Présentation de l offre Gestion des identités

Transcription

1 Présentation de l offre Gestion des identités Date : 8 octobre /10/2007 L offre de gestion des identités Oracle Page 1

2 Table des matières 1. L OFFRE ORACLE DE GESTION DES IDENTITÉS INTRODUCTION ORACLE IDENTITY MANAGEMENT LES PRODUITS Oracle Access Manager Oracle Enterprise Single Sign-on Suite Oracle Identity Federation Oracle Identity Manager Oracle Internet Directory Oracle Virtual Directory /10/2007 L offre de gestion des identités Oracle Page 2

3 1. L OFFRE ORACLE DE GESTION DES IDENTITÉS 1.1 INTRODUCTION ORACLE IDENTITY MANAGEMENT Oracle Identity Management permet aux entreprises la gestion de boût-en-boût du cycle de vie de l identité des utilisateurs du système d information à travers toutes les applications. Avec Oracle Identity Management, il sera donc possible de déployer plus rapidement des applications, de mettre en œuvre des politiques de sécurité globales et d attribuer à chaque utilisateur les droits d accès suffisants et nécessaires pour réaliser les taches associées à sa fonction avec le niveau de privilèges applicatifs adapté. En déployant Oracle Identity and Access Management Suite dans sa totalité ou bien en ne déployant que les composants qui correspondent aux besoins actuels de l entreprise, il est possible d adapter au cours du temps l infrastructure technologique à l évolution du système d'information. Les technologies de la gestion des identités ont pour objectif l automatisation et la sécurisation de la gestion des identités utilisateurs à travers les applications de l entreprise. Cinq déclencheurs majeurs sont en général à l origine des projets de gestion d identité : 1. Réduction des incidents liés à la sécurité Beaucoup de brèves dans les journaux relatent des brèches de sécurité dans le système d information des entreprises, des accès non-autorisé à des applications souvent par des personnes externes à l entreprise ou des ex-employés. La gestion des identités aide à réduire ces risques par les contrôles des accès utilisateur et fournit un environnement robuste de gestion des identités, des privilèges applicatifs et met en œuvre des processus automatisés lors de l embauche, des mutations ou du départ d un employé 2. Simplification pour les utilisateurs Au fur et à mesure du déploiement de portail d entreprise qui aggègent des nombreuses applications, les utilisateurs souhaitent que l accès à ces différentes applications à travers le portal soit transparent. La gestion des identités fournit des outils de signature unique et de fédération d identité qui permettent d offrir aux utilisateurs une réelle simplicité au niveau des accès aux applications. 3. Mise en conformité avec les contraintes règlementaires Les entreprises doivent satisfaire aujourd hui à des règles de gestion financière précises en fonction de leur localisation géographique et du type de marché sur lequel elles opèrent. Ces règles de gestion doivent pouvoir être auditées et les processus d audit doivent pouvoir être automatisés afin de garantir la plus grande efficacité. Les technologies de la gestion des identités fournissent un environnement permettant de mettre en œuvre ces politiques globales de sécurité ainsi que des outils d audit. 4. Souplesse et agilité en fonction des évolutions Dans chaque industrie les sociétés innovantes recherchent des nouveaux moyens pour exploiter les services nouveaux offerts par Internet afin des relier plus rapidement les partenaires commerciaux, fournisseurs, clients. Les technologies de la gestion des identités comme la gestion des accès, la fédération d identités, la gestion de profils extranet ou encore l administration des services Web permettent de déployer de nouveaux types d applications qui vont permettre de mettre en œuvre ces nouveaux processus métiers à travers Internet. 5. Réduction des coûts d exploitation On demande à tous les services informatiques de «faire plus avec moins», supporter de nouvelles applications, gérer de nouvelles populations d utilisateurs (comme les clients et les partenaires). La gestion des identités aide les sociétés à administrer plus efficacement leur environnement informatique en mettant en œuvre une gestion centralisée des utilisateurs, des procédures de délégation d administration, des services d annuaires et des processus automatisés de provisionnement. 08/10/2007 L offre de gestion des identités Oracle Page 3

4 L environnement de Oracle Identity Management Les fonctionnalités couvertes par Oracle Identity Management 08/10/2007 L offre de gestion des identités Oracle Page 4

5 1.2 LES PRODUITS Oracle Access Manager est une solution à l état de l art pour le contrôle d accès et l administration centralisée des utilisateurs. Oracle Access Manager offre les fonctionnalités de signature unique pour les applications Web (WebSSO), gestion des habilitations et des droits d accès, self-service utilisateur, délégation d administration, gestion des politiques de mots de passes et audit des accès aux applications. Oracle Access Manager supporte les principaux annuaires, serveurs d applications, serveurs web et progiciels applicatifs du marché. Oracle Enterprise Single Sign-on Suite (Oracle esso) est composée de plusieurs produits qui permettent de gérer la multiplicité des mots de passe pour l ensemble des applications existantes (Windows, Client Server, Java, Web) dans tous les types de configurations (PC en reseau, PC déconnecté, PC partagé, mode kioque). Oracle esso prend en charge toutes fonctionnalités liées à la gestion de ces mots de passe incluant la phase de login, la sélection du mot de passe en fonction de l application, les changements de mot de passe et remise à zéro. Les deux objectifs de cette suite sont d offir un service de gestion transparente des mots de passe aux utilisateurs et de réduire les risques liés à la sécurité en supprimant les mots de passe écrits sur des bouts de papier ou des PDA. Oracle Identity Federation est un produit largement déployé de fédération d identités permettant de fédérer les identités entre différents domaines (sociétés, partenaires commerciaux, administrations). Elle s intègre avec les systèmes de contrôle d accès existants et met en œuvre les derniers standards comme Liberty ID-FF et SAML 2.0. Oracle Identity Manager est un système de provisionnement des identités d entreprise extrêmement flexible et puissant, qui contrôle et administre de manière centralisée les identités et les droits d accès aux ressources et applications du système d information. Il couvre les fonctionnalités d administration des rôles et des identités, la gestion des approbations et demandes de ressources, la gestion des attributions de droits basées sur des règles, l intégration avec les applications et infrastructures et l automatisation des audits et des rapports de conformité règlementaire. Oracle Identity Manager offre une très grande flexibilité et permet de très fortes montées en charge grâce à une architecture entièrement J2EE, en déploiement N-tiers, des interfaces utilisateurs et administration Web et une compatibilité Oracle Grid. Oracle Internet Directory est un service LDAP v3 qui combine la puissance de la technologie base de donnée Oracle conçue pour les environnements critiques avec la flexibilité et la compatibilité du standard d annuaire LDAP v3. Supportant les environnements hétérogènes, Oracle Internet Directory peut également être synchronisé avec d autres référentiels tels Microsoft Active Directory, SUN Java System Directory Server, Novell edirectory et OpenLDAP. Oracle Virtual Directory permet de déployer rapidement des applications utilisant des référentiels LDAP en fournissant en temps réel une vue virtuelle des données résidant dans des sources multiples de différent type, comprenant les annuaires, bases de données ou services web, et ce sans nécessiter de synchronisation ou de stockage des informations. Grâce à Oracle Virtual Directory, il est possible de réaliser des jointures d attributs distribués dans différentes sources de données. 08/10/2007 L offre de gestion des identités Oracle Page 5

