Passer la navigation

Amélioration de la résilience du service dans Azure Active Directory avec son service d’authentification de sauvegarde

Publié le 22 novembre, 2021

Chief Technology Officer and Technical Fellow, Microsoft Azure

« Dans la continuité de notre série de blogs sur l’amélioration de la fiabilité, qui met en évidence les mises à jour et les initiatives clés liées à l’amélioration de la fiabilité de la plateforme et des services Azure, nous nous concentrons aujourd’hui sur Azure Active Directory (Azure AD). Nous avions exposé les principes de base en matière de disponibilité d’Azure AD dans cette série en 2019 et j’ai donc demandé à Nadim Abdo, Vice-président Corporate Engineering, de fournir les dernières actualités sur la façon dont nos équipes d’ingénierie travaillent pour garantir la fiabilité de nos services de gestion des identités et des accès qui sont tellement critiques pour les clients et les partenaires » - Mark Russinovich, Directeur technique, Azure


 

La promesse la plus critique de nos services d’identité est de s’assurer que chaque utilisateur peut accéder aux applications et aux services dont il a besoin sans interruption. Nous avons renforcé cette promesse par le biais d’une approche multicouche, ce qui a entraîné notrep promesse améliorée de temps d’activité de 99,99 % pour l’authentification Azure Active Directory (Azure AD). Aujourd’hui, je suis ravi de présenter la technologie généralement disponible qui permet à Azure AD d’atteindre des niveaux de résilience encore plus élevés.

Le service d’authentification de sauvegarde Azure AD gère de façon transparente et automatique les authentifications pour les charges de travail prises en charge lorsque le service Azure AD principal n’est pas disponible. Il ajoute une couche supplémentaire de résilience au-dessus des différents niveaux de redondance dans Azure AD. Vous pouvez le considérer comme un générateur de sauvegarde ou une alimentation ininterrompue conçue pour fournir une tolérance de panne supplémentaire, tout en restant complètement transparent et automatique pour vous. Ce système fonctionne dans le cloud Microsoft, mais sur des systèmes et des chemins d’accès réseau distincts et décorrélés du système Azure AD principal. Cela signifie qu’il peut continuer à fonctionner en cas de problèmes de service, de réseau ou de capacité sur de nombreux services Azure dépendants et Azure AD.

Quelles sont les charges de travail couvertes par le service ?

Ce service protège les charges de travail Outlook Web Access et SharePoint Online depuis 2019. Plus tôt cette année, nous avons finalisé la prise en charge de la sauvegarde des applications exécutées sur les ordinateurs de bureau et les appareils mobiles, ou applications « natives ». Toutes les applications natives Microsoft, notamment Office 365 et Teams, ainsi que les applications tierces et les applications appartenant à un client qui s’exécutent en mode natif sur les appareils, sont à présent couvertes. Aucune action spéciale ou modification de configuration n’est requise pour recevoir la couverture de l’authentification de la sauvegarde.

À partir de la fin d’année 2021, nous commencerons à déployer la prise en charge pour d’autres applications web. Nous allons introduire par étape les applications à l’aide d’Open ID Connect, en commençant par les applications web Microsoft telles que Teams Online et Office 365, puis les applications web appartenant aux clients qui utilisent Open ID Connect et SAML (Security Assertion Markup Language).

Comment le service fonctionne-t-il ?

En cas de détection d’une défaillance du service principal Azure AD, le service d’authentification de sauvegarde s’enclenche automatiquement, ce qui permet aux applications de l’utilisateur de continuer à fonctionner. Au fur et à mesure que le service principal est rétabli, les demandes d’authentification sont redirigées vers le service Azure AD principal. Le service d’authentification de sauvegarde fonctionne en deux modes :

  • Mode Normal : Le service de sauvegarde stocke les données d’authentification essentielles dans des conditions de fonctionnement normales. Les réponses d’authentification réussies provenant d’Azure AD et destinées aux applications dépendantes génèrent des données propres à la session, stockées en toute sécurité par le service de sauvegarde pendant trois jours maximum. Les données d’authentification sont propres à une combinaison appareil-utilisateur-application-ressource et représentent une capture instantanée d’une authentification réussie à un point dans le temps.
  • Mode Panne : À chaque fois qu’une demande d’authentification échoue de façon inattendue, la passerelle Azure AD l’achemine automatiquement vers le service de sauvegarde. Elle authentifie ensuite la demande, vérifie que les artefacts présentés sont valides (par exemple, le jeton d’actualisation et le cookie de session) et recherche une correspondance de session stricte dans les données précédemment stockées. Une réponse d’authentification, cohérente avec la valeur générée par le système Azure AD principal, est ensuite envoyée à l’application. Lors de la récupération, le trafic est redirigé dynamiquement vers le service Azure AD principal.

