De nombreuses entreprises gèrent leur infrastructure informatique dans un environnement Microsoft. Il peut s'agir de l'Active Directory traditionnel sur site ou de l'intégration avec Azure et Office 365. Il existe de nombreuses méthodes différentes que vous pouvez utiliser pour authentifier votre environnement Acumatica sans avoir à utiliser une authentification Acumatica distincte.
Avantages de l'authentification externe
L'utilisation d'un fournisseur d'authentification externe plutôt que de l'authentification Acumatica intégrée présente de nombreux avantages :
- Les comptes d'utilisateurs seront créés lorsque l'utilisateur se connectera pour la première fois à Acumatica.
- Utiliser le même nom d'utilisateur et le même mot de passe dans tous les domaines sans services de synchronisation ou de gestion des identités
- Les rôles sont définis par vos groupes existants et mis en correspondance avec les rôles Acumatica.
- Possibilité de configurer l'authentification unique
Il existe 4 méthodes principales pour intégrer votre environnement Microsoft avec Acumatica :
- Active Directory via LDAP
- Services de fédération Active Directory (ADFS)
- Azure Active Directory / Office 365
- Services de domaine Azure AD (DS)
Active Directory / Azure AD Domain Services
Microsoft Active Directory est installé depuis de nombreuses années dans les entreprises pour assurer la gestion centralisée et la sécurité des serveurs, des postes de travail et d'autres dispositifs. Il se peut que votre entreprise ait mis en place Active Directory et qu'elle souhaite intégrer ses comptes utilisateurs à Acumatica. Vos utilisateurs entreront leur nom d'utilisateur et leur mot de passe dans la boîte de connexion standard d'Acumatica pour se connecter à leur compte.
Azure AD Domain Services est l'application de Microsoft qui expose l'Active Directory traditionnel à partir d'Azure afin que vous puissiez utiliser les protocoles traditionnels de l'Active Directory. Vous pouvez l'activer si vous hébergez Acumatica sur une VM Azure et que le serveur est relié à Azure Active Directory via Azure AD DS. Vous pouvez alors connecter Acumatica de la même manière que si vous utilisiez AD sur site.
L'authentification Active Directory convient parfaitement à un environnement autogéré, car vous avez besoin d'une connexion directe entre Acumatica et Active Directory. Active Directory LDAP peut être crypté en utilisant SSL sur le port 636, mais Acumatica ne prend pas en charge la connexion via SSL. Il n'est pas recommandé d'exposer LDAP non crypté sur Internet.
https://azure.microsoft.com/en-us/services/active-directory-ds/
Services de fédération Active Directory (ADFS)
Active Directory Federation Services, ou ADFS, est le produit de Microsoft qui permet d'intégrer des applications externes à Active Directory à l'aide de protocoles tels que OpenID et OAuth. ADFS est une fonctionnalité incluse dans Windows Server.
ADFS fournit une fonctionnalité d'authentification unique qui peut être configurée avec des navigateurs spécifiques via des chaînes d'agent utilisateur ainsi que la configuration de l'authentification passthrough sur le navigateur Web. Acumatica peut être configuré pour rediriger automatiquement vers votre serveur ADFS, permettant aux utilisateurs de visiter votre instance Acumatica et de s'identifier automatiquement. Vous pouvez configurer des fournisseurs d'authentification multi-facteurs via ADFS comme Azure MFA ou Duo Mobile pour ajouter une couche de sécurité supplémentaire à vos utilisateurs. L'authentification unique avec 2FA demandera à l'utilisateur de fournir son jeton MFA lorsqu'il se connectera à Acumatica, même si le SSO est configuré. La déconnexion d'Acumatica entraînera également la déconnexion d'ADFS.