6 L offre produit Oracle Identity Management 08/10/2007 L offre de gestion des identités Oracle Page 6

7 1.2.1 Oracle Access Manager Oracle Access Manager répond aux demandes des sociétés qui ont besoin d acroitre leur agilité pour leurs processus métier, de simplifier l accès au système d information à des partenaires extérieurs et de satisfaire aux contraintes règlementaires. Oracle Access Manager permet d atteindre ces objectifs en combinant les services d authentification et un contrôle d accès fin avec une gestion des identités très performante. Le service de gestion des identités de Oracle Access Manager met en œuvre les fonctions de gestion des utilisateurs, gestion des groupes de personnes, gestion des mots de passe et interface self-service. Son architecture très évolutive et ses fonctionnalités d administration déléguées permettent de gérer des populations importantes d utilisateurs dans des environnements complexes (multi-pays, multi-filiales, intranet et extranet). Les fonctionnalités du service de gestion des identités sont : Gestion des utilisateurs, des goupes et des organisations en incuant des groupes dynamiques basés sur des attributs du profil des utilisateurs (ex. appartenance à une géographie, fonctions, service) Interface Web Self-service d administration et de gestion des mots de passe afin de réduire les appels au centre de support Délégation d administration permettant d attribuer un ensemble de fonctions de gestion à des responsables administratifs, managers ou partenaires externes (extranet) Intégration via des inserts Web des interfaces d administration dans des applications Web existantes et portails Oracle Access Manager réalise la fonction de gestion des accès aux applications Web et met en œuvre les services de signature unique WebSSO pour les applications Web et les ressources J2EE comme les EJB et servlets et le contrôle d accès aux applications basés sur des politiques globales de sécurité avec les fonctionnalités suivantes : WebSSO pour un accès sécurisé aux applications Web avec une authentification unique Support de plusieurs niveaux d authentification en utilisant différentes méthodes comme les pages Web, les certificats numériques X509 et les cartes à puces Administration centralisée pour gérer les politiques globales d authentification et d autorisation Oracle Access Manager s intègre dans l infrastructure existante du système d information par l intermédiaire d agents afin de prendre en charge les principaux serveurs HTTP, Serveur d applications, annuaires LDAP, messageries et Base de données existantes. Gestion des accès avec Oracle Access Manager Oracle Access Manager permet de mettre en oeuvre de manière centrailsée les fonctions d authentification, d autorisation et d audit pour offir un service de signature unique WebSSO aux ressources Web de l entreprise comme les ressources J2EE (JSP,servlets, EJBs, etc.)et les applications Web, Portails. Le système de gestion des accès peut être étendu via des API afin de prendre en charge toutes les ressources dont l accès doit être controlé. 08/10/2007 L offre de gestion des identités Oracle Page 7

8 Oracle Access Manager Gestion des accès Oracle Access Manager - Authentification Le système de gestion des accès centralise l authentification des utilisateurs qui essayent d avoir accès à des applications Web et dont les ressources sont protégées par Oracle Access Manager. Les différentes méthodes d accès sont les suivantes : HTTP Basic username/password HTTPS Certificats X509 Carte à puce Tokens Page Web d authentification Spécifiques (authentifications via Authentification APIs ) Le système de gestion des accès permet aux clients de définir leur propre gestion du contrôle des accès avec des hiérarchies de niveaux d authentification afin de s adapter avec les contraintes métiers et organisationnelles de l entreprise. Par exemple il est possible de protéger l accès à un portail d entreprise avec un simple username et mot de passe mais pour l accès à des applications manipulant des données plus sensibles comme la paye par exemple une authentification par certificat numérique ou carte à puce peut être exigée. 08/10/2007 L offre de gestion des identités Oracle Page 8

9 De plus, le modèle d authentification basée sur des politiques d accès permet aux clients de définir de flux ou étapes au cours desquelles il sera possible de gérer différents types de réponses, de référentiels d authentification. Par exemple, un flux qui nécessite une authentification par username et mot de passe peut d abord essayer de vérifier les données envoyées auprès d un annuaire LDAP et s il y a échec, essayé de vérifier l authentification auprès d un domaine Windows, et ces différentes étapes sont invisibles par l utilisateur. Access Manager dispose de plusieurs interfaces (API) bien documentées pour permettre l intégration de mécanismes et produits tiers (cartes à puce, outils biométriques, etc) Oracle Access Manager Des API pour étendre les fonctionnalités Une fois que l utilisateur s est authentifié, le système de gestion des accès créé une session attestant de l authentification préalable correcte de l utilisateur afin que l utilisateur n ai plus à se signer lors de l accès à d autres applications sous le contrôle de Oracle Access Manager Oracle Access Manager - Autorisations Par défaut, le système de gestion des accès fournit un service centralisé de contrôle des autorisations pour l accès aux applications Web et ressources J2EE. La gestion des autorisations est sous le contrôle d un «Policy Domain» qui inclus un ensemble de règles qui vont régir l accès aux ressources protégées dans ce domaine. A travers la console Web d administration, on va pouvoir définir les règles basées sur les utilisateurs, l appartenance à des groupes, des rôles, des données temporelles, des adresses IP. 08/10/2007 L offre de gestion des identités Oracle Page 9