Diagramme montrant des clients/services comme Outlook et Exchange Online accédant aux jetons, notamment des jetons d’accès mis en cache provenant du nouveau service d’authentification de sauvegarde

Le routage vers le service de sauvegarde est automatique et ses réponses d’authentification sont cohérentes avec celles qui proviennent généralement du service Azure AD principal. Cela signifie que la protection est lancée sans nécessiter de modifications d’application ni d’intervention manuelle.

Notez que la priorité du service d’authentification de sauvegarde consiste à maintenir la productivité des utilisateurs lors de l’accès à une application ou à une ressource pour laquelle l’authentification a été récemment accordée. Il s’agit en fait du principal type de demande à Azure AD (93 %). Les « nouvelles » authentifications au-delà de la fenêtre de stockage de trois jours, où l’accès n’a pas été accordé récemment sur l’appareil actuel de l’utilisateur, ne sont actuellement pas prises en charge pendant les pannes, mais la plupart des utilisateurs accèdent quotidiennement à leurs applications les plus importantes à partir d’un appareil cohérent.

Comment les stratégies de sécurité et conformité d’accès sont-elles appliquées pendant une panne ?

Le service d’authentification de sauvegarde surveille en permanence les événements de sécurité qui affectent l’accès des utilisateurs pour assurer la sécurité des comptes, même si ces événements sont détectés juste avant une panne. Il utilise l’évaluation de l’accès continu pour s’assurer que les sessions qui ne sont plus valides sont immédiatement révoquées. Les exemples d’événements de sécurité qui obligent le service de sauvegarde à limiter l’accès pendant une panne incluent les modifications de l’état de l’appareil, la désactivation du compte, la suppression du compte, la révocation de l’accès par un administrateur ou la détection d’un événement à risque élevé. Une fois que le service d’authentification principal a été restauré, un utilisateur avec un événement de sécurité peut récupérer l’accès.

En outre, le service d’authentification de sauvegarde applique les stratégies d’accès conditionnel. Les stratégies sont réévaluées par le service de sauvegarde avant d’accorder l’accès au cours d’une panne pour déterminer quelles stratégies s’appliquent et si les contrôles requis pour les stratégies applicables, tels que Multi-Factor Authentication (MFA), ont été satisfaits. Si une demande d’authentification est reçue par le service de sauvegarde et qu’un contrôle tel que MFA n’a pas été respecté, cette authentification est bloquée.

Les stratégies d’accès conditionnel qui reposent sur des conditions telles que l’utilisateur, l’application, la plateforme de l’appareil et l’adresse IP sont appliquées à l’aide de données en temps réel telles que détectées par le service d’authentification de sauvegarde. Toutefois, certaines conditions de stratégie (telles que les risques de connexion et l’appartenance aux rôles) ne peuvent pas être évaluées en temps réel et sont évaluées en fonction des paramètres de résilience. Les valeurs par défaut de résilience permettent à Azure AD d’optimiser la productivité en toute sécurité lorsqu’une condition (telle que l’appartenance à un groupe) n’est pas disponible en temps réel pendant une panne. Le service évalue une stratégie en supposant que la condition n’a pas changé depuis le dernier accès qui a eu lieu juste avant la panne.

Alors que nous recommandons vivement aux clients de conserver les valeurs par défaut activées pour la résilience, il peut y avoir des scénarios dans lesquels les administrateurs préfèrent bloquer l’accès pendant une panne quand une condition d’accès conditionnel ne peut pas être évaluée en temps réel. Dans ces cas rares, les administrateurs peuvent désactiver les valeurs de résilience par défaut par stratégie au sein de l’accès conditionnel. Si les valeurs par défaut de résilience sont désactivées par stratégie, le service d’authentification de sauvegarde ne traite pas les demandes soumises à des conditions de stratégie en temps réel, ce qui signifie que ces utilisateurs peuvent être bloqués par une panne Azure AD primaire.

Étapes suivantes

Le service d’authentification de sauvegarde Azure AD aide les utilisateurs à rester productifs dans le scénario improbable d’une panne d’authentification du service Azure AD principal. Le service fournit une autre couche transparente de redondance à notre service dans des chemins d’accès réseau et cloud Microsoft décorrélés. À l’avenir, nous continuerons à développer la prise en charge des protocoles, la prise en charge des scénarios et la couverture au-delà des clouds publics, et nous développerons la visibilité du service pour nos clients avancés.

Nous vous remercions pour votre confiance et votre partenariat.