ADFS peut être configuré sur site ou sur une VM en nuage pour fournir une authentification à vos utilisateurs. ADFS dispose d'un basculement intégré, vous pouvez donc configurer une redondance via une ferme ADFS pour éviter une panne de vos applications en nuage lorsque votre site principal est hors ligne. Ce scénario fonctionne également très bien pour les clients auto-hébergés qui souhaitent continuer à utiliser l'authentification lorsque leur connexion internet est hors ligne.
https://docs.microsoft.com/en-us/windows-server/identity/active-directory-federation-services
Authentification Azure Active Directory (Office 365, ADAL)
Azure Active Directory dispose d'une prise en charge étendue par des tiers pour l'authentification des applications, de la même manière qu'Exchange est authentifié. Azure Active Directory offre de nombreuses fonctionnalités, notamment l'authentification multifactorielle intégrée, l'authentification unique, la création de rapports et la journalisation. Vous n'avez pas à maintenir l'infrastructure si vous utilisez Azure AD. Acumatica utilise Azure Active Directory Authentication Libraries (ADAL) pour communiquer avec Azure AD.
Comment les comptes d'utilisateurs sont-ils créés ?
Active Directory, Azure AD DS et Azure ADAL prennent en charge la pré-création d'utilisateurs à partir d'Active Directory. Vous pouvez cliquer sur Ajouter un utilisateur Active Directory dans l'écran Utilisateurs pour les ajouter.
À partir de là, vous pouvez choisir l'utilisateur que vous souhaitez créer à partir d'un sélecteur, et il configurera les paramètres en lecture seule et les paramètres cachés sur l'utilisateur comme la source, car ces paramètres ne sont pas visibles sur l'interface utilisateur.
Les comptes d'utilisateurs sont également créés la première fois qu'un utilisateur se connecte. Les groupes d'utilisateurs d'AD seront également repris afin d'attribuer des rôles aux utilisateurs.
Actuellement, avec l'ADFS, vous ne pouvez créer des utilisateurs qu'au moment où ils sont connectés. Il n'y a pas de paramètres pour créer un utilisateur d'authentification de réclamation à partir de cet écran. Les groupes de l'utilisateur sont également transférés du serveur ADFS en tant que réclamations.
La pré-création des comptes utilisateurs permet de mapper les enregistrements des employés avant que le nouvel employé ne se connecte, plutôt qu'après. C'est l'un des inconvénients de l'authentification ADFS.
Quelles sont les différences dans la configuration des rôles ?
Les rôles d'utilisateur sont configurés au même endroit dans Acumatica sur différents onglets, mais il y a plus de différences. En utilisant Active Directory ou Azure Active Directory Authentication, vous pouvez parcourir les groupes sur le domaine ou Azure à attacher à un rôle en utilisant un contrôle de sélection.
Le même groupe ajouté par l'intermédiaire de l'ADFS doit être saisi manuellement dans la rubrique "Sinistres". Le formatage du groupe serait DOMAIN\GROUP.
Quelles sont les principales différences entre les différentes méthodes d'authentification lorsqu'un utilisateur souhaite se connecter ?
Il existe quelques différences dans leur fonctionnement, outre la manière dont l'authentification est configurée.
L'authentification Azure ADAL et ADFS n'utilise pas le formulaire de connexion pour s'authentifier - elle utilise l'icône de redirection. Vous ne pouvez pas utiliser les deux.
Vous pouvez également activer la redirection automatique vers le serveur SSO depuis Acumatica. Voici un exemple d'environnement configuré pour ADFS avec redirection automatique.
<externalAuth authUrl=”Frames/AuthDock.ashx” silentLogin=”Federation” externalLogout=”True” selfAssociate=”True” instanceKey=”” claimsAuth=”True”>
Le silentLogin indique qu'il doit être redirigé vers le serveur de la Fédération. La déconnexion externe est également définie de sorte que lorsque l'utilisateur se déconnecte d'Acumatica, il se déconnecte du serveur d'authentification et de toutes les autres applications connectées par l'intermédiaire du navigateur Web.
L'application DeviceHub ainsi que le Report Designer ne prennent en charge que l'authentification Active Directory (LDAP) et Acumatica.
L'application mobile Acumatica demandera aux utilisateurs de se connecter via le bouton de connexion Active Directory à chaque fois avec les méthodes ADAL ou ADFS. LDAP et l'authentification intégrée permettent aux utilisateurs de se reconnecter avec des données biométriques telles que Face-ID sur iOS, alors que les autres méthodes ne le permettent pas. Si vous utilisez ADAL, les utilisateurs peuvent sélectionner l'option de rester connectés, ce qui leur permet de se reconnecter rapidement à l'application mobile, mais ils ne seront pas invités à se connecter à l'aide de la reconnaissance bio-métrique.
