Evidian IAM Suite 8.0 Identity Management

Transcription

1 Evidian IAM Suite 8.0 Identity Management Un livre blanc Evidian Summary Evidian ID synchronization. Evidian User Provisioning.

2 2013 Evidian Les informations contenues dans ce document reflètent l'opinion d'evidian sur les questions abordées à la date de publication. En raison de l'évolution constante des conditions de marché auxquelles Evidian doit s'adapter, elles ne représentent cependant pas un engagement de la part d'evidian qui ne peut garantir l'exactitude de ces informations, passée la date de publication. Ce document est fourni à des fins d'information uniquement. EVIDIAN NE FAIT AUCUNE GARANTIE IMPLICITE NI EXPLICITE DANS LE PRÉSENT DOCUMENT. Les droits des propriétaires des marques citées dans cette publication sont reconnus.

3 Table des matières Overview... 4 Les 3 branches de la gestion des identités et des accès.4 La solution Evidian IAM Suite Evidian ID synchronization... 6 Création d une source d identités unique fiable avec Evidian ID synchronization...6 Evidian User Provisioning... 9 Inactivation de compte...9 Customized Registration Procedures (Procédures d enregistrement personnalisées)...11 Agents de provisionnement et connecteurs...12 Le connecteur SQL...12 Le connecteur LDAP...13 Password Management - Primary Password Reset Portal...14 Modifier les attributs d un compte à un utilisateur...15 La gestion des comptes utilisateurs via une politique de sécurité...15 La gestion des comptes partagés entre utilisateurs...15 La gestion des droits des administrateurs du provisioning F2 12LU Rev00 3

4 Overview Les 3 branches de la gestion des identités et des accès Le domaine de la gestion des identités et des accès peut se décliner en 3 sous domaines. La gestion des accès qui permet de contrôler la manière dont un utilisateur se connecte à ses applications. Elle traite des sujets tels que l authentification, le filtrage des accès en fonction de l utilisateur, la méthode d authentification utilisée, le type de poste de travail, sa localisation ou encore la délégation des accés ou l audit centralisé des accès. La gestion des identités va principalement se focaliser sur la création des attributs de l identité de l utilisateur : ses attributs métiers qui définissent sa place au sein de l entreprise et qui apparaissent dans l annuaire LDAP de l organisation et ses attributs informatiques tels qu ils sont déclarés dans les systèmes informatiques. La gestion des rôles qui permet de définir une politique des accès et de l appliquer pour la gestion des accès et la gestion des identités. 39 F2 12LU Rev00 4

5 La solution Evidian IAM Suite 8 La solution Evidian IAM Suite 8 s attache à fournir des réponses pour chacun de ces domaines. Elle est architecturée en 3 ensembles qui recouvrent chacun des modules qui peuvent être installée soit de manière autonome soit de manière intégrée. Evidian Role Management Evidian Policy Manager Evidian Approval Workflow Evidian Identity Management Evidian ID Synchronization Evidian User Provisioning Evidian Access Management Evidian WiseGuard Evidian Secure Access Manager Web Edition Evidian Secure Access Manager J2EE Edition Ce livre blanc fourni une description des fonctions de la solution «Evidian Identity Management» et donc des modules Evidian ID synchronization et Evidian user provisioning. 39 F2 12LU Rev00 5

6 Evidian ID synchronization Création d une source d identités unique fiable avec Evidian ID synchronization Evidian ID Synchronization vous permet de créer un référentiel d identités fiable et cohérent en appliquant les principes de la synchronisation. Evidian ID Synchronization fonctionne sur différents types de référentiels et de données. Les technologies les plus courantes sont les annuaires LDAP, les bases de données relationnelles, ou même les fichiers plats (csv, ldif, etc.). Diagramme N 1. Les référentiels à prendre en compte Evidian ID Synchronization sait aussi intégrer la base interne de gestion des identités et des accès aux mécanismes de synchronisation. Sources maîtresses et sources associées Pour créer des ensembles cohérents de données sources, il est possible d attribuer une série de référentiels de sources «associées» à des référentiels de sources «maîtresses» (par des mécanismes communs). Une source «maîtresse» comprend l information à laquelle les données de sources associées peuvent être attribuées. La suppression d un dossier «maître» efface complètement le dossier, tandis que la suppression d un dossier «associé» sera considérée comme une absence de données à traiter, si nécessaire, en suivant les règles de synchronisation. 39 F2 12LU Rev00 6

