Authentification multi facteurs avec Windows Azure Multi-Factor Authentication – partie 1

Microsoft a racheté il y a quelques mois la société PhoneFactor, et son service d’authentification a été intégré au sein de nos solutions en tant que Windows Azure Multi-Factor Authentication (pour les plus assidus, il s’est aussi appelé Windows Azure Active Authentication durant quelques semaines).

Restons simples : Il s’agit ici d’offrir à nos clients un service d’authentification multi facteur utilisant un système dont nous disposons normalement tous : le téléphone. Lorsqu’un utilisateur va s’authentifier sur des ressources de l’entreprise hébergées sur site ou même dans un cloud, en plus des credentials du domaine, l’utilisateur sera authentifié avec son téléphone.

L’objectif de cette série d’articles est de vous montrer comment mettre en œuvre pas à pas la solution pour protéger l’accès à différents types de ressources.

Nous aurons plusieurs articles dans cette série :

  1. Introduction à Windows Azure Multi-Factor Authentication (vous êtes ici)
  2. Installation et paramétrage du serveur Windows Azure Multi Factor Authentication
  3. Installation et paramétrage de Remote Desktop Gateway
  4. Installation et paramétrage du portail utilisateur
  5. Installation et paramétrage pour l’application mobile
  6. Installation et paramétrage pour ADFS

Méthodes d’authentification utilisables

A l’heure actuelle, les méthodes supportées pour s’authentifier sont :

  • Appel téléphonique automatisé : l’utilisateur doit répondre à l’appel et presser une touche ou un code PIN.
  • Echange de SMS : l’utilisateur reçoit un SMS avec code OTP (one-time password) avec ou sans envoi de code PIN préalable
  • Application sur téléphone ou tablette : une fois le périphérique associé à l’utilisateur, il génèrera un code d’authentification toujours avec la possibilité de saisie d’un code PIN préalable. L’application est présente sur les platerformes principales du marché :

WindowsStore_badge_black_en_small_40x125 google_pla_store_android itunes_en

Lien

Lien

Lien

Applications supportées

MFA permet de sécuriser l’accès à des applications directement dans un service de cloud comme Windows Azure, Office 365 et Dynamics CRM Online ou tout autre service qui s’intègre avec Windows Azure Active Directory.

Pour sécuriser des services dans vos datacenter, c’est aussi un composant serveur qui s’installe dans votre sur Windows Server et permet d’authentifier :

  • connexion Terminal Server
  • accès VPN
  • accès à la messagerie OWA
  • accès à ADFS
  • accès à une application IIS

Enfin c’est également un Software Development Kit pour intégrer la solution à un projet plus personnalisé.

En attendant la suite pour mettre en œuvre la technologie dans un environnement de test, quelques lectures :

Technical Scenarios for Windows Azure Multi-Factor Authentication – http://technet.microsoft.com/en-us/library/dn394279.aspx 

Windows Azure Multi-Factor Authentication Release Notes – http://technet.microsoft.com/en-us/library/dn465794.aspx 

Quelques exemples de mise en œuvre de la technologie chez Fredrikson & Byron, http://www.microsoft.com/casestudies/Case_Study_Detail.aspx?casestudyid=710000003252

Pour tester Windows Azure Multi-Factor Authentication, vous pouvez évaluer Azure par ici : https://aka.ms/Azure0Euro

Pour tester Windows Server 2012 R2, vous pouvez télécharger gratuitement la version d’évaluation disponible sous la forme :

Si vous souhaitez découvrir en 4 heures nos technologies telles que Windows Server 2012 R2, Windows 8.1 en entreprise, le Cloud Privé ou Hybride, vous pouvez vous inscrire gratuitement à un de nos IT Camps :

https://aka.ms/itCampFr

Arnaud – les bons tuyaux

Active Directory et Windows Azure

Lorsque l’on veut utiliser l’authentification AD dans des VM hébergées dans Azure, il y a un ensemble de précautions et de considérations à avoir en tête. Dans cette présentation ave Stanislas, revenons sur les aspects majeurs à considérer :

Un des prérequis est d’avoir une liaison site à site comme décrite ici :

Interconnexion de Windows Azure IaaS avec votre Datacenter – http://blogs.technet.com/b/arnaud/archive/2013/10/14/interconnexion-de-windows-azure-iaas-avec-votre-datacenter.aspx

Cloud Hybride : VPN Site-à-Site avec Azure et Windows Server 2012 – http://blogs.technet.com/b/arnaud/archive/2013/06/06/cloud-hybride-vpn-site-224-site-avec-azure-et-windows-server-2012.aspx

Enfin, plus d’informations plus d’informations sont disponibles ici :

Guidelines for Deploying Windows Server Active Directory on Windows Azure Virtual Machines – http://msdn.microsoft.com/library/windowsazure/jj156090.aspx

