Présentation de l offre Gestion des identités
|
|
|
- Francine Lecompte
- il y a 10 ans
- Total affichages :
Transcription
1 Présentation de l offre Gestion des identités Date : 8 octobre /10/2007 L offre de gestion des identités Oracle Page 1
2 Table des matières 1. L OFFRE ORACLE DE GESTION DES IDENTITÉS INTRODUCTION ORACLE IDENTITY MANAGEMENT LES PRODUITS Oracle Access Manager Oracle Enterprise Single Sign-on Suite Oracle Identity Federation Oracle Identity Manager Oracle Internet Directory Oracle Virtual Directory /10/2007 L offre de gestion des identités Oracle Page 2
3 1. L OFFRE ORACLE DE GESTION DES IDENTITÉS 1.1 INTRODUCTION ORACLE IDENTITY MANAGEMENT Oracle Identity Management permet aux entreprises la gestion de boût-en-boût du cycle de vie de l identité des utilisateurs du système d information à travers toutes les applications. Avec Oracle Identity Management, il sera donc possible de déployer plus rapidement des applications, de mettre en œuvre des politiques de sécurité globales et d attribuer à chaque utilisateur les droits d accès suffisants et nécessaires pour réaliser les taches associées à sa fonction avec le niveau de privilèges applicatifs adapté. En déployant Oracle Identity and Access Management Suite dans sa totalité ou bien en ne déployant que les composants qui correspondent aux besoins actuels de l entreprise, il est possible d adapter au cours du temps l infrastructure technologique à l évolution du système d'information. Les technologies de la gestion des identités ont pour objectif l automatisation et la sécurisation de la gestion des identités utilisateurs à travers les applications de l entreprise. Cinq déclencheurs majeurs sont en général à l origine des projets de gestion d identité : 1. Réduction des incidents liés à la sécurité Beaucoup de brèves dans les journaux relatent des brèches de sécurité dans le système d information des entreprises, des accès non-autorisé à des applications souvent par des personnes externes à l entreprise ou des ex-employés. La gestion des identités aide à réduire ces risques par les contrôles des accès utilisateur et fournit un environnement robuste de gestion des identités, des privilèges applicatifs et met en œuvre des processus automatisés lors de l embauche, des mutations ou du départ d un employé 2. Simplification pour les utilisateurs Au fur et à mesure du déploiement de portail d entreprise qui aggègent des nombreuses applications, les utilisateurs souhaitent que l accès à ces différentes applications à travers le portal soit transparent. La gestion des identités fournit des outils de signature unique et de fédération d identité qui permettent d offrir aux utilisateurs une réelle simplicité au niveau des accès aux applications. 3. Mise en conformité avec les contraintes règlementaires Les entreprises doivent satisfaire aujourd hui à des règles de gestion financière précises en fonction de leur localisation géographique et du type de marché sur lequel elles opèrent. Ces règles de gestion doivent pouvoir être auditées et les processus d audit doivent pouvoir être automatisés afin de garantir la plus grande efficacité. Les technologies de la gestion des identités fournissent un environnement permettant de mettre en œuvre ces politiques globales de sécurité ainsi que des outils d audit. 4. Souplesse et agilité en fonction des évolutions Dans chaque industrie les sociétés innovantes recherchent des nouveaux moyens pour exploiter les services nouveaux offerts par Internet afin des relier plus rapidement les partenaires commerciaux, fournisseurs, clients. Les technologies de la gestion des identités comme la gestion des accès, la fédération d identités, la gestion de profils extranet ou encore l administration des services Web permettent de déployer de nouveaux types d applications qui vont permettre de mettre en œuvre ces nouveaux processus métiers à travers Internet. 5. Réduction des coûts d exploitation On demande à tous les services informatiques de «faire plus avec moins», supporter de nouvelles applications, gérer de nouvelles populations d utilisateurs (comme les clients et les partenaires). La gestion des identités aide les sociétés à administrer plus efficacement leur environnement informatique en mettant en œuvre une gestion centralisée des utilisateurs, des procédures de délégation d administration, des services d annuaires et des processus automatisés de provisionnement. 08/10/2007 L offre de gestion des identités Oracle Page 3
4 L environnement de Oracle Identity Management Les fonctionnalités couvertes par Oracle Identity Management 08/10/2007 L offre de gestion des identités Oracle Page 4
5 1.2 LES PRODUITS Oracle Access Manager est une solution à l état de l art pour le contrôle d accès et l administration centralisée des utilisateurs. Oracle Access Manager offre les fonctionnalités de signature unique pour les applications Web (WebSSO), gestion des habilitations et des droits d accès, self-service utilisateur, délégation d administration, gestion des politiques de mots de passes et audit des accès aux applications. Oracle Access Manager supporte les principaux annuaires, serveurs d applications, serveurs web et progiciels applicatifs du marché. Oracle Enterprise Single Sign-on Suite (Oracle esso) est composée de plusieurs produits qui permettent de gérer la multiplicité des mots de passe pour l ensemble des applications existantes (Windows, Client Server, Java, Web) dans tous les types de configurations (PC en reseau, PC déconnecté, PC partagé, mode kioque). Oracle esso prend en charge toutes fonctionnalités liées à la gestion de ces mots de passe incluant la phase de login, la sélection du mot de passe en fonction de l application, les changements de mot de passe et remise à zéro. Les deux objectifs de cette suite sont d offir un service de gestion transparente des mots de passe aux utilisateurs et de réduire les risques liés à la sécurité en supprimant les mots de passe écrits sur des bouts de papier ou des PDA. Oracle Identity Federation est un produit largement déployé de fédération d identités permettant de fédérer les identités entre différents domaines (sociétés, partenaires commerciaux, administrations). Elle s intègre avec les systèmes de contrôle d accès existants et met en œuvre les derniers standards comme Liberty ID-FF et SAML 2.0. Oracle Identity Manager est un système de provisionnement des identités d entreprise extrêmement flexible et puissant, qui contrôle et administre de manière centralisée les identités et les droits d accès aux ressources et applications du système d information. Il couvre les fonctionnalités d administration des rôles et des identités, la gestion des approbations et demandes de ressources, la gestion des attributions de droits basées sur des règles, l intégration avec les applications et infrastructures et l automatisation des audits et des rapports de conformité règlementaire. Oracle Identity Manager offre une très grande flexibilité et permet de très fortes montées en charge grâce à une architecture entièrement J2EE, en déploiement N-tiers, des interfaces utilisateurs et administration Web et une compatibilité Oracle Grid. Oracle Internet Directory est un service LDAP v3 qui combine la puissance de la technologie base de donnée Oracle conçue pour les environnements critiques avec la flexibilité et la compatibilité du standard d annuaire LDAP v3. Supportant les environnements hétérogènes, Oracle Internet Directory peut également être synchronisé avec d autres référentiels tels Microsoft Active Directory, SUN Java System Directory Server, Novell edirectory et OpenLDAP. Oracle Virtual Directory permet de déployer rapidement des applications utilisant des référentiels LDAP en fournissant en temps réel une vue virtuelle des données résidant dans des sources multiples de différent type, comprenant les annuaires, bases de données ou services web, et ce sans nécessiter de synchronisation ou de stockage des informations. Grâce à Oracle Virtual Directory, il est possible de réaliser des jointures d attributs distribués dans différentes sources de données. 08/10/2007 L offre de gestion des identités Oracle Page 5
6 L offre produit Oracle Identity Management 08/10/2007 L offre de gestion des identités Oracle Page 6
7 1.2.1 Oracle Access Manager Oracle Access Manager répond aux demandes des sociétés qui ont besoin d acroitre leur agilité pour leurs processus métier, de simplifier l accès au système d information à des partenaires extérieurs et de satisfaire aux contraintes règlementaires. Oracle Access Manager permet d atteindre ces objectifs en combinant les services d authentification et un contrôle d accès fin avec une gestion des identités très performante. Le service de gestion des identités de Oracle Access Manager met en œuvre les fonctions de gestion des utilisateurs, gestion des groupes de personnes, gestion des mots de passe et interface self-service. Son architecture très évolutive et ses fonctionnalités d administration déléguées permettent de gérer des populations importantes d utilisateurs dans des environnements complexes (multi-pays, multi-filiales, intranet et extranet). Les fonctionnalités du service de gestion des identités sont : Gestion des utilisateurs, des goupes et des organisations en incuant des groupes dynamiques basés sur des attributs du profil des utilisateurs (ex. appartenance à une géographie, fonctions, service) Interface Web Self-service d administration et de gestion des mots de passe afin de réduire les appels au centre de support Délégation d administration permettant d attribuer un ensemble de fonctions de gestion à des responsables administratifs, managers ou partenaires externes (extranet) Intégration via des inserts Web des interfaces d administration dans des applications Web existantes et portails Oracle Access Manager réalise la fonction de gestion des accès aux applications Web et met en œuvre les services de signature unique WebSSO pour les applications Web et les ressources J2EE comme les EJB et servlets et le contrôle d accès aux applications basés sur des politiques globales de sécurité avec les fonctionnalités suivantes : WebSSO pour un accès sécurisé aux applications Web avec une authentification unique Support de plusieurs niveaux d authentification en utilisant différentes méthodes comme les pages Web, les certificats numériques X509 et les cartes à puces Administration centralisée pour gérer les politiques globales d authentification et d autorisation Oracle Access Manager s intègre dans l infrastructure existante du système d information par l intermédiaire d agents afin de prendre en charge les principaux serveurs HTTP, Serveur d applications, annuaires LDAP, messageries et Base de données existantes. Gestion des accès avec Oracle Access Manager Oracle Access Manager permet de mettre en oeuvre de manière centrailsée les fonctions d authentification, d autorisation et d audit pour offir un service de signature unique WebSSO aux ressources Web de l entreprise comme les ressources J2EE (JSP,servlets, EJBs, etc.)et les applications Web, Portails. Le système de gestion des accès peut être étendu via des API afin de prendre en charge toutes les ressources dont l accès doit être controlé. 08/10/2007 L offre de gestion des identités Oracle Page 7
8 Oracle Access Manager Gestion des accès Oracle Access Manager - Authentification Le système de gestion des accès centralise l authentification des utilisateurs qui essayent d avoir accès à des applications Web et dont les ressources sont protégées par Oracle Access Manager. Les différentes méthodes d accès sont les suivantes : HTTP Basic username/password HTTPS Certificats X509 Carte à puce Tokens Page Web d authentification Spécifiques (authentifications via Authentification APIs ) Le système de gestion des accès permet aux clients de définir leur propre gestion du contrôle des accès avec des hiérarchies de niveaux d authentification afin de s adapter avec les contraintes métiers et organisationnelles de l entreprise. Par exemple il est possible de protéger l accès à un portail d entreprise avec un simple username et mot de passe mais pour l accès à des applications manipulant des données plus sensibles comme la paye par exemple une authentification par certificat numérique ou carte à puce peut être exigée. 08/10/2007 L offre de gestion des identités Oracle Page 8
9 De plus, le modèle d authentification basée sur des politiques d accès permet aux clients de définir de flux ou étapes au cours desquelles il sera possible de gérer différents types de réponses, de référentiels d authentification. Par exemple, un flux qui nécessite une authentification par username et mot de passe peut d abord essayer de vérifier les données envoyées auprès d un annuaire LDAP et s il y a échec, essayé de vérifier l authentification auprès d un domaine Windows, et ces différentes étapes sont invisibles par l utilisateur. Access Manager dispose de plusieurs interfaces (API) bien documentées pour permettre l intégration de mécanismes et produits tiers (cartes à puce, outils biométriques, etc) Oracle Access Manager Des API pour étendre les fonctionnalités Une fois que l utilisateur s est authentifié, le système de gestion des accès créé une session attestant de l authentification préalable correcte de l utilisateur afin que l utilisateur n ai plus à se signer lors de l accès à d autres applications sous le contrôle de Oracle Access Manager Oracle Access Manager - Autorisations Par défaut, le système de gestion des accès fournit un service centralisé de contrôle des autorisations pour l accès aux applications Web et ressources J2EE. La gestion des autorisations est sous le contrôle d un «Policy Domain» qui inclus un ensemble de règles qui vont régir l accès aux ressources protégées dans ce domaine. A travers la console Web d administration, on va pouvoir définir les règles basées sur les utilisateurs, l appartenance à des groupes, des rôles, des données temporelles, des adresses IP. 08/10/2007 L offre de gestion des identités Oracle Page 9
