{"id":1836,"date":"2017-04-07T11:30:23","date_gmt":"2017-04-07T09:30:23","guid":{"rendered":"http:\/\/www.identitycosmos.com\/?p=1836"},"modified":"2017-04-07T11:30:23","modified_gmt":"2017-04-07T09:30:23","slug":"quel-interet-a-utiliser-ping-identity-avec-azure-ad-premium","status":"publish","type":"post","link":"https:\/\/identitycosmos.com\/index.php\/2017\/04\/07\/quel-interet-a-utiliser-ping-identity-avec-azure-ad-premium\/","title":{"rendered":"Quel int\u00e9r\u00eat \u00e0 utiliser Ping Identity avec Azure AD Premium ?"},"content":{"rendered":"<p><a href=\"http:\/\/www.identitycosmos.com\/http:\/www.identitycosmos.com\/strategie\/quel-interet-a-utiliser-ping-identity-avec-azure-ad-premium\/attachment\/pingidentity_logo\" rel=\"attachment wp-att-1837\"><img loading=\"lazy\" decoding=\"async\" class=\"alignleft size-full wp-image-1837\" src=\"http:\/\/www.identitycosmos.com\/wp-content\/uploads\/2017\/04\/PingIdentity_Logo.png\" alt=\"\" width=\"3000\" height=\"608\" srcset=\"https:\/\/identitycosmos.com\/wp-content\/uploads\/2017\/04\/PingIdentity_Logo.png 3000w, https:\/\/identitycosmos.com\/wp-content\/uploads\/2017\/04\/PingIdentity_Logo-300x61.png 300w, https:\/\/identitycosmos.com\/wp-content\/uploads\/2017\/04\/PingIdentity_Logo-1024x208.png 1024w, https:\/\/identitycosmos.com\/wp-content\/uploads\/2017\/04\/PingIdentity_Logo-768x156.png 768w, https:\/\/identitycosmos.com\/wp-content\/uploads\/2017\/04\/PingIdentity_Logo-1536x311.png 1536w, https:\/\/identitycosmos.com\/wp-content\/uploads\/2017\/04\/PingIdentity_Logo-2048x415.png 2048w\" sizes=\"auto, (max-width: 3000px) 100vw, 3000px\" \/><\/a><\/p>\n<p>&nbsp;<\/p>\n<p><strong>Il y a quelques mois, Microsoft annon\u00e7ait son partenariat avec Ping Identity pour renforcer son offre Azure AD Premium:<\/strong><\/p>\n<p><iframe loading=\"lazy\" src=\"https:\/\/www.youtube.com\/embed\/Ec-3GikspfQ\" width=\"672\" height=\"378\" frameborder=\"0\" allowfullscreen=\"allowfullscreen\"><\/iframe><\/p>\n<p>Mais cette annonce co\u00efncidait avec l&#8217;annonce quelques semaines auparavant de la mise en preview d&#8217;une fonction de App Gateway au niveau d&#8217;Azure AD Connect (fonctionnel mais toujours en preview \u00e0 ce jour). Ainsi, beaucoup de mes clients et contacts me demandaient au fil des semaines quel pouvait \u00eatre l&#8217;int\u00e9r\u00eat pour eux d&#8217;utiliser Ping Identity alors que Microsoft fournissait maintenant une App Gateway permettant non seulement de publier des applications on-prem au niveau du portail Azure AD Premium sans l&#8217;obligation d&#8217;ouvrir des ports au niveau des firewall mais \u00e9galement de jouer des authentification sur l&#8217;annuaire Active Directory local sans d\u00e9ployer ADFS. Nous allons essayer de r\u00e9pondre \u00e0 cette question dans cette article.<\/p>\n<p>D\u00e9j\u00e0, revenons quelques instant sur l&#8217;offre Ping Identity. Ping Identity est l&#8217;entreprise leader dans le domaine des solutions de f\u00e9d\u00e9ration d&#8217;identit\u00e9 pour les entreprises. Cette entreprise am\u00e9ricaine a vraiment \u00e9t\u00e9 un des pionniers en la mati\u00e8re, principalement pour les organisations avec des besoins complexes ne pouvant pas \u00eatre couverts avec <a href=\"https:\/\/fr.wikipedia.org\/wiki\/Active_Directory_Federation_Services\">ADFS<\/a> et <a href=\"https:\/\/fr.wikipedia.org\/wiki\/Shibboleth_(f%C3%A9d%C3%A9ration_d'identit%C3%A9)\">Shibboleth<\/a>. Mais depuis environ 18 mois, les offres Ping Identity ont \u00e9t\u00e9 progressivement d\u00e9pass\u00e9es par les solutions de IDentity as a Service, qui rappelons le, propose notamment un syst\u00e8me de f\u00e9d\u00e9ration multi-tiers en mode SaaS. Ping Identity a essay\u00e9 de r\u00e9agir sur le segment IDaaS, mais leur architecture produit n&#8217;a pas convaincu, laissant le champs libre \u00e0 Microsot, Centrify et Okta sur le march\u00e9 IDaaS. Il fallait donc r\u00e9gir pour ce leader \u00e9tabli \u00a0de la f\u00e9d\u00e9ration d&#8217;identit\u00e9.