7 Diagramme N 2 Sources maîtresses et sources associées Mise à jour des référentiels ciblés Vous pouvez également utiliser des règles de synchronisation pour mettre à jour un groupe de référentiels cibles, et créer ainsi des identités cohérentes sur un ensemble distribué de référentiels. Diagramme N 3. Référentiels ciblés Cette distribution des identités vous permet de résoudre simplement des problèmes d architecture d annuaires, d optimisation de flux de réseau, ou même d homogénéisation de données dans des référentiels différents et/ou incompatibles. 39 F2 12LU Rev00 7

8 Typologie des règles Paradoxalement, vous pouvez mettre en oeuvre Evidian ID synchronization en suivant simplement quatre règles élémentaires : «Jointure» : cette règle vous permet de fonder l enregistrement d une source «associée» sur une ou plusieurs sources «maîtresses». «Mappage des attributs» : vous pouvez utiliser cette règle pour mettre en correspondance des attributs de différentes sources. Cette relation est bien ordonnée et mène à une mise à jour d un attribut. Cette mise à jour peut également résulter de l application d une fonction de transformation intermédiaire. Enfin, cette mise en correspondance vous permet de mettre à jour des attributs à valeurs multiples provenant de plusieurs sources. On peut donner comme exemple simple d attribut à valeurs multiples l attribut d adresse électronique : en fait, un employé peut avoir plusieurs adresses électroniques au sein d une organisation : prénom.nom@organisation.com, p.nom@organisation.com, pnom@organisation.com, prénom@organisation.com@pays.organisation.com. Prénom/Nom/Org/Pays, etc. Chaque adresse électronique est disponible dans un annuaire spécifique. Elles peuvent être regroupés dans un référentiel d adresse électronique unique, par un attribut à valeurs multiples. «Création» : si un utilisateur existe dans un référentiel «maître», mais pas dans un référentiel «associé», vous pouvez suivre cette règle pour créer tous les attributs associés à cet utilisateur, dans le référentiel «associé». «Suppression» : cette règle supprime automatiquement les attributs d un utilisateur dans un référentiel «associé» si l utilisateur a été supprimé du référentiel «maître». 39 F2 12LU Rev00 8

9 Evidian User Provisioning Inactivation de compte User Provisioning permet de mettre en œuvre les actions de provisionnement, déprovisionnement et réconciliation entre un état central et les systèmes et applications cibles. User Provisioning propose des connecteurs et des agents, pour attribuer à des utilisateurs ou des groupes d utilisateurs ayant le même rôle une série de comptes ou attributs dans des application, systèmes et bases de données. Les connecteurs de provisionnement fonctionnent sur un serveur central (ou sur un serveur intermédiaire) et accèdent à distance aux systèmes ciblés pour réaliser des opérations de provisionnement. Cela est particulièrement utile quand vous ne voulez pas installer de logiciel sur des serveurs d applications sensibles. Les connecteurs sont disponibles pour : LDAP (tous les annuaires LDAP V3, Microsoft Active Directory, Microsoft ADAM, Novell edirectory, Sun Java System Directory Server, Lotus Domino, Oracle OID, OpenLDAP, Siemens DirX, etc.), Microsoft Exchange, SQL (pour toutes les bases de données SQL offrant un pilote ODBC : Oracle, Microsoft SQL Server, MySQL, Sybase, Informix etc.), SAP R/3 et IBM RACF. Un connecteur générique peut être utilisé pour personnaliser le provisionnement/déprovisionnement d applications non supportées. Des agents de provisionnement fonctionnent sur les serveurs ciblés et sont accessibles à distance par un serveur central. Cela convient particulièrement aux opérations de provisionnement de serveur. Les agents sont disponibles pour : Unix et Linux (AIX, HP-UX, Solaris, Tru64 Unix, Red Hat Linux, etc.), Windows et Novell, serveurs Bull. En outre, des possibilités de synchronisation de mot de passe sont offertes pour les situations où un client SSO ne peut pas être déployé. Certaines contraintes juridiques peuvent nécessiter que la suppression du compte d un utilisateur sur un système cible ne prenne pas effet immédiatement, mais seulement après une période d inactivation de, par exemple, plusieurs mois. Cependant, le compte de l utilisateur doit être inactivé immédiatement. Pendant la période d inactivation, le compte de l utilisateur peut être réactivé sans en modifier les attributs. Le but de l inactivation de compte est de permettre aux administrateurs : D inactiver explicitement le compte de l utilisateur De réactiver le compte de l utilisateur De configurer le système de façon à ce que la suppression d un compte d utlisateur résulte en l inactivation immédiate du compte en question sans suppression. 39 F2 12LU Rev00 9