10 La gestion centralisée des autorisations va réduire les coûts de développement car les développeurs n auront plus qu à mettre en œuvre les fonctionnalités métiers sans avoir à se préoccuper des gérer dans chaque application les règles d accès aux composants applicatifs. Oracle Access Manager - Audit Le service d audit proposé par Oracle Access Manager est très flexible. Les différents évènements envoyés au service d audit inclus les demandes d authentification qui ont réussies ou échouées ainsi que le résultat de toutes les règles d autorisation. Le fichier de trace peut être paramétré afin de pouvoir rapprocher l identité des utilisateurs ainsi que toutes les informations contextuelles comme l heure, l adresse IP, la machine ayant réalisée l authentification. Des filtres différents peuvent être utilisés pour l audit en fonction de la sensibilité des applications. Par exemple pour l application Portail généraliste, il sera possible de ne tracer que le nom de l utilisateur ainsi que la ressource accédée alors que pour une application financière il sera possible d utiliser un masque plus complet pour enregistrer les évènements en incluant en plus l heure, l adresse IP du client. Oracle Access Manager Quelques rapports d audit Le processus d audit permet aux administrateurs de pouvoir détecter des intrusions, de surveiller la sécurité d accès aux applications et de pouvoir réaliser des états consolidés de toute l activité concernant la gestion des accès. Les fichiers trace peuvent être stockés soit dans des fichiers plats, soit dans des bases de données (Oracle RDBMS 10g, SQL Server) et exploité avec des outils de reporting comme Oracle XML Publisher, Oracle Reports ou Business Objects Les données le plus souvent auditées sont les suivantes : Statistiques d authentification (taux de succès/échecs pour tous les AccessServers) 08/10/2007 L offre de gestion des identités Oracle Page 10
11 Statistiques d autorisation (taux de succès/échecs pour tous les AccessServers) Authentifications infructueuses (par utilisateur) Autorisations infructueuses (par ressource) Utilisation des interfaces de tests Historique d un groupe (Toutes les modifications au cours du temps du contenu d un groupe) Historique d identité pour un utilisateur Utilisateurs bloqués (suite à une connexion infructueuse) Modification de mot de passe Utilisateurs créés/désactivés/réactivés/supprimés Historique de modification du profil utilisateur (pour tous les utilisateurs) Liste des utilisateurs désactivés Temps d exécution d un Workflow Architecture de Oracle Access Manager La figure suivante illustre une architecture qui peut être mise en place lors du déploiement de Oracle Access Manager 08/10/2007 L offre de gestion des identités Oracle Page 11
12 Oracle Access Manager Architecture Le système de gestion des accès Web est constitué de trois composants principaux WebGate : Intercepteur (plug-in) de requètes Web installé dans chaque WebServer (Apache, IIS, ) Access Server : Processus standalone qui dialogue avec WebGate et qui réalise l évaluation des règles d authentification et d autorisation Annuaire LDAP : Référentiel d identité qui contient l ensemble des profils utilisateur et les politiques de sécurité associées aux différentes ressources Le flux d authentification est le suivant : 1. Webgate intercepte la requête HTTP. 2. Webgate transmet la requête au serveur d accès pour déterminer si la ressource est protégée et de quelle manière, et si l utilisateur est authentifié. Sinon, un challenge est demandé. L utilisateur doit, soit saisir un couple login/mot de passe, soit présenter son certificat et le code pin associé. 3. Le serveur d accès vérifie dans l annuaire les informations de sécurité tels que l identifiant et le mot de passe de l utilisateur, renvoie les informations au Webgate et génère un cookie crypté pour authentifier l utilisateur. L authentification de Oracle Access Manager supporte toute tierce méthode d authentification ainsi que différents niveaux d authentification. Des ressources avec des sensibilités de degrés variables peuvent être protégées en mettant en œuvre des niveaux d authentification plus élevés. 4. Après authentification, WebGate sollicite le serveur d'accès pour rechercher la règle d autorisation appropriée. Si la règle est valide, l'utilisateur accède aux applications. Si la règle est invalide, l accès de l utilisateur est refusé et celui-ci réorienté vers une autre URL déterminée par l'administrateur. Les composants de Oracle Access Manager Oracle Access Manager est composé de WebGate, AccessGate, AccessServer et le Policy Manager. Le référentiel dans lequel sont stockées à la fois les données de configuration du produit et les identités utilisateur est un annuaire LDAP. Les fonctionnalités de chaque composant sont décrites ci-dessous : WebGate : Client prêt à l emploi pour appliquer les règles d accès sur des ressources http (Web Policy Enforcement Point ou PEP). WebGate fonctionne comme plugin ou module, dans l environnement de la plupart des serveurs HTTP du marché, et WebGate intercepte les requêtes HTTP avant de les envoyer à AccessServer où les règles d authentification et d autorisation sont appliquées. WebGate est un composant technique qui permet de manipuler les différentes composants du protocole HTTP, les URL, les cookies de sessions, les redirections http, et WebGate met en œuvre un cache des règles d accès qui permet d optimiser les accès à l AccessServer. AccessGate : Tous les autres client de l AccessServer qui ne sont pas des WebGate, c est à dire pour tous les accès non Web. Différentes AccessGate sont fournies pour être mise en œuvre dans les différents serveur d applications du marché comme BEA WebLogic, IBM WebSphere, et Oracle OC4J. Les clients eux-mêmes peuvent développer une AccessGate pour couvrir des besoins spécifiques Access Server : Processus serveur qui met en oeuvre les politiques d accès aux ressources (Policy Decision Point ou PDP). Ce processus peut être déployé comme une instance unique ou 08/10/2007 L offre de gestion des identités Oracle Page 12
13 bien faire partie d une infrastrucure de machine en cluster afin offrir (sans équipement supplémentaire) une meilleure montée en charge avec de l équilibrage de charge et une disponibilité accrue. L Access Server réalise les fonctions d évaluation dynamique des politiques d accès en fonctions du contexte de l utilisateur et de l application accédée ainsi que les fonctions d authentification, autorisation et audit. Policy Manager et Access System Console : Console Web qui permet de configurer les ressources à protéger ainsi que la création et mise à jour des règles et politiques de sécurité à appliquer (Policy Management Authority ou PMA). Le Policy Manager les éléments de sécurité concernant l accès aux ressources dans l annuaire LDAP qui contient les données de configuration de Oracle Access Manager et il communique avec AccessServer afin de remettre à jour en temps réel les changements de configuration comme les modifications de règles ou l ajout d une nouvelle ressouce protégée. Oracle Access Manager La console d administration Web du référentiel de sécurité Gestion des identités avec Oracle Access Manager Oracle Access Manager Identity System est l outil de gestion des identités qui sont sous le controle du module de la gestion des accès. Ce couplage entre la gestion des accès et la gestion des identités est une fonctionnalité unique et différentiatrice de Oracle Access Manager. Oracle Access Manager Identity System est composé de Identity Server, et de WebPass (web server plug-in) 08/10/2007 L offre de gestion des identités Oracle Page 13
14 Identity Server est un processus serveur qui gère les informations concernant les identités comme les utilisateurs, les groupes, les organisations et il inclut un moteur de workflow spécialisé pour les identités afin de pouvoir définir et mettre en œuvre des workflow d approbation liés au cycle de vie des identités gérées. Le module WebPass plug-in se charge de transmettre des informations entre un serveur Web et une ou plusieurs instances du processus Identity Server La gestion des identités prend en charge des fonctionnalités évoluées comme la délégation d administration, la gestion de groupes dynamiques, les fontions self-service et d auto-enregistrement qui sont indispensables dans un environnement applicatif et organisationnel complexe. Ces fonctionnalités sont décrites ci-dessous : Delegated Administration : Gérer les accès de quelques centaines ou milliers d utilisateurs efficacement et avec des coûts limités est une tâche lourde et complexe pour tenir à jour les changements permanents de modifications de profils, droits. La délégation d administration rend plus efficace cette gestion en responsabilisant les managers et gestionnaires, qui sont au plus près des utilisateurs et des ressources, car ceux-ci disposent d information plus précise et plus à jour pour effectuer cette tache. En répartissant les efforts d administration, il sera possible de répondre plus efficacement, plus rapidement à la charge demandée. Dans le cas d un portail extranet qui permet l accès à plusieurs fournisseurs à des ressources interne à l entreprise, il sera possible de dédier à un responsable interne ou externe la responsabilité d administration des identités d un fournisseur. Gestion des groupes dynamiques : Un besoin essentiel en gestion des identités est d affecter des utilisateurs dans des groupes afin de simplifier, globaliser les directives d administration comme la gestion des accès plutôt que de faire une gestion discrétionnaire utilisateur par utilisateur. Les groupes sont souvent utilisés comme la représentation de rôles techniques et sont mis en oeuvre de manière naturelle dans des portail, serveurs d applications, messageries et annuaires. Ces groupes peuvent être mis en œuvre de manière statique dans le cas ou un utilisateur est affecté explicitement à un groupe par une action de gestion, ou bien dynamique quand le groupe est basé sur une règle ou un filtre qui est évalué lors de l exécution pour déterminer qui fait partie de ce groupe. L expérience à montré que la gestion de groupes statiques impose des tâches d administration lourdes dès lors que l on a à gérer des groupes constitués des centaines d utilisateurs.. Une meilleure approche est la mise en œuvre de groupes dynamiques constitués à partir d une règle ou filtre s appuyant sur des attributs utilisateur. Par exemple le groupe France sera constitué à partir de tous les utilisateurs qui ont comme attribut Location dans leur profil la valeur Paris ou Marseille. Sans aucune tâche d administration, ce groupe sera tenu à jour au fur et à mesure des ajouts, modifications suppressions des utilisateurs User Self-Service/Self-Registration : Permet aux utilisateurs de gérer leur profil, de modifier certains attributs en fonction de leur niveau d habilitation Lost Password Management : Gestion des mots de passe oubliés. Si cette fonction est activée, un lien aparait sur la page de login et redirige l utilisateur sur une page Web ou l utilisateur devra répondre à une suite de questions pré-paramétrées afin de pouvoir réinitialiser son mot de passe. Oracle Access Manager dans un monde hétérogène Oracle Access Manager peut être mis en œuvre dans un monde hétérogène en terme de Operating System, Serveurs Web, Serveurs d applications, Annuaires LDAP 08/10/2007 L offre de gestion des identités Oracle Page 14
15 Oracle Access Manager Dans un environnement hétérogène. 08/10/2007 L offre de gestion des identités Oracle Page 15
16 1.2.2 Oracle Enterprise Single Sign-on Suite Oracle esso Sign-on Manager détecte les demandes de connexion des applications et, à la place de l utilisateur, renseigne les username et mot de passe en moins d un seconde. Cette opération est totalement transparente pour l utilisateur, et une fois installé, il connecte automatiquement les utilisateurs à leurs applications, sessions telnet-host-mainframe, sessions Citrix ainsi qu aux applications Web. Oracle esso Sign-on Manager ne nécessite aucun connecteur, scripts ou agents serveur, cela permet donc un déploiement facile et rapide. Tous les configurations d applications et paramètrages utilisateur sont réalisés à partir d ne console graphique d administration. Oracle esso Sign-on Manager fonctionne avec toutes les applications Windows, Web et remote sur des hosts. En standard le produit est livré avec une liste importante de templates pré-définies qui correspondent à la majorité des logiciels existants (Applications commerciales Windows, Emulateurs de terminaux, Login NT et Netware, Web Pop-ups). Oracle esso Sign-on Manager est un logiciel s installe sur le poste de travail et qui s intègre avec un annuaire d entreprise ou un serveur de fichiers. Les ressources nécessaires à son installation sur le poste de travail sont limitées à 233 MHz Pentium, 64 Mo RAM, 4 Mo à 10 Mo hard drive s espace disque pour Oracle esso Sign-on Manager Oracle esso Sign-on Manager - Architecture Utilisateurs hors-ligne ou non-connectés 08/10/2007 L offre de gestion des identités Oracle Page 16