Que faire si je veux utiliser plusieurs types d'authentification ?
Les paramètres pour ADFS sont partagés avec Azure ADAL, et Active Directory est partagé avec Azure ADAL. Vous devrez en choisir un, mais vous pouvez toujours utiliser l'authentification Acumatica intégrée en même temps.
Que faire si je veux changer le type d'authentification ?
Le principal problème lié à la modification des schémas d'authentification est que de nombreuses valeurs doivent être mises à jour dans la base de données, alors qu'elles ne sont pas exposées dans l'interface utilisateur. La table Users a quelques attributs qui devraient être modifiés. ExtRef est mappé différemment entre ADFS et ADAL. Les formats des noms d'utilisateur sont également différents d'un système à l'autre. Il ne s'agit pas d'un processus documenté et actuellement pris en charge par Acumatica. Ce n'est pas une tâche facile à entreprendre.
Quelle est la solution la plus adaptée à mon entreprise ?
Il s'agit d'une question complexe, car de nombreux facteurs doivent être pris en compte. Le lieu d'hébergement d'Acumatica a un impact important sur votre décision.
ADFS et Active Directory fonctionnent très bien pour les clients qui hébergent Acumatica sur site et qui veulent accéder à l'application en interne lorsque leur connexion Internet est interrompue.
Les utilisateurs pourront utiliser le formulaire de connexion standard d'Acumatica sur les applications web et mobiles sans avoir à rediriger vers une autre page web si vous utilisez Active Directory ou Azure AD DS. Ces utilisateurs pourront également mettre en cache leurs informations d'identification sur l'application mobile et se connecter à l'aide de bio-métriques.
Je ne sélectionnerais l'authentification Active Directory que si vous avez vos propres serveurs Active Directory sur le même site que les serveurs Acumatica que vous hébergez - soit sur place, soit dans le nuage sur une infrastructure virtuelle autogérée telle qu'Azure.
ADFS et Azure AD ADAL permettent une connexion unique à Acumatica, alors qu'Active Directory et Azure AD DS ne le permettent pas.
Les entreprises qui déploient DeviceHub à grande échelle devront créer des comptes pour utiliser l'application si vous utilisez ADFS ou Azure AD ADAL.
Si vous utilisez Acumatica avec un modèle de logiciel en tant que service (SaaS), vous devez utiliser l'authentification Azure AD ADAL ou ADFS car ils communiquent de manière sécurisée sur Internet via HTTPS.
Les clients qui disposent d'une infrastructure ADFS existante qui s'intègre à Office 365/Azure ou à d'autres applications peuvent souhaiter utiliser leurs propres serveurs.
Certains clients sont configurés pour synchroniser leurs annuaires dans le nuage via Azure AD Connect dans un environnement hybride, mais ne disposent pas de la licence Premium. Parmi les fonctionnalités payantes qui peuvent vous faire penser à ADFS, citons l'authentification multifactorielle, la récupération du mot de passe et la réinitialisation du mot de passe en libre-service. Si vous disposez d'Azure AD Connect mais pas d'un système de récupération de mot de passe ou de réinitialisation de mot de passe en libre-service, vos utilisateurs seront invités à contacter le service informatique pour modifier leur mot de passe. ADFS peut être l'option la plus conviviale et la plus rentable si vous ne disposez pas encore d'Azure AD Premium dans une configuration hybride.
Vous pouvez consulter les caractéristiques des différents niveaux de licence sur le site https://azure.microsoft.com/en-us/pricing/details/active-directory/.
Résumé
Il existe plusieurs façons d'obtenir une authentification basée sur Active Directory via Acumatica. De nombreux facteurs doivent être pris en compte lors de la sélection de la plateforme d'authentification : l'expérience de l'utilisateur, le type de plateforme Acumatica, les licences et l'infrastructure de votre entreprise. Il n'existe pas de moyen simple de changer de méthode d'authentification, ce qui donne encore plus d'importance à cette décision. J'espère que ce blog a apporté suffisamment d'informations pour faciliter vos décisions.