10 Les fonctions d inactivation du compte sont disponibles à partir la console de Evidian User Provisioning, ou à partir d une procédure d Evidian Approval Workflow. Diagramme N 4. Inactivation du compte Le champ Inactivation Date et la case à cocher Account is inactivated sont ajoutés à la boîte de dialogue du formulaire d enregistrement Registration Form Object Properties. Inactivation explicite et réactivation facile Deux nouveaux menus contextuels sur un enregistrement individuel permettent à un administrateur, soit d inactiver explicitement le compte d un utilisateur, soit de le réactiver. Exécution de l inactivation avant la suppression Cette fonction permet aux administrateurs de préciser dans la configuration qu une période d inactivation est obligatoire avant la suppression d un compte («Account»). Cette fonction est fondée sur les paramètres de configuration du serveur d administration EnforceInactivation (Exécution de l inactivation) et InactivationPeriod (période d inactivation). Ces paramètres sont généraux. Ils sont communs à toutes les personnes et tous les comptes (quelqu en soit le type de système). Les demandes administratives groupées et les demandes administratives individuelles de suppression d un compte d utilisateur doivent prendre en compte ces paramètres de configuration. 39 F2 12LU Rev00 10

11 Customized Registration Procedures (Procédures d enregistrement personnalisées) Architecture et mécanisme Les Customized Registration Procedures (CRP) améliorent le provisionnement des comptes des utilisateurs. Elles sont applicables pour tout système, application, annuaire LDAP et bases de données SQL gérés avec Evidian User Provisioning. Utilisant des codes personnalisés, les CRP fournissent des valeurs par défaut aux attributs de formulaires d enregistrement («Registration Form») pendant les processus d enregistrement automatiques et manuels. Diagramme N 5. Architecture CRP Processus d enregistrement Evidian Policy Manager Evidian Approval Workflow Reconciliation Serveur Provisioning CRP Java SQL SNMP LDAP SIB Agent Le mécanisme CRP consiste à écrire en langage Java la procédure pour calculer les valeurs par défaut des attributs de formulaires d enregistrement. Ces CRP peuvent appeler les API Evidian IAM Suite 8 pour effectuer des opérations administratives sur des objets internes ou toutes autres API de Java. Une Customized Registration Procedure peut être associée à tout service du système concerné par cette procédure. Ensuite, pendant le processus d enregistrement, le serveur d administration («Administration Server») appelle la procédure pour calculer les valeurs par défaut des attributs de formulaires d enregistrement. Il peut également effectuer d autres opérations comme autoriser un enregistrement ou stocker des informations dans un fichier. Le processus d enregistrement est ensuite mené à son terme avec le mécanisme habituel : les objets de type Compte et Formulaire d enregistrement sont créés. 39 F2 12LU Rev00 11

12 Agents de provisionnement et connecteurs Les agents de provisionnement standard et les connecteurs assurent le provisionnement, le déprovisionnement et la réconciliation avec les applications cibles. Ceci garantit un respect uniforme des politiques de sécurité de l entreprise, cependant que les responsables de la sécurité sont dispensés de tâches de configuration répétitives, longues et génératrices d erreurs. Un connecteur générique offre la possibilité d'administrer des applications spécifiques non supportées par les agents du catalogue standard. Evidian élargit en permanence sa famille d'agents et de connecteurs afin d'accélérer les déploiements chez ses clients. Tous les échanges administratifs entre User Provisioning et les agents sont canalisés en tunnel avec un chiffrement sur 128 bits. Le connecteur SQL Qu est-ce qu ODBC? Grâce à un connecteur SQL, User Provisioning permet de gérer des comptes d utilisateurs et des attributs d utilisateurs dans toute base de données SQL fournissant un pilote ODBC. ODBC est une spécification ouverte permettant aux créateurs d applications d accéder aux sources de données SQL par des API. Lesdites sources de données sont généralement des bases de données SQL et toute source de données ayant un pilote ODBC. OCBC est courant dans l industrie. La plupart des bases de données relationnelles offrent un pilote ODBC. Utilisation du connecteur SQL pour le provisionnement SQL Le connecteur SQL d Evidian offre une passerelle pouvant lire et mettre à jour des bases de données SQL par leur pilote ODBC. Le connecteur SQL peut parcourir la base de données SQL et exporter le schéma de cette base de données. Ce schéma permet à AccessMaster de définir des mappages d attributs afin de réaliser des opérations de provisionnement. 39 F2 12LU Rev00 12