<\/p>\n<p><strong>En septembre dernier, Microsoft annon\u00e7ait donc son partenariat avec Ping Identity:<\/strong><\/p>\n<p><a href=\"https:\/\/blogs.technet.microsoft.com\/enterprisemobility\/2016\/09\/14\/azuread-and-pingaccess-partnering-to-bring-you-secure-remote-access-to-even-more-on-premises-web-apps\/\" rel=\"attachment wp-att-1838\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-full wp-image-1838\" src=\"http:\/\/identitycosmos.com\/wp-content\/uploads\/2017\/04\/Ping-and-Microsoft_thumb.jpg\" alt=\"\" width=\"644\" height=\"358\" srcset=\"https:\/\/identitycosmos.com\/wp-content\/uploads\/2017\/04\/Ping-and-Microsoft_thumb.jpg 644w, https:\/\/identitycosmos.com\/wp-content\/uploads\/2017\/04\/Ping-and-Microsoft_thumb-300x167.jpg 300w\" sizes=\"auto, (max-width: 644px) 100vw, 644px\" \/><\/a><\/p>\n<p>En parall\u00e8le, Microsoft proposa en private preview puis en public review la fonction App Gateway int\u00e9gr\u00e9e \u00e0 Azure AD Connect avec notamment les possibilit\u00e9s suivantes:<\/p>\n<ul>\n<li>Fournir un acc\u00e8s aux applications internes sans modification des firewall, des routeurs ou des reverse proxy<\/li>\n<li>S\u00e9curisation de l&#8217;acc\u00e8s aux applications internes via un m\u00e9canisme de &#8220;reverse VPN&#8221; bas\u00e9 sur la fonction bus d&#8217;Azure<\/li>\n<li>Publication d&#8217;applications web internes utilisant IWA (Integrated Windows Authentication)<\/li>\n<li>Publication d&#8217;applications Web utilisant &#8220;form-based access&#8221;<\/li>\n<li>Publication d&#8217;applications publli\u00e9es via la fonction\u00a0Remote Desktop Gateway<\/li>\n<\/ul>\n<p>Ces avanc\u00e9es notoires permettant nottamment \u00e0 Microsoft de rattraper son retard sur la fonction Cloud Gateway propos\u00e9 par Centrify via son offre IDaaS.<\/p>\n<p><strong>Que peut donc me fournir Ping Identity en plus de ces fonctions d\u00e9j\u00e0 tr\u00e8s int\u00e9ressantes ?<\/strong><\/p>\n<p>La raison principale de ce partenariat est de pouvoir traiter des applications web internes utilisant l&#8217;authentification de type<a href=\"https:\/\/en.wikipedia.org\/wiki\/Basic_access_authentication\"> headers HTTP<\/a>.<\/p>\n<p>Pour ce, il sera n\u00e9cessaire d&#8217;installer un composant suppl\u00e9mentaire PingAccess au niveau du r\u00e9seau local, ce composant communiquant avec Azure AD Premium et le connecteur Azure AD Connect:<\/p>\n<p><a href=\"http:\/\/www.identitycosmos.com\/http:\/www.identitycosmos.com\/strategie\/quel-interet-a-utiliser-ping-identity-avec-azure-ad-premium\/attachment\/pingaccess1\" rel=\"attachment wp-att-1839\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-full wp-image-1839\" src=\"http:\/\/www.identitycosmos.com\/wp-content\/uploads\/2017\/04\/PingAccess1.jpg\" alt=\"\" width=\"780\" height=\"320\" srcset=\"https:\/\/identitycosmos.com\/wp-content\/uploads\/2017\/04\/PingAccess1.jpg 780w, https:\/\/identitycosmos.com\/wp-content\/uploads\/2017\/04\/PingAccess1-300x123.jpg 300w, https:\/\/identitycosmos.com\/wp-content\/uploads\/2017\/04\/PingAccess1-768x315.jpg 768w\" sizes=\"auto, (max-width: 780px) 100vw, 780px\" \/><\/a><\/p>\n<p>Pour ce, il est possible directement au niveau de la console Azure AD Premium de publier de telles applications en indiquant quelles seront acc\u00e9d\u00e9es en passant par le composant PingAccess:<\/p>\n<p><a href=\"http:\/\/www.identitycosmos.com\/http:\/www.identitycosmos.com\/strategie\/quel-interet-a-utiliser-ping-identity-avec-azure-ad-premium\/attachment\/pingaccess2\" rel=\"attachment wp-att-1840\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-full wp-image-1840\" src=\"http:\/\/www.identitycosmos.com\/wp-content\/uploads\/2017\/04\/PingAccess2.png\" alt=\"\" width=\"949\" height=\"724\" srcset=\"https:\/\/identitycosmos.com\/wp-content\/uploads\/2017\/04\/PingAccess2.png 