17 Oracle esso Sign-on Manager a été conçu pour supporter tous les modes de travail: connecté, nonconnecté, poste partagé, kioque et mobile, et donc par sa nature même Oracle esso Sign-on Manager ne dépend pas d un serveur pour assurer ses fonctions de signature unique. Oracle esso Sign-on Manager fonctionne en mode hors ligne ou non connecté en concervant une copie chiffrée en cache local sur le poste de travail de l ensemble des éléments nécessaires à la connexion de l utilisateur. Cette copie locale sera remise à jour lorsque l utilisateur sera à nouveau connecté. Cette fonctionalité de cache local est paramètrable par l administrateur. Postes partagés Oracle esso Sign-on Manager prend en charge également les postes de travail partagés et les utilisateurs qui sont amenés à changer de poste de travail en utilisant soit les fonctionnalités des profiles Windows Roaming ou bien la fonctionnalité native de Synchronization Support qui récupère les éléments de connexion de l utilisateur à partir d un annuaire partagé ou bien d un serveur de fichiers. Les annuaires supportés sont Oracle Internet Directory,SunOne Directory, Novell NDS edirectory, Microsoft Active Directory et potentiellement tout annuaire LDAP V3 Administration de Oracle esso Sign-on Manager L administration est réalisée soit par la concole Microsoft MMC via un snap-in, soit la console de Oracle esso Sign-on Manager une application.net qui se trouve sur le poste de l aministrateur. Cette console dispose d assistants qui permettent de capturer les éléments nécessaires pour configurer les différentes templates des applications, de configurer les paramètres des clients. Une fois cette configuration achevée celle-ci sera envoyée sur le référentiel partagé choisi (en général un annuaire LDAP). Les différentes fonctions d administration de Oracle esso Sign-on Manager peuvent être administrées de manière centrale ou déléguées à des groupes en s appuyant sur la configuration de l annuaire LDAP Oracle esso Sign-on Manager peut être déployé avec Oracle esso Provisioning Gateway qui dispose d un connecteur pour Oracle Identity Manager afin d être pris en compte dans les processus de d habilitation et de provisionnement de l entreprise. Chiffrement Oracle esso Sign-on Manager protège les données confidentielles (username et mots de passe) en utilisant différents algorithmes. Par défaut, Oracle esso Sign-on Manager utilise l algorithme à clés symétriques Microsoft CAPI Triple DES (3DES) pour les données sockées sur le poste de travail ou un référentiel partagé (annuaire ou serveur de fichiers). Oracle esso Sign-on Manager peut également utiliser les algorithmes suivants : MS-CAPI AES 256 bit (FIPS 140-1), RC4, Blowfish 448, et Cobra 128. Lors de la première utilisation, Oracle esso Sign-on Manager génère une clé cryptographique unique primary authentication key qui est propre à chaque utilisateur. Après avoir achevé avec succès une authentification, cette clé est stockée dans Oracle esso Sign-on Manager et elle est utilisée pour chiffrer et déchiffrer les éléments d authentification de cet utilisateur. Authentification forte Oracle esso Sign-on Manager s intègre avec la majorité des systèmes d authentification forte disponible sur le marché et en particulier : Carte à puces MS CAPI CSP Gemplus et Schlumberger 08/10/2007 L offre de gestion des identités Oracle Page 17
18 Entrust Entelligence Périphériques biométriques comme SAFLINK RSA SoftID Ensure Technologies XyLoc proximity cards Reconnaissance des empreintes digitales Digital Persona 08/10/2007 L offre de gestion des identités Oracle Page 18
19 1.2.3 Oracle Identity Federation La fédération d identités met en place une infrastructure qui permet aux identités et droits associés d être propagés entre domaines de sécurité, à l intérieur d une organisation ou bien entre différentes organisations et sociétés. La notion de fédération d identité inclus à la fois la technologie, les standards et les contrats qui sont nécessaires pour établir une relation de fédération à l intérieur d un cercle de confiance. C est une évolution des concepts de gestion des accès et de la signature unique qui permet de généraliser la notion d accès à des ressources informatiques et qui simplifie la gestion des utilisateurs aux entreprises qui souhaitent offrir des services à travers le Web à des utilisateurs externes. Un des bénéfices immédiat est que l utilisateur, une fois authentifié dans son environnement n aura plus à s authentifier ou accéder à des applications externes qui font partie du cercle de confiance de son entreprise, cela évitera à l utilisateur d avoir à mémoriser de nombreux mots de passe. Oracle Identity Federation établit des liens sécurisés entre des comptes et des identités au-delà des frontières du système d information de l entreprise afin de permettre à des partenaires extérieurs, fournisseurs, clients, fournisseurs de services externes d avoir accès à des ressources protégées à l intérieur de l entreprise. En mettant en œuvre des protocoles standardisés Oracle Identity Federation simplifie la création de cercles de confiance entre tous ces participants afin d exploiter un environnement de signature unique multi-domaine sans supporter coûts exorbitants liés à la charge d administration, la maintenance de l ensemble des identités et droits d accès Une architecture hétérogène La nature même du problème impose de pouvoir supporter des environnements très divers et Oracle Identity Federation s intègre avec des solutions tierces de gestion des identités et gestion de contrôle d accès (Oracle SSO, Oracle Access Manager, CA etrust SiteMinder). Oracle Identity Federation permet d authentifier les utilisateurs auprès d un annuaire LDAP ou d une base de données relationnelle. Si un environnement d authentification est déjà déployé alors Oracle Identity Federation va l utiliser pour authentifier les utilisateurs et générer les assertions d authentification qui seront passées aux applications externes. Lorsqu il fonctionne comme un Service Provider (SP), Oracle Identity Federation communiquera avec un système d authentification et de gestion d autorisation afin de déterminer les droits d accès des utilisateurs authentifiés Oracle Identity Fédération Infrastructure Support Multi-Protocoles 08/10/2007 L offre de gestion des identités Oracle Page 19
20 Oracle Identity Federation met en oeuvre les protocoles de fédération standardisés majeurs et il est certifié pour Liberty Alliance Liberty ID-FF et SAML 2.0. Pour assurer un interopérabilité maximale avec les autres produits de fédération, Oracle Identity Federation utilise plusieurs profiles définis par des groupes de standards ouverts : SAML 2.0: Browser Artifact, Browser POST, Single Logout, NameIdentifier, X.509 Authentication- Based Attribute Sharing Liberty ID-FF 1.x: Browser Artifact, Browser POST, Single Logout, NameIdentifier, Federation Termination SAML 1.x: Browser Artifact, Browser POST WS-Federation: Passive Requester Oracle Identity Federation peut également être déployé avec les rôles suivants: Identity Provider Service Provider Attribute Requestor Attribute Responder Oracle Identity Federation Identity Provider et Service Provider 1. L utilisateur s authentifie vis à vis de son Identity Provider 2. L utiisateur demande l accès à une ressource gérée par le Service Provider 3. Une assertion SAML est générée puis l utilisateur est redirigé vers le Service Provider 4. Le Service Provider utilise les informations contenues dans l assertion SAML pour donner ou non l accès à une ressource protégée 08/10/2007 L offre de gestion des identités Oracle Page 20
21 Oracle Identity Fédération Architecture interne 08/10/2007 L offre de gestion des identités Oracle Page 21
22 1.2.4 Oracle Identity Manager Les entreprises aujourd hui ont l obligation de mettre en place des outils de gestion de la sécurité afin de mieux gérer le système d information et de se mettre en conformité avec les contraintes règlementaires en vigueur pour cela il est nécessaire de mettre en place des outils de gestion des identités afin d automatiser un certain nombre de tâches et de pouvoir auditer les processus d administration, les comptes utilisateurs, les droits d accès vis à vis des différentes applications constituant le système d information. Oracle Identity Manager est un produit de gestion d identité qui automatise l administration des accès aux ressources informatiques d une entreprise. Il permet de pouvoir répondre à tout instant aux questions posées par les auditeurs «Qui à accès à Quoi, Quand, Comment et Pourquoi?» L architecture très souple de Oracle Identity Manager permet de gérer les environnements informatiques les plus complexes afin de répondre aux évolutions constantes des besoins opérationnels sans avoir à modifier l infrastructure existante. Cette flexibilité est due à l architecture moderne du produit qui permet de modéliser à travers des objets conceptuels les fonctionnalités de base du provisionnement. Toutes modifications sur les processus d approbation et de provisionnement, politiques d accès, flux de données ou nouvelles sources à intégrer sont isolées à travers ces couches logiques et n ont que peu d impact sur le reste du système. Cette évolutivité permanente est une caractéristique essentielle à prendre en compte dans les projets de gestion d identités. Un produit trop rigide, qui ne saurait pas s adapter simplement aux modifications constantes deviendrait vite un frein à l évolution permanente du système d information. Pour plus d efficacité ce produit ne s appuie pas sur un langage de script pour la mise en œuvre, la configuration ou la modélisation des processus. C est pour cela qu il est considéré comme un des produits les plus novateurs en gestion des identités. Oracle Identity Manager a obtenu de nombreuses distinctions et prix par les magazinescomputerworld, Digital ID World, Gartner, InfoWorld, NetworkWorld, et SC Magazine. Aujourd hui ce produit est en production chez de nombreux clients dont un d eux gère plus de 650 applications cibles automatiquement avec Oracle Identity Server. Bénéfices principaux d Oracle Identity Manager Mise en place et application systématique des règles de sécurité définies à un niveau central Augmente le niveau de service en automatisant les tâches d administration liées à la gestion des droits d accès Renforce la sécurité : Les règles internes peuvent être appliquées de façon rigoureuse, et cela élimine, en particulier, les risques liés à la persistance de points d entrée oubliés après le départ d une personne Mise en conformité avec des contraintes règlementaires (par exemple Sarbanes-Oxley, 21 CFR Part 11, Gramm-Leach-Bliley, HIPAA ) qui imposent, entre autres, de connaître à tout moment les droits d accès de toute personne vis à vis d une information dite «sensible». Réduction des coûts d exploitation en supprimant une large part des tâches manuelles accomplies par les responsables d applications concernant la gestion des comptes applicatifs, la gestion des mots de passe 08/10/2007 L offre de gestion des identités Oracle Page 22
23 Oracle Identity Manager Les fonctionnalités Fonctionnalités de Oracle Identity Manager Déploiement d applications libre-service telles que la demande d ouverture de compte, la renouvellement de mots de passe Délégation possible de fonctions de gestion à d autres personnes, groupe de personnes Mise en place de processus automatisés de validation et de provisionnement Surveillance des applications et annuaires cibles afin de détecter des modifications réalisées localement sur les comptes et reconciliation avec les définitions centralisées Gestion centralisée de la politique liée aux mots de passe Publication de rapports attestant de la conformité du système avec contraintes règlementaires Production semi-automatisée de connecteurs destinés à l interaction avec d autres sous-systèmes (autres annuaires ou applications) Gestion des accès à partir des rôles (RBAC) Oracle Identity Manager permet de gérer les accès des utilisateurs à toutes les ressources de l entreprise à partir de roles pré-définis. Chaque role va définir quelles sont les applications, quels sont les systèmes auquels un employé doit pouvoir accéder, le plus finement possible, afin de réaliser ses fonctions dans l entreprise. De multiples rôles peuvent être associés, combinés, pour chaque employé ou prestataire. Les différents rôles peuvent être attribués avec différents moyens: 08/10/2007 L offre de gestion des identités Oracle Page 23
