Plusieurs méthodes d’authentification sont possibles pour se connecter à Azure AD / Office 365 :

Password Hash Synchronization (PhS)
Active Directory Federation Services (ADFS)
Pass-Through Authentication (PTA)

D’autres méthodes sont possibles avec des outils non-Microsoft (PingFederate, Okta, etc.) mais celles-ci ne nous intéressent pas dans cet article.

Table of Contents

Méthode 1 – Password Hash Synchronization

Cette méthode d’authentification est l’un des plus anciennes avec l’ADFS. C’est également la plus simple à déployer puisqu’elle ne nécessite que d’un serveur AAD Connect. C’est en effet le même outil qui va s’occuper de la synchronisation des identités et des mots de passe.
Attention, ce n’est qu’un hash du mot de passe qui est synchronisé et non le mot de passe. Contrairement au chiffrement, le hash n’est pas réversible et on ne peut pas revenir à la chaîne de caractère initiale.
Plus de détails ici : https://learn.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-password-hash-synchronization

Ainsi, comme Microsoft connait le hash du mot de passe, l’authentification est réalisée dans le cloud, dans l’infrastructure de Microsoft, sans passer par l’infrastructure on-premises.

Méthode 2 – Fédération avec ADFS

L’ADFS est le scénario le plus utilisé au sein des entreprises. Vous aurez toujours besoin de l’AAD Connect mais l’authentification que vous utilisez sera fédérée. Cela signifie que lorsque vous accédez à vos serveurs Office365/Azure, Microsoft s’appuiera sur votre infrastructure on-prem ADFS pour authentifier vos collaborateurs.

Méthode 3 – Pass-Through Authentication

Dans ce dernier scénario, l’authentification est toujours réalisée par l’infrastructure on-prem mais on va déployer un agent spécifique qui sera responsable de l’authentification.

Cet agent sera déployé au sein de l’infrastructure on-prem, bien évidemment il sera préférable de le redonder afin d’assurer une authentification continue.