949w, https:\/\/identitycosmos.com\/wp-content\/uploads\/2017\/04\/PingAccess2-300x229.png 300w, https:\/\/identitycosmos.com\/wp-content\/uploads\/2017\/04\/PingAccess2-768x586.png 768w\" sizes=\"auto, (max-width: 949px) 100vw, 949px\" \/><\/a><\/p>\n<p>Un des int\u00e9r\u00eats de cette combinaison est de &#8220;contourner&#8221; les options de s\u00e9curit\u00e9 assez faibles d&#8217;une authentification par headers Http en utilisant des APIs Azure sp\u00e9cifiquement d\u00e9velopp\u00e9es pour faire communiquer Azure AD Premium et PingAccess: ainsi, il sera possible de d\u00e9finir des r\u00e8gles d&#8217;acc\u00e8s et de r\u00f4les qui seront transpos\u00e9es et traduites par le composant PingAccess depuis le RBAC Azure:<\/p>\n<p><a href=\"http:\/\/www.identitycosmos.com\/http:\/www.identitycosmos.com\/strategie\/quel-interet-a-utiliser-ping-identity-avec-azure-ad-premium\/attachment\/pingaccess3\" rel=\"attachment wp-att-1841\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-full wp-image-1841\" src=\"http:\/\/www.identitycosmos.com\/wp-content\/uploads\/2017\/04\/pingaccess3.png\" alt=\"\" width=\"812\" height=\"673\" srcset=\"https:\/\/identitycosmos.com\/wp-content\/uploads\/2017\/04\/pingaccess3.png 812w, https:\/\/identitycosmos.com\/wp-content\/uploads\/2017\/04\/pingaccess3-300x249.png 300w, https:\/\/identitycosmos.com\/wp-content\/uploads\/2017\/04\/pingaccess3-768x637.png 768w\" sizes=\"auto, (max-width: 812px) 100vw, 812px\" \/><\/a><\/p>\n<p><strong>Quel avenir pour ce partenariat ?<\/strong><\/p>\n<p>Euhm&#8230; bonne question ! Pour ma part je ne suis pas convaincu par le fait que cette fonction sera suffisante a faire d\u00e9coller le partenariat technologique et commercial, surtout que pour l&#8217;instant le mod\u00e8le de pricing de PingAccess pour Azure AD est assez obscure, Ping Identity n&#8217;\u00e9tant pas sp\u00e9cialement connu pour le c\u00f4t\u00e9 bon march\u00e9 de ses produits&#8230; (bon, apr\u00e8s ce sont de tr\u00e8s bons produits, tout se paye). De plus, au travers de mes diff\u00e9rentes missions de consulting sur la partie IDaaS, ce type d&#8217;authentification (Headers Http) n&#8217;\u00e9taient pas la priorit\u00e9 des clients&#8230;<\/p>\n<p>Un point strat\u00e9gique important est de comprendre que les offres de IDaaS vont petit \u00e0 petit \u00e9liminer le besoin de solution de f\u00e9d\u00e9ration d&#8217;identit\u00e9 install\u00e9es localement (ADFS, Shibboleth, Ping, ForgeRock, etc.) et vont remplacer sous forme de service SaaS l&#8217;ensemble des composants de f\u00e9d\u00e9ration. Bien sur, pour des besoins tr\u00e8s sp\u00e9cifiques, notamment en ce qui concerne des sc\u00e9narios complexes dans des grandes entreprises, les passerelles de f\u00e9d\u00e9ration d&#8217;identit\u00e9 install\u00e9es localement ont encore de beaux jours devant elles, mais dans 5 ou 6 ans ? Pas certain\u00a0!<\/p>\n<p>Bon, \u00e0 la fin, cela serait peut-\u00eatre plus simple si Microsoft rachetait Ping Identity, non ? \ud83d\ude09<\/p>\n","protected":false},"excerpt":{"rendered":"<p>&nbsp;<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6,7],"tags":[39,42,114,187,188,228],"class_list":["post-1836","post","type-post","status-publish","format-standard","hentry","category-strategie","category-technique","tag-azure-active-directory","tag-azure-ad-connect","tag-http-headers","tag-ping-identity","tag-pingaccess","tag-sso"],"_links":{"self":[{"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/posts\/1836","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/comments?post=1836"}],"version-history":[{"count":0,"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/posts\/1836\/revisions"}],"wp:attachment":[{"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/media?parent=1836"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/categories?post=1836"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/tags?post=1836"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}