Pour tester Windows Server 2012 R2, vous pouvez télécharger gratuitement la version d’évaluation disponible sous la forme :

Pour tester Windows Azure : https://aka.ms/Azure0Euro  

Si vous souhaitez découvrir en 4 heures nos technologies telles que Windows Server 2012 R2, Windows 8.1 en entreprise, le Cloud Privé ou Hybride, vous pouvez vous inscrire gratuitement à un de nos IT Camps :

https://aka.ms/itCampFr

Arnaud – les bons tuyaux

Interconnexion de Windows Azure IaaS avec votre Datacenter

Lorsque l’on veut interconnecter Windows Azure IaaS avec le datacenter d’entreprise, on a la possibilité d’utiliser le VPN site-à-site avec la passerelle Azure. Découvrez comment mettre cela en œuvre dans cette petite vidéo avec Stanislas !

Nous ne parlons pas dans cette démo de l’option MPLS, mais elle a été annoncée aux Etats Unis avec AT&T, on peut donc raisonnablement penser que cette option pourrait venir en Europe dans les mois prochains au fur et à mesure que des accords seront signés avec les opérateurs régionaux !

Annonce AT&T : http://www.business.att.com/enterprise/Family/network-services/ip-vpn/ 

Annonce Microsoft :http://www.microsoft.com/en-us/news/press/2013/sep13/09-18msattpr.aspx 

Un partenariat avec Equinix a également été annoncé plus récemment, il sera donc possible d’y avoir encore plus de débit ! http://www.microsoft.com/en-us/news/press/2013/oct13/10-07hybridcloudpr.aspx 

Pour tester Windows Server 2012 R2, vous pouvez télécharger gratuitement la version d’évaluation disponible sous la forme :

Pour tester Windows Azure : https://aka.ms/Azure0Euro  

Si vous souhaitez découvrir en 4 heures nos technologies telles que Windows Server 2012 R2, Windows 8.1 en entreprise, le Cloud Privé ou Hybride, vous pouvez vous inscrire gratuitement à un de nos IT Camps :

https://aka.ms/itCampFr

Arnaud – les bons tuyaux

    Cloud Hybride : VPN Site-à-Site avec Azure et Windows Server 2012

    Durant les prochains mois, nous passerons beaucoup de temps sur les infrastructure de type Cloud Hybride, si vous êtes intéressés par le sujet, venez nous voir lors d’un de nos IT CAMPS, il y a forcément une conférence près de chez vous : Liste des IT CAMPS.

     

    Ce que nous cherchons à réaliser dans cet article est une liaison site-à-site ou site-à-Azure afin d’avoir une connectivité complète entre un datacenter et la plateforme Azure IaaS.

     

    Prenons un exemple simple:

    SchemaReseaux 

    Dans mon entreprise, j’ai le réseau DatacenterElysees avec pour réseau 192.168.2.0/24, j’ai dans mon Datacenter une passerelle VPN avec Windows Server 2012 qui a pour adresse IPv4 publique A.B.C.D.

    Dans Azure, je défini un réseau virtuel 10.0.0.0/16, avec une passerelle Azure qui a pour adresse IPv4 publique D.E.F.G

    Voyons les étapes qui me permettent d’établir une liaison sécurisé entre les deux infrastructure pour bénéficier d’un accès IP transparent entre le deux centres de données.

     

     

    Configuration du VPN dans Azure IaaS

    Nous partirons du postulat que les réseaux virtuels ont été crées dans Azure comme suit :

    vnets vnets2
    Vue dashboard Vue configuration

     

    Une fois les réseaux virtuels définis dans Azure, il nous faut :  

    1. Définir le réseau de notre DatacenterElysees et sa passerelle
    2. Activer la connexion au réseau local
    3. Activer la passerelle Azure

     

     

    1. Définir notre Datacenter dans Azure

    Il nous faut créer un nouveau réseau local, ce qui permettra de donner à Azure les caractéristiques de notre réseau d’entreprise pour y établir les règles de routage.

    newlocalnet Choix d’ajout d’un réseau local dans le portail de management Azure.
    localnet1 Ajout des informations concernant votre infrastructure : il s’agit ici des informations concernant votre passerelle IPsec (dans notre exemple, l’adresse IPv4 publique de notre RRAS Windows Server 2012)
    localnet2 Définition de la plage d’adresse IPv4 présentes dans votre Datacenter. Cela va permettre à Azure de définir le routage adéquat pour envoyer les paquets sur votre Datacenter.