24 1. Applications de référence comme la gestion des ressources humaines où traditionnellement la fonction, l organisation et la location de l employé sont utilisé comme base d affectation de rôles 2. Les responsables de ressouces, managers peuvent également ajouter de nouveaux rôles au profil des employés 3. Les fonctions libre-service par lequelles les employés eux-mêmes peuvent demander l attribution de nouveaux rôles qui seront validé par un processus d approbation Oracle Identity Manager Gestion des accès à partir de règles et de rôles Plusieurs raisons peuvent être à l origine de la mise en œuvre d un modèle de gestion des accès par les rôles. En premier lieu la volonté de pouvoir centraliser et gérer des politiques d accès globales et centralisées à des fins d audit et de mise en œuvre de procédures concernant l application du respect de contraintes règlementaires. Mais également, la nécessité de réduire les temps d administration et la réactivité du système d information en affectant des rôles «métiers» ou «techniques» à des individus plutôt que des droits d accès individuels application par application. Oracle Identity Manager simplifie la réalisation de ceci en réduisant le besoin d affectation manuelle de rôles ou de privilèges applicatifs par l utilisation de «règles d appartenance à des rôles». Ces règles vont dynamiquement et automatiquement enrôler un utilisateur dans un ou plusieurs rôles à partir des informations contenues dans le profil de cette personne comme la fonction, le site, le département, le niveau hiérarchique. Cette combinaison de règles et de rôles permet à Oracle Identity Manager d automatiser la gestion des droits d accès dans toute l entreprise. Chaque changement d attribut associé à une personne sera automatiquement détecté et les règles réactivées afin d en déduire et d appliquer les impacts que cela aura vis à vis des droits d accès aux applications. Gestion des profils 08/10/2007 L offre de gestion des identités Oracle Page 24
25 En utilisant l interface libre-service de Oracle Identity Manager, les utilisateurs peuvent visualiser et éventuellement mettre à jour leur profil personnel. Cela permet de réduire les tâches administratives liées à ce type d opérations Gestion de demande d accès Oracle Identity Manager Gestion des utilisateurs Cette même interface permet aux utilisateurs de soumettre des demandes d accès à des ressources. Des gestionnaires habilités (responsables d équipe, Directeurs, responsables de division) sont notifiées par un processus et peuvent alors vérifier puis accepter ou non les demandes. Gestion des organisations et des ressources à contrôler C est la fonction majeure du produit. L interface d administration de Oracle Identity Manager permet à des gestionnaires de modéliser l intégralité d une organisation (utilisateurs, groupes, rôles) ainsi que de définir les ressources pour lesquelles il faudra appliquer des règles d accès. La gestion des ressources permet de traiter, entre autres, les scénarios suivants: L accès à une ressource pour un individu est défini, soit automatiquement en fonction de la valeur de son profil, soit explicitement à travers l interface d administration de Oracle Identity Manager. Si un individu ayant accès à une ressource change de fonction ou bien quitte l entreprise, le système de contrôle d accès de Oracle Identity Manager déterminera quels sont les accès à conserver et quels sont ceux qu il faut dé-provisionner. Lors d une mutation ou d un départ, un accès exclusif à une ressource peut être transféré à un autre individu, en fonction de règles pré-établies. Ces dernières peuvent faire partie intégrante du processus de dé-provisionnement. On distingue deux types d actions : 08/10/2007 L offre de gestion des identités Oracle Page 25
26 Provisionnement : le processus qui permet de créer/modifier/supprimer un profil d identité dans le système central puis de le propager sur les cibles Reconciliation : le processus par lequel il est possible de détecter/récupérer les créations/modifications/suppressions des profils d identité sur les cibles puis de les propager vers le système central afin de les valider Processus de provisionnement Oracle Identity Manager fournit un environnement de création de processus destiné à modéliser un flux complet de provisionnement, c est à dire l enchainement par lequel un nouvel utilisateur, par exemple, sera en mesure d accéder à une application spécifique, dès son arrivée dans l entreprise. Quand une personne quitte l organisation ou bien lorsqu un changement de profil a lieu (lors du mutation par exemple), Oracle Identity Manager supprime les droits d accès correspondants par l intermédiaire d un processus de dé-provisionnement. Représentation graphique des processus Oracle Identity Manager fournit un visualisateur de processus qui affiche une représentation graphique d un enchaînement de tâches. Cela permet à chacun de comprendre le fonctionnement des processus internes de gestion d accès, ainsi que les dépendances entre les différents départements de l entreprise. Certaines fonctions administratives peuvent être déléguées sans compromettre le niveau de sécurité Oracle Identity Manager Représentation graphique des processus Processus d approbation Associés aux processus de provisionnement, il est souvent nécessaire de pouvoir mettre en place des processus d approbation d allocation des ressouces afin qu un responsable puisse donner son accord ou refuser cette attribution. Oracle Identity Manager permet de mettre en œuvre de tels processus, de 08/10/2007 L offre de gestion des identités Oracle Page 26
27 manière très souple en se basant sur des règles dynamiques pour trouver qui est le ou les responsables autorisés à donner cette approbation. Ces processus peuvent, parfois, être assez complexes avec plusieurs niveaux d imbrication, et la souplesse apportée par Oracle Identity Manager permettra de faire vivre ces processus au cours du temps et des réorganisations de l entreprise. Oracle Identity Manager Processus d approbation Notifications éléctroniques Oracle Identity Manager permet d associer la notification électronique aux tâches des processus de provisionnement et d approbation. Il fournit des notifications électroniques suivant des règles ainsi que lors de mise à jour de statut. Le moteur de réconciliation peut également envoyer des notifications électroniques lorsque des règles de réconciliation sont violées, par exemple lorsqu un compte non autorisé est détecté sur un système cible ou qu un compte d un système cible a été désactivé sans approbation. De telles notifications peuvent être définies pour n importe quelle règle ou n importe quel événement. Gestion en libre-service Oracle Identity Manager permet aux utilisateurs de modifier depuis un point d accès unique leur mot de passe de telle façon que la modification soit répercutée sur tous les annuaires applicatifs qui sont contrôlés. Si l utilisateur oublie son mot de passe, Oracle Identity Manager fournit un mécanisme de rattrapage (sous forme de questions annexes) qui autorise une ré-initialisation du mot de passe. Ces fonctions de type libre-service permettent de soulager l activité d un centre de support fréquemment sollicité pour ce type de demande. Gestion avancée des mots de passe Oracle Identity Manager permet de mettre en place un contrôle très sophistiqué de la conformité des mots de passe par rapport à une politique globale d entreprise. Par exemple, on peut obliger une catégorie 08/10/2007 L offre de gestion des identités Oracle Page 27
28 donnée d utilisateurs (ayant des doits d accès à des informations sensibles) de choisir un mot de passe complexe, alors que l obligation sera moindre pour une autre catégorie d utilisateurs. Synchronisation de mot de passe avec Microsoft Active Directory Etant donné que la majorité des utilisateurs sont familiers avec la technique de changement de mot de passe sur leur poste de bureau, Oracle Identity Manager s appuie sur cette pratique répandue, et fournit un mécanisme de synchronisation bi-directionnelle avec l annuaire Microsoft Active Directory. Ainsi, lorsque l utilisateur change son mot de passe au niveau de son poste Windows, celui-ci est intercepté par Oracle Identity Manager puis propagé de façon transparente sur tous les systèmes cibles placés sous son contrôle. Réconciliation d identité Oracle Identity Manager peut consolider les informations provenant de plusieurs référentiels (annuaires, Ressources Humaines), en utilisant ses fonctions de réconciliation Ces données peuvent alors être publiées dans un annuaire LDAP. Cette approche évite une réplication aveugle car elle met en place également les règles d accès qui ont été définies au niveau de l entreprise, et enregistrées dans le référentiel de Oracle Identity Manager. Une des fonctions les plus puissantes de Oracle Identity Manager est illustrée par la capacité à détecter des divergences entre, d une part un système cible et d autre part le référentiel central des accès, et à les éliminer automatiquement: (Réconciliation). Si un accès à une ressource est modifié en dehors du contrôle de Oracle Identity Manager, le changement peut être annulé ou bien notifié, au minimum, à un administrateur. Le sous-système de réconciliation permet de mettre en place des contrôles à intervalle variable selon le niveau de sensibilité de la ressource à protéger. La fonction de réconciliation permet également un embarquement (prise en compte d identités déjà existantes) d un nouveau système cible dans le référentiel de Oracle Identity Manager Gestion des comptes orphelins et pirates Les comptes pirates ( ceux créés hors du contrôle d un système centralisé d administration) et orphelins (reliés à des utilisateurs qui n existent pas physiquement ou bien qui ont quitté l organisation) représentent un risque sérieux d intrusion. Une fois qu une ressource est placée sous le contrôle de Oracle Identity Manager, ces comptes ainsi que les privilèges qui leur sont associés sont immédiatement détectés. En réponse, Oracle Identity Manager exécute des actions correctives qui ont été définies en paramètres, telles que la notification au service d administration et la neutralisation des comptes concernés Connecteurs pour les systèmes à contrôler Oracle Identity Manager est un produit qui a été conçu de manière à ce que la connexion de la plupart des produits du marché soit automatique, et que l intégration de systèmes propriétaires soit la plus simple possible. Un outil de développement de connecteurs (Adapter Factory) fournit un moyen rapide d intégration et ne nécessite aucune programmation, dans la plupart des cas. Les connecteurs prêt à l emploi couvre les cibles suivantes : 08/10/2007 L offre de gestion des identités Oracle Page 28
29 Oracle Identity Manager La liste des connecteurs prèt à l emploi Architecture physique Oracle Identity Manager est une application J2EE qui fonctionne sur les serveurs J2EE du marché incluant JBoss, BEA WebLogic, IBM WebSphere et biento Oracle Application Server. Oracle Identity Manager est mis en œuvre un environnement de sécurité important et toutes les communications entre les différents composants d Oracle Identity Manager sont chiffrés. 08/10/2007 L offre de gestion des identités Oracle Page 29
30 Oracle Identity Manager Architecture technique Oracle Identity Manager Montée en charge sur plusieurs serveurs Processus de reconciliation 08/10/2007 L offre de gestion des identités Oracle Page 30
31 Une des fonctionnalités importante qui va être mise en œuvre dans les projets de gestion des identités est la capacité de réconciliation mise en œuvre par les connecteurs de Oracle Identity Manager. Oracle Identity Manager Réconciliation à partir d un annuaire central Le référentiel central (un annuaire LDAP, un logiciel de Ressources Humaines) qui va servir de référentiel unique afin de décrire tous les profils des utilisateurs à partir de ce référentiel il va être possible de propager («provisionner») ces identités à partir de règles et de rôles définis dans ProvisionServer vers les autres cibles. Mais si des modifications sont réalisées localement par les administrateurs des cibles (un administrateur Active Directory par exemple) il va être possible de détecter ces modifications et de les valider ou invalider puis éventuellement de les propager sur les autres cibles voire même de mettre à jour le référentiel central. Le processus de Reconciliation va fonctionner différemment suivant la nature des applications cibles («trusted» ou pas). Une application n est pas considérée comme «trusted» si les profils d identité ont été créés par Oracle Identity Manager puis propagés sur la cible. Une application est considérée comme «trusted» si elle est la source de création d utilisateurs ou de groupes (comme l Annuaire Central dans l exemple ci-dessus). A partir des informations récupérées à partir d une cible «trusted» il sera possible de créer/modifier/supprimer des profils utilisateurs dans Oracle Identity Manager puis de les propager si nécessaire, aux autres cibles. Dans le cas d une cible «non trusted» il sera possible de modifier uniquement les profils existants et d éventuellement propager ces modifications aux autres cibles. 08/10/2007 L offre de gestion des identités Oracle Page 31
32 Oracle Identity Manager Reconciliation à partir d une application 08/10/2007 L offre de gestion des identités Oracle Page 32
33 Exemple de quelques processus standards gérés par Oracle Identity Manager Oracle Identity Manager Processus d embauche 08/10/2007 L offre de gestion des identités Oracle Page 33
34 Oracle Identity manager Demande d attribution de ressouces (Téléphone, compte applicatif, ) Oracle Identity Manager Départ d un employé Respect des contraintes règlementaires Oracle Identity Manager et Oracle Access Manager permettent ensemble de couvrir l ensemble des exigences règlementaires qui s appliquent à l accès, l utilisation et l audit des ressouces informatiques 08/10/2007 L offre de gestion des identités Oracle Page 34
35 Couverture complète des contraintes règlementaires Production de rapports d audit et conformité Oracle Identity Manager fournit des rapports de fonctionnement permettant de prouver la conformité de la gestion des droits d accès par rapport à des contraintes règlementaires. 08/10/2007 L offre de gestion des identités Oracle Page 35
