaine taille.
L’Active Directory est clairement un facilitateur pour la gestion de vos comptes, de vos identités et de vos ressources. L’Active Directory peut être votre base d’identité numérique pour l’entreprise.
Vous gérez aisément vos groupes et vous pouvez retrouver des services supplémentaires en y ajoutant des packs Microsoft pour gérer notamment le cycle de vie des identités avec Microsoft Identity Integration Server 2003 et bien d’autres.
L’AD est donc un formidable outil en entreprise qui va vous aider à gérer l’ensemble de vos utilisateurs et outils.
Avec l’arrivée des logiciels SaaS, des logiciels métiers hébergés à l’extérieur de l’entreprise, l’Active Directory se retrouve souvent à ne plus gérer qu’une partie de l’IT d’une entreprise. Microsoft a mis en place une technologie de SSO avec Azure AD mais sa mise en place est relativement technique et ne gère que les applications compatibles.
Quand un utilisateur arrive on lui crée ses comptes, on peut donc penser que la gestion des utilisateurs et de ses comptes se fait naturellement dans AD. Oui mais, les comptes présents dans le SI ne reflètent pas vos utilisateurs : sur l’Active Directory il y a des comptes qui peuvent être des comptes systèmes, des comptes d’utilisateurs présents ou partis.
C’est à partir de là, qu’arrive toute la difficulté : comment utiliser l’Active Directory comme un référentiel (source of truth) alors qu’il mélange les identités systèmes et RH ? Comment gérer les comptes présents avec les collaborateurs présents et faire un rapprochement pour gérer les droits, les accès, les licences, les clôtures de comptes ?
Maintenir un AD parfaitement à jour est quasiment mission impossible à moins d’y consacrer des ressources chronophages.
La liste des utilisateurs sur Active Directory ne correspond jamais vraiment à la réalité des collaborateurs de l’entreprise. Les comptes sont généralement créés à l’arrivée du collaborateur parce qu’il en a besoin pour accéder à certaines ressources, notamment pour l’accès aux fichiers ou aux imprimantes, mais son compte ne sera clôturé à son départ que par les administrateurs systèmes et réseaux extrêmement rigoureux et un service RH qui informe le département IT à chaque départ de collaborateur.
Ces deux conditions n’étant pas toujours remplies, l’Active Directory finit par devenir un dépotoir de comptes plus ou moins fantômes et dont on ne sait pas réellement s’ils sont utilisés ou utiles. Le nettoyage “de printemps” qui consiste à exporter sous Excel la liste de tous les comptes de l’AD et des les pointer un par un les rapprochant de listes de collaborateurs, d’intérimaires, de prestataires… se révèle évidemment fastidieux et souvent vain.
C’est ici qu’une solution d’IAM, de gestion des identités et des accès, intervient pour mettre en parfaite relation les comptes (Active Directory) et les utilisateurs (collaborateurs de l’entreprise).
Le principe est simple, la solution se connecte à votre SIRH et à votre AD et réconcilie utilisateurs et comptes. Ainsi, vous pouvez gérer l’ensemble de vos habilitations depuis un dashboard. Tout est clair, vous pouvez filtrer, gérer, suspendre, créer et automatiser.
Pour vous donner un exemple, un collaborateur arrive, les RH renseignent l’information, celle-ci est automatiquement envoyée dans la solution d’IAM puis, les comptes sont créés, il n’y a plus qu’à valider les créations. Au moment du départ, même chose, l’information arrive dans la solution ce qui suspend tous les comptes de la personne qui part.
Vous avez ainsi un AD parfaitement à jour.
Un agent s’installe sur vos serveurs Active Directory et joue le rôle de proxy ce qui permet les échanges sécurisés entre votre solution de gestion des identités et des accès et votre AD.
Cet agent a deux fonctions principales : lister les comptes Active Directory pour qu’ils s’affichent dans votre IAM et lancer les actions de création, de modifications ou de suspensions demandées. Dès lors que l’agent est installé, une synchronisation s’effectue très régulièrement. Ce fonctionnement permet notamment de prendre en charge les logiciels on-premise et SaaS.
Vous aurez dès lors, la possibilité de :
Pour en savoir plus sur les fonctionnalités présentes dans une solution d’IAM.
Active Directory est un outil encore essentiel en entreprise pour la gestion de vos utilisateurs et de leurs comptes mais le laisser ‘vivre’ sans gérer proprement les comptes utilisateurs n’est plus possible dans un contexte de cyberattaque, de gestion des données sensibles. L’IT doit impérativement avoir un contrôle sur les accès des utilisateurs, notamment à leur départ. Un outil d’IAM s’impose car Excel n’est pas non plus la solution 😉 La réconciliation et l’automatisation sont les atouts d’une solution de gestion des identités et des accès.