10 La gestion centralisée des autorisations va réduire les coûts de développement car les développeurs n auront plus qu à mettre en œuvre les fonctionnalités métiers sans avoir à se préoccuper des gérer dans chaque application les règles d accès aux composants applicatifs. Oracle Access Manager - Audit Le service d audit proposé par Oracle Access Manager est très flexible. Les différents évènements envoyés au service d audit inclus les demandes d authentification qui ont réussies ou échouées ainsi que le résultat de toutes les règles d autorisation. Le fichier de trace peut être paramétré afin de pouvoir rapprocher l identité des utilisateurs ainsi que toutes les informations contextuelles comme l heure, l adresse IP, la machine ayant réalisée l authentification. Des filtres différents peuvent être utilisés pour l audit en fonction de la sensibilité des applications. Par exemple pour l application Portail généraliste, il sera possible de ne tracer que le nom de l utilisateur ainsi que la ressource accédée alors que pour une application financière il sera possible d utiliser un masque plus complet pour enregistrer les évènements en incluant en plus l heure, l adresse IP du client. Oracle Access Manager Quelques rapports d audit Le processus d audit permet aux administrateurs de pouvoir détecter des intrusions, de surveiller la sécurité d accès aux applications et de pouvoir réaliser des états consolidés de toute l activité concernant la gestion des accès. Les fichiers trace peuvent être stockés soit dans des fichiers plats, soit dans des bases de données (Oracle RDBMS 10g, SQL Server) et exploité avec des outils de reporting comme Oracle XML Publisher, Oracle Reports ou Business Objects Les données le plus souvent auditées sont les suivantes : Statistiques d authentification (taux de succès/échecs pour tous les AccessServers) 08/10/2007 L offre de gestion des identités Oracle Page 10

11 Statistiques d autorisation (taux de succès/échecs pour tous les AccessServers) Authentifications infructueuses (par utilisateur) Autorisations infructueuses (par ressource) Utilisation des interfaces de tests Historique d un groupe (Toutes les modifications au cours du temps du contenu d un groupe) Historique d identité pour un utilisateur Utilisateurs bloqués (suite à une connexion infructueuse) Modification de mot de passe Utilisateurs créés/désactivés/réactivés/supprimés Historique de modification du profil utilisateur (pour tous les utilisateurs) Liste des utilisateurs désactivés Temps d exécution d un Workflow Architecture de Oracle Access Manager La figure suivante illustre une architecture qui peut être mise en place lors du déploiement de Oracle Access Manager 08/10/2007 L offre de gestion des identités Oracle Page 11

12 Oracle Access Manager Architecture Le système de gestion des accès Web est constitué de trois composants principaux WebGate : Intercepteur (plug-in) de requètes Web installé dans chaque WebServer (Apache, IIS, ) Access Server : Processus standalone qui dialogue avec WebGate et qui réalise l évaluation des règles d authentification et d autorisation Annuaire LDAP : Référentiel d identité qui contient l ensemble des profils utilisateur et les politiques de sécurité associées aux différentes ressources Le flux d authentification est le suivant : 1. Webgate intercepte la requête HTTP. 2. Webgate transmet la requête au serveur d accès pour déterminer si la ressource est protégée et de quelle manière, et si l utilisateur est authentifié. Sinon, un challenge est demandé. L utilisateur doit, soit saisir un couple login/mot de passe, soit présenter son certificat et le code pin associé. 3. Le serveur d accès vérifie dans l annuaire les informations de sécurité tels que l identifiant et le mot de passe de l utilisateur, renvoie les informations au Webgate et génère un cookie crypté pour authentifier l utilisateur. L authentification de Oracle Access Manager supporte toute tierce méthode d authentification ainsi que différents niveaux d authentification. Des ressources avec des sensibilités de degrés variables peuvent être protégées en mettant en œuvre des niveaux d authentification plus élevés. 4. Après authentification, WebGate sollicite le serveur d'accès pour rechercher la règle d autorisation appropriée. Si la règle est valide, l'utilisateur accède aux applications. Si la règle est invalide, l accès de l utilisateur est refusé et celui-ci réorienté vers une autre URL déterminée par l'administrateur. Les composants de Oracle Access Manager Oracle Access Manager est composé de WebGate, AccessGate, AccessServer et le Policy Manager. Le référentiel dans lequel sont stockées à la fois les données de configuration du produit et les identités utilisateur est un annuaire LDAP. Les fonctionnalités de chaque composant sont décrites ci-dessous : WebGate : Client prêt à l emploi pour appliquer les règles d accès sur des ressources http (Web Policy Enforcement Point ou PEP). WebGate fonctionne comme plugin ou module, dans l environnement de la plupart des serveurs HTTP du marché, et WebGate intercepte les requêtes HTTP avant de les envoyer à AccessServer où les règles d authentification et d autorisation sont appliquées. WebGate est un composant technique qui permet de manipuler les différentes composants du protocole HTTP, les URL, les cookies de sessions, les redirections http, et WebGate met en œuvre un cache des règles d accès qui permet d optimiser les accès à l AccessServer. AccessGate : Tous les autres client de l AccessServer qui ne sont pas des WebGate, c est à dire pour tous les accès non Web. Différentes AccessGate sont fournies pour être mise en œuvre dans les différents serveur d applications du marché comme BEA WebLogic, IBM WebSphere, et Oracle OC4J. Les clients eux-mêmes peuvent développer une AccessGate pour couvrir des besoins spécifiques Access Server : Processus serveur qui met en oeuvre les politiques d accès aux ressources (Policy Decision Point ou PDP). Ce processus peut être déployé comme une instance unique ou 08/10/2007 L offre de gestion des identités Oracle Page 12