36 Oracle Identity Manager fournit des rapports sur le contenu de son référentiel (utilisateurs, ressources provisionnées selon les individus, hiérarchie de l organisation etc.) et sur l activité de gestion (historiques de demande d accès, information sur le provisionnement, etc). Des rapports spécifiques peuvent également être créés avec des outils du marché, tel que Oracle XML Publisher, Crystal Report ou bien Oracle Report. Oracle Identity Manager Rapport Audit «Qui a Quoi» Validation des comptes, ressources et droits d accès Oracle Identity Manager permet de mettre en place de processus automatisés de certification des comptes, ressources et droits d accès. Ces processus (ou attestations) permettent de vérifier de manière récurrente que chaque personne dispose de tous les droits d accès aux ressources dont elle à besoin pour faire son travail et uniquement des ressources nécessaires pour la bonne exécution des tâches dévolues à sa fonction. Ces processus paramètrables permettent de faire valider par exemple par chaque manager, l ensemble des ressources auxquelles ont accès les personnes de son équipe, ou bien à un responsable d application de valider les comptes attribués à son application. 08/10/2007 L offre de gestion des identités Oracle Page 36
37 Oracle Identity Manager Processus de certification Prise en charge de la séparation des fonctions Oracle Identity Manager prend en charge la séparation des fonctions par la définition de règles explicites de refus ayant priorité sur toutes les autres règles d appartenance. Ces règles veillent à ce que les combinaisons d accès inappropriées ne puissent pas être allouées. 08/10/2007 L offre de gestion des identités Oracle Page 37
38 1.2.5 Oracle Internet Directory Oracle Internet Directory (OID), est l annuaire LDAP d entreprise d Oracle. La stratégie de développement d Oracle vis-à-vis du standard LDAP est la suivante : Fournir un annuaire conforme à la norme LDAP V3. Ce produit s appelle Oracle Internet Directory (OID) et s appuie sur une base Oracle pour stocker ses données. Il bénéficie donc pour sa fonction de stockage de la fiabilité, de la disponibilité et de l évolutivité de la base de données Oracle. Interfacer tous les autres logiciels constituant l offre Oracle (base de données, serveur d applications, Oracle E-Business Suite, Oracle PeopleSoft, Oracle JDE, Oracle Siebel) à cet annuaire. Ce travail concerne aussi bien les domaines de l administration d un environnement Oracle (par exemple OracleNet), que ceux de la sécurité, de la définition des privilèges utilisateurs et de leurs profils. Sa stricte conformité avec la norme LDAP permet de l utiliser avec des logiciels tiers. Par exemple des clients de messagerie. Permettre le déploiement d annuaires partitionnés, répliqués, ou utilisant les technologies de haute disponibilité telles que Oracle Dataguard, ou OracleReal Application Cluster. Fournir les composants et les interfaces de programmation, qui vont permettre d interfacer OID à d autres sources d informations, afin d assurer sa capacité d intégration. Assurer la disponibilité du produit sur tous les systèmes d exploitation où une version d Oracle est portée. OID a été conçu pour répondre au mieux à quatre grandes contraintes liées au déploiement d annuaires d entreprise, qui sont l évolutivité, la haute disponibilité, la sécurité, et la capacité d intégration à des infrastructures existantes. Evolutivité : Deux contraintes sont exprimées par les utilisateurs. Le nombre maximum d entrées dans l annuaire et le nombre maximum de clients connectés sur une instance. Traditionnellement, lorsque le nombre d entrées dans l annuaire dépasse la centaine de milliers, on partitionne celui-ci et on le distribue sur plusieurs machines. Cette approche apporte le bénéfice supplémentaire d une meilleure disponibilité, et garantit un certain niveau de performances. Cependant, pour les très gros annuaires, la multiplication des machines provoque des difficultés d administration. OID permet de réduire le nombre de machines utilisées car il hérite des fonctionnalités de son moteur de stockage qui n est autre qu une base Oracle. Un autre aspect de l évolutivité est le support d un grand nombre de clients connectés. OID utilise pleinement les capacités des machines multiprocesseurs, car son architecture est basée sur un ensemble de processus, eux-mêmes multi-threads. Ces processus se connectent à la base Oracle, en utilisant des pools de connexion, ce qui garantit une utilisation efficace des ressources du système. Haute disponibilité : L annuaire LDAP est devenu un composant indispensable pour le fonctionnement des applications. A ce titre, il constitue un point faible du système en cas d arrêt. OID permet d assurer les opérations courantes de maintenance de l annuaire sans l arrêter. Sauvegardes et modifications du schéma de l annuaire peuvent se faire en ligne. D autre part, une infrastructure de réplication permet de se prémunir des pannes majeures sur les serveurs. Enfin, on peut optionnellement coupler OID à Oracle Real Application Cluster, pour assurer la disponibilité et la montée en puissance. Sécurité : Le premier aspect de la sécurité concerne l intégrité des données de l annuaire, particulièrement lorsqu un arrêt brutal se produit lors d opérations de mise à jour. OID profite dans ce domaine des fonctionnalités de la base de données Oracle, qui assure les reprises après incidents. Un autre aspect de la sécurité concerne l identification des clients de l annuaire. OID 08/10/2007 L offre de gestion des identités Oracle Page 38
39 supporte les connexions anonymes, par mot de passe et par certificat X509 sur SSL. Un utilisateur authentifié, est restreint dans les opérations qu il peut exercer sur l annuaire par des listes de contrôle d accès. Ces listes, qui sont posées par l administrateur à des endroits stratégiques de l annuaire, limitent les types d opérations que les utilisateurs peuvent réaliser. Enfin, le chiffrement optionnel des données échangées entre client et serveur, et la garantie de leur intégrité est assurée. Capacité d intégration : OID est livré en standard avec une infrastructure appelée Directory Integration Platform, ou DIP. Elle permet de prendre en compte la synchronisation bidirectionnelle avec les annuaires LDAP du marché, qui sont SunOne Directory, Microsoft Active Directory Novell edirectory et OpenLDAP Caractéristiques techniques Version actuelle: Stockage des données de l annuaire dans une base Oracle. Implémentation du modèle d information X500. Schéma d annuaire extensible à volonté Implémentation du protocole LDAP V3, se conformant notamment aux RFC 1777, 1778, 17779, 1960, 2079, 2247, 2251, 2252, 2253, 2254, 2255, Support de la globalisation: OID permet de gérer l internationalisation des données qui lui sont soumises. Il s appuie pour cela sur les capacités de la base de données. 57 langues utilisées dans 88 pays sont supportées Certifié par l Open Group LDAP 2000 ( Ce groupe rassemble les organisations suivantes: Cisco, Critical Path, Hewlett Packard, IBM, Microsoft, Netscape, Nortel, Novell, Oracle, Siemens, Sun. Cette liste n est pas exhaustive. L objectif de ce groupe est de définir des suites de tests permettant de valider les fonctions du protocole LDAP V3 mises en œuvre dans les produits Performances S appuie sur une base de données Oracle pour assurer le stockage de grands volumes d informations. Supporte un grand nombre de connexions simultanées, en utilisant des pools de processus multithreads, se connectant à la base de données sur des connexions partagées. Garantit un temps de réponse aux requêtes LDAP indépendant de la volumétrie des données. Supporte un cache mémoire dans le serveur LDAP pour les entrées de l annuaire. La mise en œuvre de ce cache est optionnelle. Elle complète le cache de données déjà présent au niveau de la base Oracle. Sécurité 08/10/2007 L offre de gestion des identités Oracle Page 39
40 Contrôle d accès fin aux entrées et aux attributs de l annuaire. Ce contrôle s applique à des utilisateurs ou à des groupes d utilisateurs. Les restrictions d accès qui peuvent être exercées sur les entrées, et les attributs concernent les opérations suivantes: none, compare, search, browse, proxy, read, write, sel-write, add, delete. Support de SSL V3 pour la protection des données sur le réseau, et à des fins d authentification. Connexion des programmes clients de façon anonyme, ou authentifiée par mot de passe, ou par certificat X509. Mécanisme d authentification par proxy, permettant à un programme de jouer un rôle de médiateur pour accéder à l annuaire au nom d autres utilisateurs. Architecture de Oracle Internet Directory 08/10/2007 L offre de gestion des identités Oracle Page 40
41 La console d administration de Oracle Internet Directory 08/10/2007 L offre de gestion des identités Oracle Page 41
42 1.2.6 Oracle Virtual Directory Les technologies des annuaires, de synchronisation d annuaires et des annuaires virtuels constituent les éléments essentiels d assemblage du déploiement d une stratégie de gestion des identités. A un niveau superficiel, chaque technologie vise un but similaire : fournir aux applications (ou utilisateurs finaux) des informations d identification et d appartenance à un groupe pour les ressources gérées. En général, ces ressources sont le plus souvent des utilisateurs, mais peuvent être également d autres ressources gérées, telles que des instances d application, des ressources de réseau partagé ou des comptes génériques applicatifs. Bien que ces technologies visent un but similaire, chacune d elles possède cependant ses propres caractéristiques de déploiement. Comprendre ce qu apportent ces technologies et comment et quand les déployer est essentiel à la prise en charge d un environnement administrable. Annuaire, synchronisation d annuaires et annuaires virtuels Chacune des technologies des annuaires, de synchronisation d annuaires et des annuaires virtuels a un rôle à jouer dans les services de gestion des identités offerts à l entreprise. La compréhension de la conception et des compromis de ces technologies est au cœur de la mise en œuvre d une stratégie efficace de déploiement de la gestion des identités. La présente section décrit chacune de ces technologies, leur utilisation et leurs limites. Annuaire Les annuaires sont des référentiels spécifiques de gestion des informations sur les utilisateurs ou les applications au sein d une organisation. Ils peuvent comprendre les annuaires de système d exploitation tels que Windows (NT ou ADS), les annuaires de messagerie électronique comme Lotus Notes ou Microsoft Exchange, les banques d utilisateurs d application comme celles qui sont déployées avec Oracle E-Business Suite, PeopleSoft ou SAP, ainsi que les annuaires LDAP universels tels que Oracle Internet Directory ou Sun Java System Directory Server. Les annuaires peuvent fournir un point central unique de gestion des identités pour un groupe d applications. En outre, les informations d identification gérées dans un annuaire peuvent être exploitées par des progiciels et applications spécifiques via des interfaces standard telles que LDAP. La plupart des entreprises arrivent à déployer et à gérer un grand nombre d annuaires dans leur environnement pour plusieurs raisons : Les déploiements d applications existants peuvent exiger leurs propres annuaires d identités utilisateur spécialisés. Les annuaires peuvent être déployés pour prendre en charge des groupes d utilisateurs distincts, par exemple des utilisateurs intranet ou extranet, ou encore des utilisateurs appartenant à différentes divisions d une même entreprise. Les annuaires peuvent être déployés pour prendre en charge un groupe distinct d applications (Progiciels, accès réseau distant, collaboration, etc.). Les annuaires utilisés par des entreprises fusionnées ou acquises peuvent venir s ajouter à ceux de l entreprise. Il existe un certain nombre d inconvénients associés à la tenue à jour d annuaires isolés dans l environnement de l entreprise, dont voici les principaux : Les administrateurs doivent tenir à jour les informations d identification utilisateur pour de nombreux annuaires et applications. 08/10/2007 L offre de gestion des identités Oracle Page 42
