Gestion des identités Christian-Pierre Belin

Transcription

1 Gestion des identités Christian-Pierre Belin Architecte Microsoft France

2 La gestion des identités Le périmètre et les rôles Services d annuaire Point de stockage et d administration des comptes, des informations d identités et des codes confidentiels Gestion du cycle de vie des identités L ensemble des processus utilisés pour créer, supprimer ou gérer les informations d identités, en conformité avec une politique centrale Gestion des accès Le fait d authentifier les codes confidentiels et de contrôler les accès aux ressources en fonction de critères de confiance ou d informations d identités

3 Solutions de gestion des identités de Microsoft Services d annuaire: Active Directorycomme comme annuaire d infrastructure ADAM comme annuaire applicatif (LDAP) Gestion du cycle de vie des identités: Microsoft Identity Integration Server (MIIS) Gestion des accès: Windows SSO Évolutions

4 Active Directory La fondation pour la gestion des identités Services d annuaire Windows Users Account Information Privileges Profiles Policies Single Sign-On Windows Servers Network Resources File Shares Printers Policies Windows Clients Configuration Security Quarantine Policies Microsoft Products Product Information Privileges Profiles Policies Automated deployment Active Directory Operational Efficiency Improved Security Improved Productivity Interoperability Network Devices Configuration Quality of Service Security Policies Single Sign-On Other Systems Directories Databases Mainframes UNIX 3 rd Party Applications Single Sign-On Automated deployment Configuration App-specific directory data Firewall Services Configuration Security Policy VPN & Remote Access Quarantine Single Sign-On Point central pour l administration des utilisateurs et du réseau Référentiel de sécurité pour la sécurité du réseau et des applications Architecture d intégration possible pour les applications

5 Active Directory Services d annuaire Annuaire LDAP Schéma, DIT, Domaines, notion de sites Données utilisateur et données de service Réplication multi maître (Optimisation pour les WAN & LAN) ACLs,, Groupes, rôle de catalogue global Annuaire d infrastructure Service Kerberos,, relations d approbations Intégration aux services DNS, DHCP, WINS Rôle de contrôleur de domaine Gestion des services de fichier et d impression Stratégies de groupe LDAP MAPI DSA REPL AuthN SSO Secure AuthN DNS Policy

6 ADAM Active Directory in Application Mode Annuaire LDAP Plus performant qu AD, plus flexible Schéma, DIT, Domaines, notion de sites Services d annuaire Données utilisateur et données de service (inetorgperson( inetorgperson) Réplication multi maître (Optimisation pour les WAN & LAN) ACLs,, Groupes, rôle de catalogue global Proxy bind vers AD (SSO) Aucune fonctionnalités d annuaire d infrastructure Pas de Kerberos ni de relations d approbations Aucune intégration aux services DNS, DHCP, WINS Pas d empreinte sur le serveur Pas de stratégies de groupe LDAP DSA REPL

7 Types d annuaires Services d annuaire Annuaire d infrastructure Novell e-directorye Microsoft Active Directory Annuaire applicatif IBM Directory Server SunONE Directory Server Critical Path Injoin Siemens DirX Microsoft AD/AM LDAP MAPI REPL AuthN SSO LDAP REPL DSA Secure AuthN DSA DNS Policy

8 Types d annuaire Services d annuaire Annuaire d infrastructure Novell e-directorye Microsoft Active Directory Annuaire applicatif IBM Directory Server SunONE Directory Server Critical Path Injoin Siemens DirX Microsoft AD/AM LDAP MAPI REPL AuthN SSO LDAP REPL DSA Secure AuthN Intégration Native DSA DNS Policy

9 MIIS Gestion du cycle de vie des identités Gestion du cycle de vie des identités Terminaison des identités - Suppression/désactivation des comptes - Suppression/désactivation des accès Création des identités - Création d un user ID - Afectation d un code privé - Droits d accès Gestion des mots de passe - Mots de passe fort - Mots de passe perdus - Reset des mots de passe Modification des identités - Promotions - Mutation - Nouveaux droits/privilèges - Modification d atributs

10 MIIS Gestion du cycle de vie des identités Gestion du cycle de vie des identités Réduit les coûts et les délaisd Améliore la sécurits curité Solution extensible Vers la fédérationf d identité et le SSO Intégration des référentielsr rentiels du SI (meta directory) Expose une vue unifiée e des informations d identitd identité dans l entreprise Supporte un très s large nombre de sources distantes Détection des changements et synchronisation Architecture non intrusive Moteur basé sur la technologie SQL Provisioning Automatise les process de création/suppression des comptes Workflow Gestion des mots de passe Changement des mots de passe en Self Service Application de reset pour le HelpDesk Solution extensible Synchronisation des mots de passe depuis AD

11 MIIS 2003 Scénario d utilisation - Meta Annuaire traditionnel Import des entrées depuis le référentiel maître Enrichissement à partir des autres sources Consolidation dans un annuaire cible Mise à disposition d une interface de Consultation Gestion des données Gestion du cycle de vie des identités Applications Pages Jaunes/Blanches Portail Application métier Extranet Client Single Sign-On PABX Annuaire Active Directory

12 Single Sign-On basé sur Active Directory Gestion des accès Active Directory w/ Integrated Kerberos KDC Logon Windows Exchange Serveurs de fichiers Applications Web Kerberos Ticket Applications Windows intégrées Kerberos Protocole d auth. natif de Windows MIT v5 Compliant Informations d autorisation contenues dans le PAC Le Windows PAC est ouvert Services & applications qui utilisent Kerberos Login, rlogin, telnet, ftp Mais aussi Apache, J2EE Solution partenaire: Vintela AccessMaster Unix / Linux Hosts Oracle, SAP, etc. Single Sign-on vers: Serveurs de fichiers Windows Serveur SQL & Exchange Web Applications Les applications 3 rd Partie intégrées (cidessus) Les OS Unix / Linux OS et les applications intégrées

13 Évolutions Vers le Web SSO, ADFS Objectif, étendre la valeur de l AD au Web Solution de Single Sign On pour le Web Livrée avec Windows Server 2003 R2 Interopérabilité avec les autres systèmes & solutions Bâtie sur les spécifications WS-* Support de multiples jetons de sécurité Scénario clés B2B fédération d identité B2C Web SSO Intégration RBAC Réutilisation du modèle de gestion des accès par rôles, Autorisation Manager (Azman( Azman) FS Proxy Federation Service LDAP Store Authorization Manager Active Directory Browser Smart Gestion des accès

14 Bull et Microsoft partenaires pour lesl solutions Windows Server 2003 Collaboration technologique de Bull avec Microsoft R&D à Redmond Microsoft Windows Server 2003, SQL Server 2005 (Yukon) Trois serveurs Bull NovaScale processeurs à Redmond Centre de Support Windows Server 2003 Datacenter Edition Centre Haute Disponibilité Européen (Nantes) Centre de Compétences Européen (Paris) Centre de Services Offre de Services de Conseil, Integration et Infogerance Benchmark, support et optimisation de Windows Server 2003 Centre de formation et certification Microsoft (Gold Certified Partner) pour lesl solutions IAM Annuaires : IAM : Fédération : AccessMaster utilise Active directory comme source d autorité AccessMaster solution de SSO et de provisionnement, complément de MIIS pour les environnements hétérogènes AccessMaster utilise notamment l infrastructure Microsoft l authentification kerbeiros, la CA,

15