13 bien faire partie d une infrastrucure de machine en cluster afin offrir (sans équipement supplémentaire) une meilleure montée en charge avec de l équilibrage de charge et une disponibilité accrue. L Access Server réalise les fonctions d évaluation dynamique des politiques d accès en fonctions du contexte de l utilisateur et de l application accédée ainsi que les fonctions d authentification, autorisation et audit. Policy Manager et Access System Console : Console Web qui permet de configurer les ressources à protéger ainsi que la création et mise à jour des règles et politiques de sécurité à appliquer (Policy Management Authority ou PMA). Le Policy Manager les éléments de sécurité concernant l accès aux ressources dans l annuaire LDAP qui contient les données de configuration de Oracle Access Manager et il communique avec AccessServer afin de remettre à jour en temps réel les changements de configuration comme les modifications de règles ou l ajout d une nouvelle ressouce protégée. Oracle Access Manager La console d administration Web du référentiel de sécurité Gestion des identités avec Oracle Access Manager Oracle Access Manager Identity System est l outil de gestion des identités qui sont sous le controle du module de la gestion des accès. Ce couplage entre la gestion des accès et la gestion des identités est une fonctionnalité unique et différentiatrice de Oracle Access Manager. Oracle Access Manager Identity System est composé de Identity Server, et de WebPass (web server plug-in) 08/10/2007 L offre de gestion des identités Oracle Page 13

14 Identity Server est un processus serveur qui gère les informations concernant les identités comme les utilisateurs, les groupes, les organisations et il inclut un moteur de workflow spécialisé pour les identités afin de pouvoir définir et mettre en œuvre des workflow d approbation liés au cycle de vie des identités gérées. Le module WebPass plug-in se charge de transmettre des informations entre un serveur Web et une ou plusieurs instances du processus Identity Server La gestion des identités prend en charge des fonctionnalités évoluées comme la délégation d administration, la gestion de groupes dynamiques, les fontions self-service et d auto-enregistrement qui sont indispensables dans un environnement applicatif et organisationnel complexe. Ces fonctionnalités sont décrites ci-dessous : Delegated Administration : Gérer les accès de quelques centaines ou milliers d utilisateurs efficacement et avec des coûts limités est une tâche lourde et complexe pour tenir à jour les changements permanents de modifications de profils, droits. La délégation d administration rend plus efficace cette gestion en responsabilisant les managers et gestionnaires, qui sont au plus près des utilisateurs et des ressources, car ceux-ci disposent d information plus précise et plus à jour pour effectuer cette tache. En répartissant les efforts d administration, il sera possible de répondre plus efficacement, plus rapidement à la charge demandée. Dans le cas d un portail extranet qui permet l accès à plusieurs fournisseurs à des ressources interne à l entreprise, il sera possible de dédier à un responsable interne ou externe la responsabilité d administration des identités d un fournisseur. Gestion des groupes dynamiques : Un besoin essentiel en gestion des identités est d affecter des utilisateurs dans des groupes afin de simplifier, globaliser les directives d administration comme la gestion des accès plutôt que de faire une gestion discrétionnaire utilisateur par utilisateur. Les groupes sont souvent utilisés comme la représentation de rôles techniques et sont mis en oeuvre de manière naturelle dans des portail, serveurs d applications, messageries et annuaires. Ces groupes peuvent être mis en œuvre de manière statique dans le cas ou un utilisateur est affecté explicitement à un groupe par une action de gestion, ou bien dynamique quand le groupe est basé sur une règle ou un filtre qui est évalué lors de l exécution pour déterminer qui fait partie de ce groupe. L expérience à montré que la gestion de groupes statiques impose des tâches d administration lourdes dès lors que l on a à gérer des groupes constitués des centaines d utilisateurs.. Une meilleure approche est la mise en œuvre de groupes dynamiques constitués à partir d une règle ou filtre s appuyant sur des attributs utilisateur. Par exemple le groupe France sera constitué à partir de tous les utilisateurs qui ont comme attribut Location dans leur profil la valeur Paris ou Marseille. Sans aucune tâche d administration, ce groupe sera tenu à jour au fur et à mesure des ajouts, modifications suppressions des utilisateurs User Self-Service/Self-Registration : Permet aux utilisateurs de gérer leur profil, de modifier certains attributs en fonction de leur niveau d habilitation Lost Password Management : Gestion des mots de passe oubliés. Si cette fonction est activée, un lien aparait sur la page de login et redirige l utilisateur sur une page Web ou l utilisateur devra répondre à une suite de questions pré-paramétrées afin de pouvoir réinitialiser son mot de passe. Oracle Access Manager dans un monde hétérogène Oracle Access Manager peut être mis en œuvre dans un monde hétérogène en terme de Operating System, Serveurs Web, Serveurs d applications, Annuaires LDAP 08/10/2007 L offre de gestion des identités Oracle Page 14

15 Oracle Access Manager Dans un environnement hétérogène. 08/10/2007 L offre de gestion des identités Oracle Page 15

16 1.2.2 Oracle Enterprise Single Sign-on Suite Oracle esso Sign-on Manager détecte les demandes de connexion des applications et, à la place de l utilisateur, renseigne les username et mot de passe en moins d un seconde. Cette opération est totalement transparente pour l utilisateur, et une fois installé, il connecte automatiquement les utilisateurs à leurs applications, sessions telnet-host-mainframe, sessions Citrix ainsi qu aux applications Web. Oracle esso Sign-on Manager ne nécessite aucun connecteur, scripts ou agents serveur, cela permet donc un déploiement facile et rapide. Tous les configurations d applications et paramètrages utilisateur sont réalisés à partir d ne console graphique d administration. Oracle esso Sign-on Manager fonctionne avec toutes les applications Windows, Web et remote sur des hosts. En standard le produit est livré avec une liste importante de templates pré-définies qui correspondent à la majorité des logiciels existants (Applications commerciales Windows, Emulateurs de terminaux, Login NT et Netware, Web Pop-ups). Oracle esso Sign-on Manager est un logiciel s installe sur le poste de travail et qui s intègre avec un annuaire d entreprise ou un serveur de fichiers. Les ressources nécessaires à son installation sur le poste de travail sont limitées à 233 MHz Pentium, 64 Mo RAM, 4 Mo à 10 Mo hard drive s espace disque pour Oracle esso Sign-on Manager Oracle esso Sign-on Manager - Architecture Utilisateurs hors-ligne ou non-connectés 08/10/2007 L offre de gestion des identités Oracle Page 16