43 Les utilisateurs finaux doivent jongler avec plusieurs ID utilisateur, mots de passe et interfaces d administration lorsqu ils accèdent à des applications et gèrent leurs informations d identification. Il est difficile de mettre en application et de contrôler la conformité aux politiques de sécurité de l entreprise, par exemple celles liées à la longueur des mots de passe, au nombre de tentatives de connexion autorisées et à la durée de vie pour des banques d identités utilisateur hétérogènes. Enfin, le déploiement des services d accès d entreprise comme la signature unique (SSO) est presque impossible sans une vue applicative unique des informations d identification. Synchronisation d annuaires La synchronisation d annuaires est une méthode de consolidation des informations d identification à l usage de l entreprise. Elle consiste à copier, entre deux référentiels d identités différents et suivant des règles d exploitation prédéfinies, des identités, des attributs et des informations sélectionnés. La synchronisation d annuaires est essentielle pour un grand nombre d applications d entreprise, dont certaines sont décrites ci-après. 1- Exploitation des identités d entreprise pour un groupe d applications Un déploiement simple de synchronisation d annuaires est présenté dans la figure suivante. Dans cet exemple, une organisation a déployé un annuaire d entreprise pour gérer les identités et les informations d authentification de tous ses utilisateurs. Elle a également déployé quelques annuaires spéciaux pour prendre en charge différents groupes d applications, par exemple des systèmes ERP, des bases de données et des services réseau. La décision de gérer des annuaires distincts peut être motivée dans ce cas par le besoin de conserver une autonomie administrative dans ces divers environnements d application et/ou par des besoins particuliers de ces annuaires dans la prise en charge de leurs environnements d application respectifs. Déploiement simple de synchronisation d annuaire Ici, la synchronisation d annuaires permet aux divers groupes d applications d exploiter l annuaire de l entreprise pour les identités et les informations d authentification. Les utilisateurs sont ainsi en mesure d accéder à ces applications au moyen de leurs ID utilisateur et informations d authentification, libérant les administrateurs d applications de l obligation de gérer ces informations. 08/10/2007 L offre de gestion des identités Oracle Page 43
44 2- Utilisation du système de la DRH pour piloter le provisionnement des utilisateurs Nous allons maintenant examiner une seconde application de la synchronisation d annuaires, qui consiste à utiliser le(s) système(s) GRH (Gestion des Ressouces Humaines) d une société mère afin de piloter automatiquement le provisionnement des utilisateurs. Un exemple est donné dans la figure suivante où la synchronisation d annuaires est utilisée pour communiquer directement les informations provenant de la table employés d un système GRH d une société mère au service d annuaire d une entreprise. L identité utilisateur ainsi créée est disponible pour établir une connexion avec les applications et peut également servir à déclencher un workflow de provisionnement d applications automatisé. Cette approche de la gestion des utilisateurs peut réduire le temps que doivent attendre les nouveaux employés avant d être provisionnés pour accéder aux diverses applications d entreprise. Elle permet également de minimiser les erreurs associées au processus de provisionnement. Enfin, les modifications apportées au statut des employés, changements de responsabilité, cessations d emploi, etc., peuvent être reflétées instantanément ainsi qu exploitées dans l annuaire d application d entreprise. 3- Déploiement meta-annuaire d entreprise Alimentation d un annuaire à partir du système DRH Enfin, la synchronisation d annuaires peut être exploitée pour le déploiement de méta-annuaires d entreprise tel qu illustré dans la figure suivante. Grâce à un méta-annuaire, les informations d identification utilisateur provenant de diverses sources sont rassemblées dans un service d annuaire central et mises à la disposition d une variété d applications d entreprise. De plus, les modifications apportées aux informations d identification dans l annuaire central ou l un des référentiels connectés sont réconciliées suivant des règles prédéfinies. Alors que la plupart des entreprises déploient un certain niveau de synchronisation d annuaires, le déploiement d un méta-annaire complet revêt un aspect rebutant pour la majorité d entre elles. Le premier problème que pose les méta-annuaires est la conception et le déploiement du système en soi et la tenue à jour des divers composants via de constants nouveaux déploiements et mises à niveau. Le deuxième problème associé aux méta-annuaires, c est que ce système tend à imposer aux nouvelles applications 08/10/2007 L offre de gestion des identités Oracle Page 44
45 déployées une contrainte d annuaire à taille unique pour tirer parti du méta-annuaire d entreprise. En vérité, les exigences relatives aux applications d entreprise pour les performances, l administration et les métadonnées varient énormément, exigences auxquelles un annuaire d entreprise unique pourrait ne pas satisfaire. Le dernier problème et peut-être non le moindre, c est que le processus de déploiement d un méta-annuaire impose à l entreprise de résoudre un certain nombre de problèmes concernant la gestion et la représentation des informations d identification, ainsi que des problèmes politiques relatifs à la propriété des données et des systèmes. Ces facteurs combinés peuvent être des obstacles presque insurmontables à la réalisation du déploiement d un méta-annuaire d entreprise. Déploiement d un méta-annuaire d entreprise Annuaires virtuels Les annuaires virtuels utilisent les capacités de gestion des correspondances des méta-annuaires, sans en fait créer de référentiel central de jointure des informations d annuaire, ce qui évite un échange complexe de flux de données entre annuaires. Lorsqu une application demande des données d un annuaire virtuel, celles-ci sont extraites, assemblées et transmises à l application en temps réel. Avec les annuaires virtuels, il n existe qu une seule source d informations pour tout enregistrement de données particulier (ou toute arborescence d annuaire). Les annuaires virtuels permettent de fournir des services d entreprise tels que la signature unique (SSO) d applications avec une interruption minimum de l environnement administratif existant. La figure 4 en donne un exemple, dans lequel les identités utilisateur et informations d authentification sont traitées indépendamment dans quelques services d annuaire, reflétant peut-être des unités administratives autonomes de la même société. Le déploiement d un service de gestion des accès, combiné à un annuaire virtuel permet à la société de fournir à tous les utilisateurs un accès transparent à ses applications partagées. De plus, chaque unité administrative peut conserver son autonomie en gérant ses 08/10/2007 L offre de gestion des identités Oracle Page 45
46 propres utilisateurs, ainsi que contrôler l accès à ses propres applications. Les avantages que présente l approche d annuaire virtuel dans cet exemple sont les suivants : Le déploiement des services de gestion des accès de l entreprise peut être réalisé sans interruption de l environnement administratif existant, ni changements. Le déploiement et la gestion d un service central ne sont pas requis pour stocker les informations d annuaire. Les informations d identification de chaque utilisateur sont gérées à un seul endroit, réduisant ainsi les risques de confusion et garantissant que la vue de l application est constamment à jour. Exemple de déploiement d un annuaire virtuel Les entreprises qui gèrent des déploiements d applications peuvent et doivent tirer parti des technologies des annuaires, de synchronisation d annuaires et des annuaires virtuels. Voici quelques exemples d entreprises à qui s adresse tout particulièrement la technologie de synchronisation d annuaires : Entreprises qui disposent d une source de contrôle des identités utilisateur et qui cherchent à exploiter des informations qui sont hébergées dans des environnements d application isolés, afin de fournir des connexions via des identités utilisateur et des informations d authentification dont la gestion est centralisée. Organisations qui souhaitent piloter le provisionnement des utilisateurs à partir d un ou de plusieurs systèmes GRH de leur société mère. La technologie des annuaires virtuels peut s avérer idéale pour d autres entreprises, par exemple : Les organisations souhaitant déployer rapidement un service d accès d entreprise de sorte que la signature unique (SSO) Web ou l accès distant puisse tirer parti de la technologie des annuaires virtuels, 08/10/2007 L offre de gestion des identités Oracle Page 46
47 afin de fournir à ces services une vue en temps réel des informations d identification de l entreprise avec une incidence minimale sur le mode de gestion de ces informations. Cette technologie permet aux entreprises de déployer rapidement ces services sans avoir à traiter les problèmes politiques de propriété des données et de représentation. Les organisations dont l infrastructure informatique est très décentralisée, telles que les organismes gouvernementaux, les sociétés de portefeuille et les entreprises diversifiées, gèrent en général leurs utilisateurs au niveau du département ou de l unité administrative. Dans ces environnements, les utilisateurs peuvent accéder essentiellement à un ensemble d applications réservé à ce département ou à cette unité administrative, mais ils peuvent également avoir besoin ponctuellement d accéder à des applications partagées pour effectuer, par exemple, des tâches de gestion des avantages sociaux ou de comptabilité de la paie. Ces organisations peuvent utiliser la technologie des annuaires virtuels pour donner aux utilisateurs un accès sécurisé à ces applications sans avoir à administrer leur identité. Architecture à base d annuaires virtuels 08/10/2007 L offre de gestion des identités Oracle Page 47
48 Oracle Virtual Directory Créer un environnement applicatif sécurisé nécessite, souvent, l intégration de référentiel d identités existants. Pour certaines sociétés ces informations résident dans des bases de données alors que pour d autres ces données sont stockées dans des annuaires LDAP ou domaines Windows. En général, il va être nécessaire de combiner ensemble plusieurs sources d informations. Oracle Virtual Directory permet de fabriquer en temps réel une vue agrégée de ces différents référentiels LDAP, SDBDs ou WebServices sans avoir à synchroniser ou recopier les données. Cela permet d accélérer le déploiement de nouvelles applications sans avoir à modifier les données existantes. Oracle Virtual Directory Oracle Virtual Directory accède aux données des différents référentiels d identités, là où elles se trouvent, en temps réel afin d en présenter une vue unifiée LDAP ou XML. Cette restitution peut être personnalisée, sécurisée à travers les outils d administration de Oracle Virtual Directory. Les applications qui se connectent à Oracle Virtual Directory (portails, serveurs d applications, applications Web, systèmes de gestion d accès) vont se servir de ces données comme éléments d authentification ou d autorisation. Oracle Virtual Directory offre nativement les fonctionnalités de gestion de pools de connexion, équilibrage de charge et basculement en cas d échec afin de batir une solution performante et fiable aux services de sécurité. Jointures Oracle Virtual Directory, en plus d offrir une vision consolidée des utilisateurs de différents référentiels, permet de reconstituer un profil utilisateur à partir d informations éclatées dans ces différents référentiels comme par exemple «joindre» les données d authentification contenues dans un annuaire LDAP et les autorisations stockées dans une base de données sans avoir à synchroniser les deux sources de données. 08/10/2007 L offre de gestion des identités Oracle Page 48
49 Oracle Virtual Directory Jointure à partir de deux sources de données Déploiement d applications avec Oracle Virtual Directory Afin de pouvoir déployer de manière sécurisée des nouvelles applications Web ou portails Internet et Extranet, Oracle Virtual Directory va pouvoir être déployé dans la zone démilitarisée (DMZ) à la place d un replica de l annuaire d entreprise et les outils d administration permettront de sécuriser les accès aux données d identité car : Pas d accès direct aux données de sécurité Mise en place de filtres de sécurité ACL (différents de ceux de l annuaire d entreprise) Limitation des attributs visibles (vue restrictive) Coupure automatique d accès en cas d accès répétés Audit spécifique 08/10/2007 L offre de gestion des identités Oracle Page 49
50 Oracle Virtual Directory Déploiement dans la DMZ 08/10/2007 L offre de gestion des identités Oracle Page 50
Solutions de gestion de la sécurité Livre blanc
Solutions de gestion de la sécurité Livre blanc L intégration de la gestion des identités et des accès avec l authentification unique Objectif : Renforcer la politique de sécurité et améliorer la productivité
DAVION Didier 33 avenue Paul Cézanne 59116 HOUPLINES. Auditeur n NPC007570 URBANISATION ET ARCHITECTURE DES SYSTEMES D INFORMATION DOSSIER SSO
DAVION Didier 33 avenue Paul Cézanne 59116 HOUPLINES Auditeur n NPC007570 URBANISATION ET ARCHITECTURE DES SYSTEMES D INFORMATION DOSSIER SSO I. Définition d un SSO Tout à d abord SSO veut dire Single
PortWise Access Management Suite
Créez un bureau virtuel pour vos employés, partenaires ou prestataires depuis n importe quel endroit et n importe quel appareil avec Portwise Access Manager et Authentication Server. Fournir des accès
Evidian IAM Suite 8.0 Identity Management
Evidian IAM Suite 8.0 Identity Management Un livre blanc Evidian Summary Evidian ID synchronization. Evidian User Provisioning. 2013 Evidian Les informations contenues dans ce document reflètent l'opinion
ENVOLE 1.5. Calendrier Envole
ENVOLE 1.5 Calendrier Envole RSA FIM 1 avril 2008 V 1.13 sur EOLE V 2.0 1 septembre 2008 EOLE V 2.1 10 octobre 2008 V 1.15 RC sur EOLE V 2.0 Modification du SSO EOLE 2.2 (PAM-CAS, CT EOLE V 2.2 RC Prise
Solutions Microsoft Identity and Access
Solutions Microsoft Identity and Access 2 Solutions Microsoft Identity and Access Microsoft Identity and Access (IDA) permet aux entreprises d améliorer leur efficacité et leurs connexions internes et
Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.