     

     

    2. Activer la connexion au réseau local

    Pour activer la connexion au réseau local (notre Datacenter), il nous faut aller dans la section configuration du réseau virtuel Azure et cocher l’option ‘”Connect to the local network”. Il vous demander ensuite de choisir quel réseau local est à connecter. Nous choisissons ici le réseau local que nous venons juste de définir et créer un sous réseau qui sera dédié à la connexion. Notez que cela ci devra se situer dans la plage des sous réseaux virtuels Azure.

    activerlocal

     

    Une fois la configuration sauvegardée, le tableau de bord de votre réseau virtuel devrait maintenant ressembler à cela :

    dashboard1

     

     

    3. Activer la passerelle Azure

    Dans cette dernière étape, nous allons activer la passerelle Azure. C’est à partir de ce moment là qu’un qu’une adresse IPv4 publique d’Azure nous sera attribuée et que nous pourrons commencer à établir des connexions sécurisées avec le Cloud.

     

    Il nous faut sélectionner l’option suivante :

    gateway1

    et après confirmation :

    gateway2

     

    La création de la passerelle peut prendre jusqu’à 15 minutes… au bout desquelles nous obtenons :

     

    gateway3

     

    La passerelle est désormais opérationnelle !  Vous remarquez que la section Gateway IP Address vous donnera une IP d’Azure et non pas D.E.F.G comme j’ai masqué dans la capture d’écran.

     

    Notons deux aspects intéressants dans la barre du bas :

    gateway4

    La section manage key permet de gérer les clés partagées utilisées pour les liaisons IPsec.

    “Download" va permettre de télécharger un modèle de script de configuration pour différentes passerelles dont celle que je vais utiliser dans quelques instants :

    downloadmsft

     

    Il est maintenant temps de télécharger ce script de connexion et de le personnaliser pour interconnecter les sites.

     

     

    Configuration de Windows Server 2012 comme passerelle RRAS

    Dans mon exemple, je pars d’une machine Windows Server 2012 vierge et mise à jour, sur laquelle je vais appliquer le script de configuration que j’aurai personnalisé après son téléchargement du portail Azure.

     

    Le script est en Powershell v3.0 malgré l’extension .cfg et contient au début des fonctions techniques, mais nous avons uniquement besoin de modifier les variables suivantes à la fin du script :

    <SP_AzureGatewayIpAddress> Adresse IP de la passerelle Azure, dans notre exemple D.E.F.G
    <SP_AzureNetworkCIDR> Le réseau Azure en notation CIDR, dans notre exemple 10.0.0.0/16
    <SP_AzureNetworkMetric> La métrique réseau nécessaire, dans mon exemple je choisi la valeur 10, il peut être nécessaire de personnaliser selon la complexité de l’environnement.
    <SP_PresharedKey> La clé partagée donnée par le portail Azure

     

    Renommons alors le fichier en .ps1 et autorisons l’exécution de scripts locaux : Set-Execution-Policy RemoteSigned.

    Les puristes remarqueront sans doute que le script n’est pas très élaboré et il ne gère pas vraiment les erreurs. Parmi les choses qu’on peut signaler pour optimiser son déroulement :

    • Installer les composants RRAS séparément pour gérer le reboot:
      • Import-Module RemoteAccess
      • Install-RemoteAccess -VpnType VpnS2S
    • Rajouter un timer entre le redémarrage du service RRAS et le déclenchement de la connexion
      • Restart-Service RemoteAccess
      • Connect-VpnS2SInterface –Name D.E.F.G

    Une fois tout cela exécuté, cela devrait le faire… Une petite trace réseau vous permettra de vérifier le bon dialogue entre les machines : on s’attend à voir dans un premier temps une négociation d’association de sécurité en utilisant le protocole IKEv2, puis on doit voir du trafic ESP lorsque les réseaux échangent effectivement du contenu :

    SAESP

     

    Le portail Azure nous montre alors une connexion établie :

     connected

     

    Le serveur RRAS, doit montrer également un état connecté similaire au suivant :

    RASConnected

     

     

    Dans un prochain article, nous aborderons la haute disponibilité de cette solution et peut être plus encore selon vos retours !

     

    A bientôt lors d’un ITCAMP!

    Pour tester Windows Server 2012 et Windows 8, vous pouvez télécharger gratuitement la version d’évaluation disponible sous la forme :
    – d’une image ISO : https://aka.ms/jeveuxwindows2012
    – d’un fichier VHD avec un système préinstallé : https://aka.ms/jeveuxwindows2012

     

    Quelques références :  

    About VPN Devices for Virtual Network – http://msdn.microsoft.com/en-us/library/windowsazure/jj156075 

    Routing and Remote Access Service templateshttp://msdn.microsoft.com/en-us/library/windowsazure/dn133801.aspx

    Create a Virtual Network for Cross-Premises Connectivity – https://www.windowsazure.com/en-us/manage/services/networking/cross-premises-connectivity/

     

    Arnaud – les bons tuyaux