17 Oracle esso Sign-on Manager a été conçu pour supporter tous les modes de travail: connecté, nonconnecté, poste partagé, kioque et mobile, et donc par sa nature même Oracle esso Sign-on Manager ne dépend pas d un serveur pour assurer ses fonctions de signature unique. Oracle esso Sign-on Manager fonctionne en mode hors ligne ou non connecté en concervant une copie chiffrée en cache local sur le poste de travail de l ensemble des éléments nécessaires à la connexion de l utilisateur. Cette copie locale sera remise à jour lorsque l utilisateur sera à nouveau connecté. Cette fonctionalité de cache local est paramètrable par l administrateur. Postes partagés Oracle esso Sign-on Manager prend en charge également les postes de travail partagés et les utilisateurs qui sont amenés à changer de poste de travail en utilisant soit les fonctionnalités des profiles Windows Roaming ou bien la fonctionnalité native de Synchronization Support qui récupère les éléments de connexion de l utilisateur à partir d un annuaire partagé ou bien d un serveur de fichiers. Les annuaires supportés sont Oracle Internet Directory,SunOne Directory, Novell NDS edirectory, Microsoft Active Directory et potentiellement tout annuaire LDAP V3 Administration de Oracle esso Sign-on Manager L administration est réalisée soit par la concole Microsoft MMC via un snap-in, soit la console de Oracle esso Sign-on Manager une application.net qui se trouve sur le poste de l aministrateur. Cette console dispose d assistants qui permettent de capturer les éléments nécessaires pour configurer les différentes templates des applications, de configurer les paramètres des clients. Une fois cette configuration achevée celle-ci sera envoyée sur le référentiel partagé choisi (en général un annuaire LDAP). Les différentes fonctions d administration de Oracle esso Sign-on Manager peuvent être administrées de manière centrale ou déléguées à des groupes en s appuyant sur la configuration de l annuaire LDAP Oracle esso Sign-on Manager peut être déployé avec Oracle esso Provisioning Gateway qui dispose d un connecteur pour Oracle Identity Manager afin d être pris en compte dans les processus de d habilitation et de provisionnement de l entreprise. Chiffrement Oracle esso Sign-on Manager protège les données confidentielles (username et mots de passe) en utilisant différents algorithmes. Par défaut, Oracle esso Sign-on Manager utilise l algorithme à clés symétriques Microsoft CAPI Triple DES (3DES) pour les données sockées sur le poste de travail ou un référentiel partagé (annuaire ou serveur de fichiers). Oracle esso Sign-on Manager peut également utiliser les algorithmes suivants : MS-CAPI AES 256 bit (FIPS 140-1), RC4, Blowfish 448, et Cobra 128. Lors de la première utilisation, Oracle esso Sign-on Manager génère une clé cryptographique unique primary authentication key qui est propre à chaque utilisateur. Après avoir achevé avec succès une authentification, cette clé est stockée dans Oracle esso Sign-on Manager et elle est utilisée pour chiffrer et déchiffrer les éléments d authentification de cet utilisateur. Authentification forte Oracle esso Sign-on Manager s intègre avec la majorité des systèmes d authentification forte disponible sur le marché et en particulier : Carte à puces MS CAPI CSP Gemplus et Schlumberger 08/10/2007 L offre de gestion des identités Oracle Page 17

18 Entrust Entelligence Périphériques biométriques comme SAFLINK RSA SoftID Ensure Technologies XyLoc proximity cards Reconnaissance des empreintes digitales Digital Persona 08/10/2007 L offre de gestion des identités Oracle Page 18

19 1.2.3 Oracle Identity Federation La fédération d identités met en place une infrastructure qui permet aux identités et droits associés d être propagés entre domaines de sécurité, à l intérieur d une organisation ou bien entre différentes organisations et sociétés. La notion de fédération d identité inclus à la fois la technologie, les standards et les contrats qui sont nécessaires pour établir une relation de fédération à l intérieur d un cercle de confiance. C est une évolution des concepts de gestion des accès et de la signature unique qui permet de généraliser la notion d accès à des ressources informatiques et qui simplifie la gestion des utilisateurs aux entreprises qui souhaitent offrir des services à travers le Web à des utilisateurs externes. Un des bénéfices immédiat est que l utilisateur, une fois authentifié dans son environnement n aura plus à s authentifier ou accéder à des applications externes qui font partie du cercle de confiance de son entreprise, cela évitera à l utilisateur d avoir à mémoriser de nombreux mots de passe. Oracle Identity Federation établit des liens sécurisés entre des comptes et des identités au-delà des frontières du système d information de l entreprise afin de permettre à des partenaires extérieurs, fournisseurs, clients, fournisseurs de services externes d avoir accès à des ressources protégées à l intérieur de l entreprise. En mettant en œuvre des protocoles standardisés Oracle Identity Federation simplifie la création de cercles de confiance entre tous ces participants afin d exploiter un environnement de signature unique multi-domaine sans supporter coûts exorbitants liés à la charge d administration, la maintenance de l ensemble des identités et droits d accès Une architecture hétérogène La nature même du problème impose de pouvoir supporter des environnements très divers et Oracle Identity Federation s intègre avec des solutions tierces de gestion des identités et gestion de contrôle d accès (Oracle SSO, Oracle Access Manager, CA etrust SiteMinder). Oracle Identity Federation permet d authentifier les utilisateurs auprès d un annuaire LDAP ou d une base de données relationnelle. Si un environnement d authentification est déjà déployé alors Oracle Identity Federation va l utiliser pour authentifier les utilisateurs et générer les assertions d authentification qui seront passées aux applications externes. Lorsqu il fonctionne comme un Service Provider (SP), Oracle Identity Federation communiquera avec un système d authentification et de gestion d autorisation afin de déterminer les droits d accès des utilisateurs authentifiés Oracle Identity Fédération Infrastructure Support Multi-Protocoles 08/10/2007 L offre de gestion des identités Oracle Page 19