PERSPECTIVES Le Single Sign-On mobile vers Microsoft Exchange avec OWA et ActiveSync Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des
Groupe Eyrolles, 2004 ISBN : 2-212-11504-0
Groupe Eyrolles, 2004 ISBN : 2-212-11504-0 Avant-propos L économie en réseau, ou la netéconomie, est au cœur des débats et des stratégies de toutes les entreprises. Les organisations, qu il s agisse de
Gestion des Identités : 5 règles d'or. Patrice Kiotsekian Directeur Evidian France
Gestion des Identités : 5 règles d'or Patrice Kiotsekian Directeur Evidian France Page 1 - Mai 2005 Défi N 1 : la gestion de la cohérence Alors que les référentiels et bases d identité et de sécurité sont
Digital DNA Server. Serveur d authentification multi-facteurs par ADN du Numérique. L authentification de confiance
L authentification de confiance Digital DNA Server Serveur d authentification multifacteurs par ADN du Numérique Simplicité Rapidité Economie Liberté Evolutivité Fiabilité FR mar 205 www.loginpeople.com
LemonLDAP::NG / SAML2. Xavier GUIMARD (Gendarmerie Nationale) Clément OUDOT (Groupe LINAGORA) WWW.LINAGORA.COM
LemonLDAP::NG / SAML2 Xavier GUIMARD (Gendarmerie Nationale) Clément OUDOT (Groupe LINAGORA) WWW.LINAGORA.COM 16, 17 et 18 MARS 2010 SOMMAIRE Définition du WebSSO Présentation de LemonLDAP::NG SAML2 et
Groupe Eyrolles, 2004 ISBN : 2-212-11504-0
Groupe Eyrolles, 2004 ISBN : 2-212-11504-0 Table des matières Avant-propos................................................ 1 Quel est l objectif de cet ouvrage?............................. 4 La structure
Sécurisation des architectures traditionnelles et des SOA
Sécurisation des architectures traditionnelles et des SOA Un livre blanc de Bull Evidian Gestion SAML des accès SSO aux applications classiques et J2EE. Max Vallot Sommaire Émergence des architectures
Application des Spécifications détaillées pour la Retraite, architecture portail à portail
Pour Application des Spécifications détaillées pour la Retraite, architecture portail à portail Version 1.0 ON-X S.A. est une société du Groupe ON-X 15, quai Dion Bouton 92816 PUTEAUX cedex. Tél : 01 40
Augmenter l efficacité et la sécurité avec la gestion des identités et le SSO
Augmenter l efficacité et la sécurité avec la gestion des identités et le SSO Alexandre Garret Directeur des opérations - Atheos Charles Tostain Consultant Sécurité - IBM 24 Juin 2009 2009 IBM Corporation
Gestion des identités Christian-Pierre Belin
Gestion des identités Christian-Pierre Belin Architecte Microsoft France La gestion des identités Le périmètre et les rôles Services d annuaire Point de stockage et d administration des comptes, des informations
Single Sign On. Nicolas Dewaele. Single Sign On. Page 1. et Web SSO
Page 1 Introduction Sommaire I- Présentation de la technologie II- Architectures classiques et étude du marché III- Implémentation en entreprise IV- Présentation de systèmes SSO Annexes Page 2 Introduction
Présentation SafeNet Authentication Service (SAS) Octobre 2013
Bâtir un environnement d'authentification très fiable Présentation SafeNet Authentication Service (SAS) Octobre 2013 Insérez votre nom Insérez votre titre Insérez la date 1 Présentation de l offre SAS
Axe de valeur BMC Identity Management, la stratégie d optimisation de la gestion des identités de BMC Software TM
BROCHURE SOLUTIONS Axe de valeur BMC Identity Management, la stratégie d optimisation de la gestion des identités de BMC Software TM L IDENTITE AU COEUR DE VOTRE PERFORMANCE «En tant que responsable informatique,
Guillaume Garbey (Consultant sécurité) Contributeurs: Gilles Morieux, Ismaël Cisse, Victor Joatton
Guillaume Garbey (Consultant sécurité) Contributeurs: Gilles Morieux, Ismaël Cisse, Victor Joatton Lyon, le 25 février 2009 Introduction à la gestion des identités et des accès Enjeux et objectifs Les
JOSY. Paris - 4 février 2010
JOSY «Authentification centralisée pour les applications web» Paris - 4 février 2010 Sommaire de la journée Présentations de quelques technologies OpenId CAS Shibboleth Retour d expériences Contexte :
Single Sign On (l apport déterminant du SSO dans un projet d IAM ) Yves RAISIN - biomérieux
Single Sign On (l apport déterminant du SSO dans un projet d IAM ) Yves RAISIN - biomérieux Sommaire Concepts du SSO Intégration du SSO dans un projet d IAM Spécifications fonctionnelles et techniques
Tour d horizon des différents SSO disponibles
Tour d horizon des différents SSO disponibles L. Facq, P. Depouilly, B. Métrot, R. Ferrere ANF Les systèmes d authentification dans la communauté ESR : étude, mise en oeuvre et interfaçage dans un laboratoire
<Insert Picture Here> La GRC en temps de crise, difficile équilibre entre sentiment de sécurité et réduction des coûts
La GRC en temps de crise, difficile équilibre entre sentiment de sécurité et réduction des coûts Christophe Bonenfant Cyril Gollain La GRC en période de croissance Gouvernance Gestion
DESCRIPTION DU COMPOSANT
Gestion des utilisateurs et des accès Composant pour un Egov intégré Qu'est-ce qu'un composant? C est un élément indispensable à l intégration des systèmes e-gov des différents niveaux politiques. Cet
Guide Share France. Web Single Sign On. Panorama des solutions SSO
Web Single Sign On Panorama des solutions SSO Agenda Concepts généraux Quelques solutions de Web SSO Questions & Réponses Définition Qu est-ce que le Single Sign-On? Solution visant à minimiser le nombre
CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)
CIBLE DE SECURITE CSPN DU PRODUIT PASS (Product for Advanced SSO) Préparé pour : ANSSI Préparé par: Thales Communications & Security S.A. 4 Avenue des Louvresses 92622 GENNEVILLIERS CEDEX France This document
Evidian Secure Access Manager Standard Edition
Evidian Secure Access Manager Standard Edition LDAP SSO un contrôle d accès modulaire et extensible - V 1.1 Par Dominique Castan [email protected] et Michel Bastien [email protected]
Introduction à Sign&go Guide d architecture
Introduction à Sign&go Guide d architecture Contact ILEX 51, boulevard Voltaire 92600 Asnières-sur-Seine Tél. : (33) 1 46 88 03 40 Fax : (33) 1 46 88 03 41 Mél. : [email protected] Site Web : www.ilex.fr
La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet
REALSENTRY TM Gestion, Performance et Sécurité des infrastructures Web La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet L authentification
Annuaires LDAP et méta-annuaires
Annuaires LDAP et méta-annuaires Laurent Mynard Yphise 6 rue Beaubourg - 75004 PARIS [email protected] - http://yphise.fr T 01 44 59 93 00 F 01 44 59 93 09 LDAP020314-1 Agenda A propos d Yphise Les annuaires
Gestion des Identités et des Autorisations: Modèle générique
Département : Concerne : Exploitation Projet CERBERE, Analyse fonctionnelle Nos ref. : Vos ref. : CERBERE Version: Description Ecrit par Revu par Date 00.92G Version draft Albert Bruffaerts Comité de travail
Les 7 méthodes d authentification. les plus utilisées. Sommaire. Un livre blanc Evidian
Les 7 méthodes d authentification les plus utilisées Un livre blanc Evidian Appliquez votre politique d authentification grâce au SSO d entreprise. Par Stéphane Vinsot Chef de produit Version 1.0 Sommaire
Citrix Password Manager
P R E S E N T A T I O N D U P R O D U I T E T D E S F O N C T I O N N A L I T E S Password Manager LA SOLUTION LA PLUS EFFICACE POUR ACCEDER A TOUTES LES APPLICATIONS AVEC UNE AUTHENTIFICATION UNIQUE.
Gestion des identités
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Gestion des identités 17 décembre 2004 Hervé Schauer CISSP, ProCSSI
GOUVERNANCE DES ACCÈS,
GESTION DES IDENTITÉS, GOUVERNANCE DES ACCÈS, ANALYSE DES RISQUES Identity & Access Management L offre IAM de Beta Systems Beta Systems Editeur européen de logiciels, de taille moyenne, et leader sur son
Qu'est ce qu'une Fédération d'identités? Définitions Fonctionnement de base Fonctionnement détaillé Les principaux composants
Qu'est ce qu'une Fédération d'identités? Définitions Fonctionnement de base Fonctionnement détaillé Les principaux composants Fédération Définit un cercle de confiance constitué de Fournisseurs d'identités
Comment assurer la gestion des identités et des accès sous forme d un service Cloud?
FICHE DE PRÉSENTATION DE SOLUTION CA CloudMinder Comment assurer la gestion des identités et des accès sous forme d un service Cloud? agility made possible Grâce à CA CloudMinder, vous bénéficiez de fonctionnalités
LEADER DES SOLUTIONS D AUTHENTIFICATION FORTE
LEADER DES SOLUTIONS D AUTHENTIFICATION FORTE A l a d d i n. f r / e T o k e n New etoken French 06 draft 05 CS3.indd 1 10/30/2007 3:38:18 AM La référence en matière d authentification forte Dans le monde
Urbanisme du Système d Information et EAI
Urbanisme du Système d Information et EAI 1 Sommaire Les besoins des entreprises Élément de solution : l urbanisme EAI : des outils au service de l urbanisme 2 Les besoins des entreprises 3 Le constat
Gestion des autorisations / habilitations dans le SI:
Autorisations RBAC (Role Based Access Control) Séparation des pouvoirs (SoD) Annuaire central de sécurité Gestion des autorisations / habilitations dans le SI: S'appuyer sur la modélisation fonctionnelle
Créer et partager des fichiers
Créer et partager des fichiers Le rôle Services de fichiers... 246 Les autorisations de fichiers NTFS... 255 Recherche de comptes d utilisateurs et d ordinateurs dans Active Directory... 262 Délégation
VOTRE SOLUTION OPTIMALE D AUTHENTIFICATION
A l a d d i n. c o m / e T o k e n VOTRE SOLUTION OPTIMALE D AUTHENTIFICATION Le paradigme d authentification des mots de passe Aujourd hui, dans le monde des affaires, la sécurité en général, et en particulier
Perso. SmartCard. Mail distribution. Annuaire LDAP. SmartCard Distribution OCSP. Codes mobiles ActivX Applet. CRLs
HASH LOGIC s e c u r i t y s o l u t i o n s Version 1.0 de Janvier 2007 PKI Server Une solution simple, performante et économique Les projets ayant besoin d'une infrastructure PKI sont souvent freinés
REQUEA. v 1.0.0 PD 20 mars 2008. Mouvements d arrivée / départ de personnels Description produit
v 1.0.0 PD 20 mars 2008 Mouvements d arrivée / départ de personnels Description produit Fonctionnalités L application Gestion des mouvements d arrivée / départ de Requea permet la gestion collaborative
Single Sign-On open source avec CAS (Central Authentication Service)
JOSY «Authentification Centralisée» Paris, 6 mai 2010 Single Sign-On open source avec CAS (Central Authentication Service) Julien Marchal Consortium ESUP-Portail SSO open source avec CAS Introduction Pourquoi
IAM et habilitations, l'approche par les accès ou la réconciliation globale
IAM et habilitations, l'approche par les accès ou la réconciliation globale 04/12/08 Page 1 Evidian 2008 1 Les couches archéologiques du Système d information: Les systèmes centraux Ventes Employés Employé
La gamme express UCOPIA. www.ucopia.com
La gamme express UCOPIA www.ucopia.com UCOPIA s adresse principalement aux petites organisations (Hôtels, PME, Cliniques, Etablissements secondaires...). Produit ayant obtenu en 2010 la Certification de
La haute disponibilité de la CHAINE DE
Pare-feu, proxy, antivirus, authentification LDAP & Radius, contrôle d'accès des portails applicatifs La haute disponibilité de la CHAINE DE SECURITE APPLICATIVE 1.1 La chaîne de sécurité applicative est
Open Source et gestion des identités (Annuaire Ldap, SSO et Provisionning) 11 Octobre 2011 TopTIC Pascal Flamand
Open Source et gestion des identités (Annuaire Ldap, SSO et Provisionning) 11 Octobre 2011 TopTIC Pascal Flamand Agenda Les enjeux de la gestion des identités en entreprise Overview des solutions Open
MATRICE DES FONCTIONNALITES
Facilité d utilisation Nouveau! Convivialité d Outlook Nouveau! Smart Technician Client Assistant Installation Configuration instantanée et personnalisable Nouveau! Installation à distance de Technician
S28 - La mise en œuvre de SSO (Single Sign On) avec EIM (Enterprise Identity Mapping)
Modernisation, développement d applications et DB2 sous IBM i Technologies, outils et nouveautés 2013-2014 13 et 14 mai 2014 IBM Client Center Paris, Bois-Colombes S28 - La mise en œuvre de SSO (Single
Authentifications à W4 Engine en.net (SSO)
Note technique W4 Engine Authentifications à W4 Engine en.net (SSO) Cette note technique a pour but d expliquer le mécanisme de fonctionnement de la connexion des utilisateurs à W4 Engine, notamment lorsque
www.rohos-fr.com Authentification à deux facteurs Cryptage portable gratuit des lecteurs USB Cryptage du disque dur
Authentification à deux facteurs Cryptage portable gratuit des lecteurs USB Cryptage du disque dur La connexion par reconnaissance faciale L accès sécurisé sous Windows et Mac à l aide d une clé USB www.rohos-fr.com
Fiche Produit IPS Manager Assistant
Fiche Produit IPS Manager Assistant applications for Cisco Unified Communications Directory Solutions IPS Global Directory Web Directory IPS Popup Personal Directory ClickNDial Provisioning Corporate Speed
Eliminer les zones d ombre et fournir une identité utilisateur sur le pare-feu dans un environnement client léger
L intégration du pare-feu de nouvelle génération dans l environnement Citrix et Terminal Services Eliminer les zones d ombre et fournir une identité utilisateur sur le pare-feu dans un environnement client
Contrôle d accès Centralisé Multi-sites
Informations techniques Contrôle d accès Centralisé Multi-sites Investissement et exploitation optimisés La solution de contrôle d accès centralisée de Netinary s adresse à toute structure souhaitant proposer
AUTHENTIFICATION ADAPTATIVE
AUTHENTIFICATION ADAPTATIVE SMS PASSCODE est la technologie leader de l authentification multifacteur adaptative. Cette solution intelligente et facile à utiliser permet d améliorer la sécurité et la productivité
Table des matières. Chapitre 1 Les architectures TSE en entreprise
1 Chapitre 1 Les architectures TSE en entreprise 1. Présentation............................................. 11 1.1 Le concept........................................... 11 1.2 Approche contextuelle.................................