13 Le connecteur LDAP Grâce à un connecteur LDAP, User Provisioning offre un moyen de provisionner les annuaires LDAP. Il est fondé sur l architecture globale de User Provisioning (voir Diagramme N 6. Connecteur LDAP dans l architecture du User Provisioning). User Provisioning est en mesure de provisionner automatiquement les comptes utilisateurs secondaires (ID et mot de passe) et les attributs personnels ( @, bande passante, etc.). Ainsi les applications à capacité LDAP peuvent utiliser ces informations pour authentifier les utilisateurs internes ou via Internet ainsi que tous les attributs utilisateurs provisionnés. D autre part, si des changements administratifs locaux sont opérés dans les comptes LDAP cibles, ces changements sont soumis au User Provisioning qui vérifie leur conformité par rapport à la politique centralisée. Le protocole LDAP (avec SSL) est utilisé pour échanger des données avec les systèmes cibles. Tout annuaire compatible LDAP V3 peut être provisionné par le connecteur LDAP. La configuration est réalisée au moyen d un ficher XML. Ce fichier décrit l information du service cible, l information du compte et l information de l utilisateur graphique associé. Diagramme N 6. Connecteur LDAP dans l architecture du User Provisioning User Provisioning Systèmes cibles SIB SNMP Evidian Policy Manager Serveur Provisioning LDAP Connecteur Spécifique Annuaires LDAP cibles 39 F2 12LU Rev00 13

14 Password Management - Primary Password Reset Portal Password Synchronization Cette fonction permet à l utilisateur de faire un reset de son mot de passe primaire via une interface Web. Pour pouvoir utiliser cette fonction, l utilisateur doit tout d abord choisir trois questions parmi une liste de questions disponibles et fournir les réponses associées. Par la suite, lorsque l utilisateur oublie son mot de passe, il peut se connecter à une page Web à partir d un poste de travail d un collègue, fournir les réponses aux questions qu il a sélectionnées et, si ses réponses sont correctes, modifier son mot de passe primaire. Il pourra ensuite s authentifier sur son poste de travail avec son nouveau mot de passe. Pour les organisations ou sites où il n est pas possible de déployer de moteur SSO sur les stations, Evidian User Provisioning fournit une page Internet sur laquelle les utilisateurs finaux peuvent synchroniser leur mot de passe primaire avec les mots de passe secondaires de leurs applications autorisées. Diagramme N 7. Password Manager Ainsi, l utilisateur final peut propager le mot de passe primaire en cours aux applications, ainsi que modifier le mot de passe primaire et propager ce nouveau mot de passe. En outre, l utilisateur final peut sélectionner la liste d applications auxquelles le mot de passe doit être propagé. A la fin de l opération, l interface de l utilisateur fournit l état de l opération. 39 F2 12LU Rev00 14

15 Modifier les attributs d un compte à un utilisateur La console de User Provisioning permet d effectuer les opérations simples de modification des attributs d un compte un utilisateur mais ne permet pas d effectuer les opérations de création. La gestion des comptes utilisateurs via une politique de sécurité Evidian Policy Manager permet de définir une politique de sécurité et de la déployer via User Provisioning. (Pour plus d information sur Evidian Policy Manager, vous pouvez consulter le livre blanc «Role Management»). Les interfaces d administration de User Provisioning et de Policy Manager cohabitent de la façon suivante : Evidian User Provisioning est utilisé pour définir la configuration détaillée des cibles, c est à dire la configuration des systèmes, des services, des inscriptions, des modèles d inscription, etc. Evidian Policy Manager est utilisé pour déterminer la politique des comptes utilisateurs sur les système cibles, c'est-à-dire quelles sont les inscriptions des utilisateurs qui doivent exister sur les systèmes cibles, à quels services elles sont rattachées et quel est le modèle d inscription utilisé pour chaque compte. La réconciliation est utilisée pour réconcilier l écart possible entre les inscriptions existantes sur les systèmes cibles et celles déterminées par Evidian Policy Manager. La gestion des comptes partagés entre utilisateurs Un compte partagé (ou compte en commun) est utilisé par le SSO pour que plusieurs utilisateurs partagent le même identifiant/mot de passe pour une application donnée. C est habituellement utilisé pour les comptes génériques (compte Windows pour le Fast User Switching), ou communs à un groupe de travail (accès site partenaire). La gestion des droits des administrateurs du provisioning User Provisioning possèdant son propre modèle d administration, il garde à sa charge la définition des rôles d administration qui lui sont spécifiques et des droits associés. Policy Manager ne gère donc pas les autorisations des administrateurs du provisioning. 39 F2 12LU Rev00 15

16 Pour plus d'informations, consultez le site info@evidian.com