20 Oracle Identity Federation met en oeuvre les protocoles de fédération standardisés majeurs et il est certifié pour Liberty Alliance Liberty ID-FF et SAML 2.0. Pour assurer un interopérabilité maximale avec les autres produits de fédération, Oracle Identity Federation utilise plusieurs profiles définis par des groupes de standards ouverts : SAML 2.0: Browser Artifact, Browser POST, Single Logout, NameIdentifier, X.509 Authentication- Based Attribute Sharing Liberty ID-FF 1.x: Browser Artifact, Browser POST, Single Logout, NameIdentifier, Federation Termination SAML 1.x: Browser Artifact, Browser POST WS-Federation: Passive Requester Oracle Identity Federation peut également être déployé avec les rôles suivants: Identity Provider Service Provider Attribute Requestor Attribute Responder Oracle Identity Federation Identity Provider et Service Provider 1. L utilisateur s authentifie vis à vis de son Identity Provider 2. L utiisateur demande l accès à une ressource gérée par le Service Provider 3. Une assertion SAML est générée puis l utilisateur est redirigé vers le Service Provider 4. Le Service Provider utilise les informations contenues dans l assertion SAML pour donner ou non l accès à une ressource protégée 08/10/2007 L offre de gestion des identités Oracle Page 20

21 Oracle Identity Fédération Architecture interne 08/10/2007 L offre de gestion des identités Oracle Page 21

22 1.2.4 Oracle Identity Manager Les entreprises aujourd hui ont l obligation de mettre en place des outils de gestion de la sécurité afin de mieux gérer le système d information et de se mettre en conformité avec les contraintes règlementaires en vigueur pour cela il est nécessaire de mettre en place des outils de gestion des identités afin d automatiser un certain nombre de tâches et de pouvoir auditer les processus d administration, les comptes utilisateurs, les droits d accès vis à vis des différentes applications constituant le système d information. Oracle Identity Manager est un produit de gestion d identité qui automatise l administration des accès aux ressources informatiques d une entreprise. Il permet de pouvoir répondre à tout instant aux questions posées par les auditeurs «Qui à accès à Quoi, Quand, Comment et Pourquoi?» L architecture très souple de Oracle Identity Manager permet de gérer les environnements informatiques les plus complexes afin de répondre aux évolutions constantes des besoins opérationnels sans avoir à modifier l infrastructure existante. Cette flexibilité est due à l architecture moderne du produit qui permet de modéliser à travers des objets conceptuels les fonctionnalités de base du provisionnement. Toutes modifications sur les processus d approbation et de provisionnement, politiques d accès, flux de données ou nouvelles sources à intégrer sont isolées à travers ces couches logiques et n ont que peu d impact sur le reste du système. Cette évolutivité permanente est une caractéristique essentielle à prendre en compte dans les projets de gestion d identités. Un produit trop rigide, qui ne saurait pas s adapter simplement aux modifications constantes deviendrait vite un frein à l évolution permanente du système d information. Pour plus d efficacité ce produit ne s appuie pas sur un langage de script pour la mise en œuvre, la configuration ou la modélisation des processus. C est pour cela qu il est considéré comme un des produits les plus novateurs en gestion des identités. Oracle Identity Manager a obtenu de nombreuses distinctions et prix par les magazinescomputerworld, Digital ID World, Gartner, InfoWorld, NetworkWorld, et SC Magazine. Aujourd hui ce produit est en production chez de nombreux clients dont un d eux gère plus de 650 applications cibles automatiquement avec Oracle Identity Server. Bénéfices principaux d Oracle Identity Manager Mise en place et application systématique des règles de sécurité définies à un niveau central Augmente le niveau de service en automatisant les tâches d administration liées à la gestion des droits d accès Renforce la sécurité : Les règles internes peuvent être appliquées de façon rigoureuse, et cela élimine, en particulier, les risques liés à la persistance de points d entrée oubliés après le départ d une personne Mise en conformité avec des contraintes règlementaires (par exemple Sarbanes-Oxley, 21 CFR Part 11, Gramm-Leach-Bliley, HIPAA ) qui imposent, entre autres, de connaître à tout moment les droits d accès de toute personne vis à vis d une information dite «sensible». Réduction des coûts d exploitation en supprimant une large part des tâches manuelles accomplies par les responsables d applications concernant la gestion des comptes applicatifs, la gestion des mots de passe 08/10/2007 L offre de gestion des identités Oracle Page 22

23 Oracle Identity Manager Les fonctionnalités Fonctionnalités de Oracle Identity Manager Déploiement d applications libre-service telles que la demande d ouverture de compte, la renouvellement de mots de passe Délégation possible de fonctions de gestion à d autres personnes, groupe de personnes Mise en place de processus automatisés de validation et de provisionnement Surveillance des applications et annuaires cibles afin de détecter des modifications réalisées localement sur les comptes et reconciliation avec les définitions centralisées Gestion centralisée de la politique liée aux mots de passe Publication de rapports attestant de la conformité du système avec contraintes règlementaires Production semi-automatisée de connecteurs destinés à l interaction avec d autres sous-systèmes (autres annuaires ou applications) Gestion des accès à partir des rôles (RBAC) Oracle Identity Manager permet de gérer les accès des utilisateurs à toutes les ressources de l entreprise à partir de roles pré-définis. Chaque role va définir quelles sont les applications, quels sont les systèmes auquels un employé doit pouvoir accéder, le plus finement possible, afin de réaliser ses fonctions dans l entreprise. De multiples rôles peuvent être associés, combinés, pour chaque employé ou prestataire. Les différents rôles peuvent être attribués avec différents moyens: 08/10/2007 L offre de gestion des identités Oracle Page 23