Gestion des utilisateurs et Entreprise Etendue
Gestion des utilisateurs et Entreprise Etendue Laurent Ruyssen 6 rue Beaubourg - 75004 PARIS T 1 44 59 93 00 F 1 44 59 93 09 [email protected] - http://yphise.fr GUEE0009-1 Agenda Entreprise Etendue Mission
LDAP & Unified User Management Suite
LDAP & Unified User Management Suite LDAP - la nouvelle technologie d annuaire sécurisé La Net Economy Quelles conséquences? Croissance explosive du nombre d applications basées sur Internet non administrables
Sans trop entrer dans les détails, la démarche IO Model consiste à : Pour cela, Microsoft découpe la maîtrise de l infrastructure en quatre niveaux :
Windows Server 2008 Les fondations du système... 15 La virtualisation... 16 La sécurité... 18 Le Web... 20 Fonctionnalité disponible dans... 21 Installation et configuration... 22 Installer... 23 Les services
Gestion des identités et des accès pour garantir la conformité et réduire les risques
IBM Software IBM Security Systems Gestion des identités et des accès pour garantir la conformité et réduire les risques Administrer, contrôler et surveiller l accès des utilisateurs aux ressources, aux
IBM Tivoli Compliance Insight Manager
Simplifier les audits sur la sécurité et surveiller les activités des utilisateurs privilégiés au moyen d un tableau de bord permettant de contrôler la conformité aux exigences de sécurité IBM Points forts
La sécurité des processus métiers et des transactions. Stéphane Marcassin Bull Services Sécurité
La sécurité des processus métiers et des transactions Stéphane Marcassin Bull Services Sécurité Bull : leader européen de la sécurité Spécialiste des infrastructures sécurisées Conseil Intégrateur Editeur
Sun Java System Access Manager Notes de version pour Microsoft Windows
Sun Java System Access Manager Notes de version pour Microsoft Windows Version 7 Numéro de référence 819-5800-10 Ces notes de version contiennent d importantes informations disponibles au moment de la
UCOPIA EXPRESS SOLUTION
UCOPIA EXPRESS SOLUTION UCOPIA EXPRESS Afin de lutter contre le terrorisme, des lois ont été votées ces dernières années, particulièrement en matière d accès Internet. Toute société accueillant du public
PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.
PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information PASS v2.0 : solution d authentification unique basée sur
10 tâches d administration simplifiées grâce à Windows Server 2008 R2. 1. Migration des systèmes virtuels sans interruption de service
10 tâches d administration simplifiées grâce à Windows Server 2008 R2 Faire plus avec moins. C est l obsession depuis plusieurs années de tous les administrateurs de serveurs mais cette quête prend encore
Introduction. aux architectures web. de Single Sign-On
Introduction aux architectures web de Single Sign-On Single Sign-on Authentifier 1 seule fois un utilisateur pour accéder à un ensemble d applications contexte web Nombre croissant d applications ayant
Linux Expo 2010. Gestion des Identités et des Accès. Le 16 mars 2010. Arismore
Linux Expo 2010 Le 16 mars 2010 Arismore 1 Agenda Arismore Vision fonctionnelle de la gestion des identités Positionnement de l open source 2 Spécialiste de la gestion des accès et des identités Société
Guide de déploiement d'un mécanisme De SmartCardLogon par carte CPS Sur un réseau Microsoft
Guide de déploiement d'un mécanisme De SmartCardLogon par carte CPS Sur un réseau Microsoft Statut : Validé Version : 1.2.4 Date prise d effet : 29/12/2009 Référence : Auteur : Frédéric BARAN Diffusion
Constat ERP 20% ECM 80% ERP (Enterprise Resource Planning) = PGI (Progiciel de Gestion Intégré)
Constat Les études actuelles montrent que la proportion d'informations non structurées représente aujourd'hui plus de 80% des informations qui circulent dans une organisation. Devis, Contrats, Factures,
Formation SSO / Fédération
Formation SSO / Fédération CYRIL GROSJEAN ([email protected]) CONSULTANT JANUA Agenda Objectifs du SSO Terminologie, acronymes et protocoles Présentation d'architectures de SSO Présentation d'architectures
Gestion des accès et des identités
Gestion des accès et des identités Laurent Patrigot Forum Navixia / 30 Septembre 2010 Agenda Présentation de l UER Problématique et Objectifs La solution Evidian IAM Questions L UER (Union Européenne de
Plan. Présentation du logiciel Sympa Architecture La gestion des hôtes virtuels Listes avec inclusion des abonnés Les modules d authentification
Plan Présentation du logiciel Sympa Architecture La gestion des hôtes virtuels Listes avec inclusion des abonnés Les modules d authentification Les Scénarios d autorisation Le format TT2 Les familles de
Cortado Corporate Server
Cortado Corporate Server La recette du succès pour la mobilité d entreprise En bref : Solution «MDM» de pointe Sécurité et contrôle maximal Des fonctionnalités «Cloud Desktop» impressionnantes pour la
Présentation de la solution Open Source «Vulture» Version 2.0
Présentation de la solution Open Source «Vulture» Version 2.0 Advens IST Day 15 septembre 2011 http://www.vultureproject.org 1 s/apache/mod_perl/ LE PROJET VULTURE Advens IST Day 15 septembre 2011 http://www.vultureproject.org
Protection des Applications Web avec OpenAM
Protection des Applications Web avec OpenAM Ludovic Poitou RMLL: Rencontres Mondiales du Logiciel Libre - 2011 A Propos... Ludovic Poitou Product Manager @ ForgeRock OpenDJ : Open Source LDAP Directory
Hébergement de sites Web
Hébergement de Solutions complètes et évolutives pour l hébergement de sites Web dynamiques et de services Web sécurisés. Fonctionnalités Serveur Web Apache hautes performances Apache 1. et.0 1 avec prise
Les technologies de gestion de l identité
Commission Identité Numérique Groupe de travail Gestion des identités Les technologies de gestion de l identité ATELIER 1 Paul TREVITHICK, CEO de Parity Responsable projet Higgins Président Fondation Infocard
Le Cloud Computing et le SI : Offre et différentiateurs Microsoft
Le Cloud Computing désigne ces giga-ressources matérielles et logicielles situées «dans les nuages» dans le sens où elles sont accessibles via Internet. Alors pourquoi recourir à ces centres serveurs en
CommandCenter Secure Gateway
CommandCenter Secure Gateway La solution de gestion Raritan, CommandCenter Secure Gateway, offre aux services informatiques l accès intégré, sécurisé et simplifié, ainsi que le contrôle pour toutes les
WebSSO, synchronisation et contrôle des accès via LDAP
31 mars, 1er et 2 avril 2009 WebSSO, synchronisation et contrôle des accès via LDAP Clément Oudot Thomas Chemineau Sommaire général Synchronisation d'identités WebSSO et contrôle des accès Démonstration
FOURNIR UN SERVICE DE BASE DE DONNÉES FLEXIBLE. Database as a Service (DBaaS)
FOURNIR UN SERVICE DE BASE DE DONNÉES FLEXIBLE Database as a Service (DBaaS) 1 The following is intended to outline our general product direction. It is intended for information purposes only, and may
Solutions d accès sécurisées pour opérer une Market Place Saas multitenante
Solutions d accès sécurisées pour opérer une Market Place Saas multitenante Plan de la présentation Le Saas et les enjeux économiques des services en ligne La notion de shops multi-tenantes dans une market
Sécurité des réseaux sans fil
Sécurité des réseaux sans fil [email protected] 13/10/04 Sécurité des réseaux sans fil 1 La sécurité selon les acteurs Responsable réseau, fournisseur d accès Identification, authentification
Administration de systèmes
Administration de systèmes Windows NT.2000.XP.2003 Copyright IDEC 2002-2004. Reproduction interdite. Sommaire... 2 Eléments logiques et physiques du réseau... 5 Annuaire et domaine... 6 Les utilisateurs
Réplication de données de classe entreprise pour environnements distribués et reprise sur sinistre
Réplication de données de classe entreprise pour environnements distribués et reprise sur sinistre La tendance actuelle vers une conception distribuée de l entreprise, avec des agences, des centres de
Suite Jedox La Business-Driven Intelligence avec Jedox
Suite La Business-Driven Intelligence avec Une solution intégrée pour la simulation, l analyse et le reporting vous offre la possibilité d analyser vos données et de gérer votre planification selon vos
NFS Maestro 8.0. Nouvelles fonctionnalités
NFS Maestro 8.0 Nouvelles fonctionnalités Copyright Hummingbird 2002 Page 1 of 10 Sommaire Sommaire... 2 Généralités... 3 Conformité à la section 508 de la Rehabilitation Act des Etats-Unis... 3 Certification
PERSPECTIVES. État de l art. Authentification unique (SSO) d entreprise Mobilité, sécurité et simplicité
État de l art Authentification unique (SSO) d entreprise Mobilité, sécurité et simplicité Ce livre blanc décrit les principales fonctions apportées par le SSO d entreprise. Il présente également Enterprise
La reconquête de vos marges de manœuvre
La reconquête de vos marges de manœuvre Libérez vos applications critiques Bull ouvre de nouvelles portes à votre patrimoine applicatif. Bull LiberTP fait passer simplement vos applications transactionnelles
Qu est ce que Visual Guard. Authentification Vérifier l identité d un utilisateur
Qu est ce que Visual Guard Authentification Vérifier l identité d un utilisateur Autorisation Qu est-ce qu un utilisateur peut faire dans l application Audits et rapports Fonctionnalités d Audit et de
MINISTÈRE DES SOLIDARITÉ ET DE LA COHÉSION SOCIALE
MINISTÈRE DU TRAVAIL, DE l EMPLOI ET DE LA SANTÉ MINISTÈRE DES SOLIDARITÉ ET DE LA COHÉSION SOCIALE MINISTÈRE DU BUDGET, DES COMPTES PUBLICS ET DE LA RÉFORME DE L ÉTAT Standard d'interopérabilité entre
2 FACTOR + 2. Authentication WAY
2 FACTOR + 2 WAY Authentication DualShield de Deepnet est une plateforme d authentification unifiée qui permet l authentification forte multi-facteurs au travers de diverses applications, utilisateurs
Fiche Produit FrontDesk Attendant Console
Fiche Produit FrontDesk Attendant Console applications for Cisco Unified Communications Directory Solutions IPS Global Directory Web Directory IPS Popup Personal Directory ClickNDial Provisioning Corporate
La seule plateforme d authentification dont COVER vous aurez jamais besoin.
La seule plateforme d authentification dont COVER vous aurez jamais besoin. Le pouvoir que donne le savoir est incroyablement puissant. Savoir que vous pouvez accéder à vos données quand, où et comment