24 1. Applications de référence comme la gestion des ressources humaines où traditionnellement la fonction, l organisation et la location de l employé sont utilisé comme base d affectation de rôles 2. Les responsables de ressouces, managers peuvent également ajouter de nouveaux rôles au profil des employés 3. Les fonctions libre-service par lequelles les employés eux-mêmes peuvent demander l attribution de nouveaux rôles qui seront validé par un processus d approbation Oracle Identity Manager Gestion des accès à partir de règles et de rôles Plusieurs raisons peuvent être à l origine de la mise en œuvre d un modèle de gestion des accès par les rôles. En premier lieu la volonté de pouvoir centraliser et gérer des politiques d accès globales et centralisées à des fins d audit et de mise en œuvre de procédures concernant l application du respect de contraintes règlementaires. Mais également, la nécessité de réduire les temps d administration et la réactivité du système d information en affectant des rôles «métiers» ou «techniques» à des individus plutôt que des droits d accès individuels application par application. Oracle Identity Manager simplifie la réalisation de ceci en réduisant le besoin d affectation manuelle de rôles ou de privilèges applicatifs par l utilisation de «règles d appartenance à des rôles». Ces règles vont dynamiquement et automatiquement enrôler un utilisateur dans un ou plusieurs rôles à partir des informations contenues dans le profil de cette personne comme la fonction, le site, le département, le niveau hiérarchique. Cette combinaison de règles et de rôles permet à Oracle Identity Manager d automatiser la gestion des droits d accès dans toute l entreprise. Chaque changement d attribut associé à une personne sera automatiquement détecté et les règles réactivées afin d en déduire et d appliquer les impacts que cela aura vis à vis des droits d accès aux applications. Gestion des profils 08/10/2007 L offre de gestion des identités Oracle Page 24

25 En utilisant l interface libre-service de Oracle Identity Manager, les utilisateurs peuvent visualiser et éventuellement mettre à jour leur profil personnel. Cela permet de réduire les tâches administratives liées à ce type d opérations Gestion de demande d accès Oracle Identity Manager Gestion des utilisateurs Cette même interface permet aux utilisateurs de soumettre des demandes d accès à des ressources. Des gestionnaires habilités (responsables d équipe, Directeurs, responsables de division) sont notifiées par un processus et peuvent alors vérifier puis accepter ou non les demandes. Gestion des organisations et des ressources à contrôler C est la fonction majeure du produit. L interface d administration de Oracle Identity Manager permet à des gestionnaires de modéliser l intégralité d une organisation (utilisateurs, groupes, rôles) ainsi que de définir les ressources pour lesquelles il faudra appliquer des règles d accès. La gestion des ressources permet de traiter, entre autres, les scénarios suivants: L accès à une ressource pour un individu est défini, soit automatiquement en fonction de la valeur de son profil, soit explicitement à travers l interface d administration de Oracle Identity Manager. Si un individu ayant accès à une ressource change de fonction ou bien quitte l entreprise, le système de contrôle d accès de Oracle Identity Manager déterminera quels sont les accès à conserver et quels sont ceux qu il faut dé-provisionner. Lors d une mutation ou d un départ, un accès exclusif à une ressource peut être transféré à un autre individu, en fonction de règles pré-établies. Ces dernières peuvent faire partie intégrante du processus de dé-provisionnement. On distingue deux types d actions : 08/10/2007 L offre de gestion des identités Oracle Page 25

26 Provisionnement : le processus qui permet de créer/modifier/supprimer un profil d identité dans le système central puis de le propager sur les cibles Reconciliation : le processus par lequel il est possible de détecter/récupérer les créations/modifications/suppressions des profils d identité sur les cibles puis de les propager vers le système central afin de les valider Processus de provisionnement Oracle Identity Manager fournit un environnement de création de processus destiné à modéliser un flux complet de provisionnement, c est à dire l enchainement par lequel un nouvel utilisateur, par exemple, sera en mesure d accéder à une application spécifique, dès son arrivée dans l entreprise. Quand une personne quitte l organisation ou bien lorsqu un changement de profil a lieu (lors du mutation par exemple), Oracle Identity Manager supprime les droits d accès correspondants par l intermédiaire d un processus de dé-provisionnement. Représentation graphique des processus Oracle Identity Manager fournit un visualisateur de processus qui affiche une représentation graphique d un enchaînement de tâches. Cela permet à chacun de comprendre le fonctionnement des processus internes de gestion d accès, ainsi que les dépendances entre les différents départements de l entreprise. Certaines fonctions administratives peuvent être déléguées sans compromettre le niveau de sécurité Oracle Identity Manager Représentation graphique des processus Processus d approbation Associés aux processus de provisionnement, il est souvent nécessaire de pouvoir mettre en place des processus d approbation d allocation des ressouces afin qu un responsable puisse donner son accord ou refuser cette attribution. Oracle Identity Manager permet de mettre en œuvre de tels processus, de 08/10/2007 L offre de gestion des identités Oracle Page 26

27 manière très souple en se basant sur des règles dynamiques pour trouver qui est le ou les responsables autorisés à donner cette approbation. Ces processus peuvent, parfois, être assez complexes avec plusieurs niveaux d imbrication, et la souplesse apportée par Oracle Identity Manager permettra de faire vivre ces processus au cours du temps et des réorganisations de l entreprise. Oracle Identity Manager Processus d approbation Notifications éléctroniques Oracle Identity Manager permet d associer la notification électronique aux tâches des processus de provisionnement et d approbation. Il fournit des notifications électroniques suivant des règles ainsi que lors de mise à jour de statut. Le moteur de réconciliation peut également envoyer des notifications électroniques lorsque des règles de réconciliation sont violées, par exemple lorsqu un compte non autorisé est détecté sur un système cible ou qu un compte d un système cible a été désactivé sans approbation. De telles notifications peuvent être définies pour n importe quelle règle ou n importe quel événement. Gestion en libre-service Oracle Identity Manager permet aux utilisateurs de modifier depuis un point d accès unique leur mot de passe de telle façon que la modification soit répercutée sur tous les annuaires applicatifs qui sont contrôlés. Si l utilisateur oublie son mot de passe, Oracle Identity Manager fournit un mécanisme de rattrapage (sous forme de questions annexes) qui autorise une ré-initialisation du mot de passe. Ces fonctions de type libre-service permettent de soulager l activité d un centre de support fréquemment sollicité pour ce type de demande. Gestion avancée des mots de passe Oracle Identity Manager permet de mettre en place un contrôle très sophistiqué de la conformité des mots de passe par rapport à une politique globale d entreprise. Par exemple, on peut obliger une catégorie 08/10/2007 L offre de gestion des identités Oracle Page 27

28 donnée d utilisateurs (ayant des doits d accès à des informations sensibles) de choisir un mot de passe complexe, alors que l obligation sera moindre pour une autre catégorie d utilisateurs. Synchronisation de mot de passe avec Microsoft Active Directory Etant donné que la majorité des utilisateurs sont familiers avec la technique de changement de mot de passe sur leur poste de bureau, Oracle Identity Manager s appuie sur cette pratique répandue, et fournit un mécanisme de synchronisation bi-directionnelle avec l annuaire Microsoft Active Directory. Ainsi, lorsque l utilisateur change son mot de passe au niveau de son poste Windows, celui-ci est intercepté par Oracle Identity Manager puis propagé de façon transparente sur tous les systèmes cibles placés sous son contrôle. Réconciliation d identité Oracle Identity Manager peut consolider les informations provenant de plusieurs référentiels (annuaires, Ressources Humaines), en utilisant ses fonctions de réconciliation Ces données peuvent alors être publiées dans un annuaire LDAP. Cette approche évite une réplication aveugle car elle met en place également les règles d accès qui ont été définies au niveau de l entreprise, et enregistrées dans le référentiel de Oracle Identity Manager. Une des fonctions les plus puissantes de Oracle Identity Manager est illustrée par la capacité à détecter des divergences entre, d une part un système cible et d autre part le référentiel central des accès, et à les éliminer automatiquement: (Réconciliation). Si un accès à une ressource est modifié en dehors du contrôle de Oracle Identity Manager, le changement peut être annulé ou bien notifié, au minimum, à un administrateur. Le sous-système de réconciliation permet de mettre en place des contrôles à intervalle variable selon le niveau de sensibilité de la ressource à protéger. La fonction de réconciliation permet également un embarquement (prise en compte d identités déjà existantes) d un nouveau système cible dans le référentiel de Oracle Identity Manager Gestion des comptes orphelins et pirates Les comptes pirates ( ceux créés hors du contrôle d un système centralisé d administration) et orphelins (reliés à des utilisateurs qui n existent pas physiquement ou bien qui ont quitté l organisation) représentent un risque sérieux d intrusion. Une fois qu une ressource est placée sous le contrôle de Oracle Identity Manager, ces comptes ainsi que les privilèges qui leur sont associés sont immédiatement détectés. En réponse, Oracle Identity Manager exécute des actions correctives qui ont été définies en paramètres, telles que la notification au service d administration et la neutralisation des comptes concernés Connecteurs pour les systèmes à contrôler Oracle Identity Manager est un produit qui a été conçu de manière à ce que la connexion de la plupart des produits du marché soit automatique, et que l intégration de systèmes propriétaires soit la plus simple possible. Un outil de développement de connecteurs (Adapter Factory) fournit un moyen rapide d intégration et ne nécessite aucune programmation, dans la plupart des cas. Les connecteurs prêt à l emploi couvre les cibles suivantes : 08/10/2007 L offre de gestion des identités Oracle Page 28

29 Oracle Identity Manager La liste des connecteurs prèt à l emploi Architecture physique Oracle Identity Manager est une application J2EE qui fonctionne sur les serveurs J2EE du marché incluant JBoss, BEA WebLogic, IBM WebSphere et biento Oracle Application Server. Oracle Identity Manager est mis en œuvre un environnement de sécurité important et toutes les communications entre les différents composants d Oracle Identity Manager sont chiffrés. 08/10/2007 L offre de gestion des identités Oracle Page 29

30 Oracle Identity Manager Architecture technique Oracle Identity Manager Montée en charge sur plusieurs serveurs Processus de reconciliation 08/10/2007 L offre de gestion des identités Oracle Page 30

31 Une des fonctionnalités importante qui va être mise en œuvre dans les projets de gestion des identités est la capacité de réconciliation mise en œuvre par les connecteurs de Oracle Identity Manager. Oracle Identity Manager Réconciliation à partir d un annuaire central Le référentiel central (un annuaire LDAP, un logiciel de Ressources Humaines) qui va servir de référentiel unique afin de décrire tous les profils des utilisateurs à partir de ce référentiel il va être possible de propager («provisionner») ces identités à partir de règles et de rôles définis dans ProvisionServer vers les autres cibles. Mais si des modifications sont réalisées localement par les administrateurs des cibles (un administrateur Active Directory par exemple) il va être possible de détecter ces modifications et de les valider ou invalider puis éventuellement de les propager sur les autres cibles voire même de mettre à jour le référentiel central. Le processus de Reconciliation va fonctionner différemment suivant la nature des applications cibles («trusted» ou pas). Une application n est pas considérée comme «trusted» si les profils d identité ont été créés par Oracle Identity Manager puis propagés sur la cible. Une application est considérée comme «trusted» si elle est la source de création d utilisateurs ou de groupes (comme l Annuaire Central dans l exemple ci-dessus). A partir des informations récupérées à partir d une cible «trusted» il sera possible de créer/modifier/supprimer des profils utilisateurs dans Oracle Identity Manager puis de les propager si nécessaire, aux autres cibles. Dans le cas d une cible «non trusted» il sera possible de modifier uniquement les profils existants et d éventuellement propager ces modifications aux autres cibles. 08/10/2007 L offre de gestion des identités Oracle Page 31

32 Oracle Identity Manager Reconciliation à partir d une application 08/10/2007 L offre de gestion des identités Oracle Page 32

33 Exemple de quelques processus standards gérés par Oracle Identity Manager Oracle Identity Manager Processus d embauche 08/10/2007 L offre de gestion des identités Oracle Page 33

34 Oracle Identity manager Demande d attribution de ressouces (Téléphone, compte applicatif, ) Oracle Identity Manager Départ d un employé Respect des contraintes règlementaires Oracle Identity Manager et Oracle Access Manager permettent ensemble de couvrir l ensemble des exigences règlementaires qui s appliquent à l accès, l utilisation et l audit des ressouces informatiques 08/10/2007 L offre de gestion des identités Oracle Page 34

35 Couverture complète des contraintes règlementaires Production de rapports d audit et conformité Oracle Identity Manager fournit des rapports de fonctionnement permettant de prouver la conformité de la gestion des droits d accès par rapport à des contraintes règlementaires. 08/10/2007 L offre de gestion des identités Oracle Page 35