Gestion de l identitl identité numérique et des accès, pour bien se faire connaître! Par : André Adam et André Forget Secteur Développement & Technologies Société GRICS
Plan de la présentation Présentation générale de la GIN Contexte des CS Travaux réalisés et en cours Pour conclure
La GIN, c est: c le processus et la technologie employés pour contrôler des identités numériques aussi bien que les politiques qui régissent comment les identités peuvent être employées pour accéder des ressources informatiques. Nous en faisons déjà mais nous pourrions faire beaucoup mieux!
La GIN Un dossier très actuel : Une préoccupation pour un grand nombre d entreprises qui ont à cœur la sécurité des informations qu ils gèrent et dont ils ont la charge
La GIN La gestion de l identité est le processus par lequel : Les référentiels sont alimentés pour les applications Les rôles et permissions applicatives des utilisateurs sont gérés Les utilisateurs gèrent leurs informations personnelles telles que les préférences applicatives et les mots de passe Les applications telles que les portails sont personnalisées en fonction de chaque utilisateur
La GIN Une saine GIN devrait permettre de : Conserver des traces Simplifier les authentifications Accélérer les changements Réduire les brèches de sécurité Mieux contrôler les accès/autorisations Se conformer aux législations
La GIN - Les composantes Applications de Provisioning/ De-provisioning Administration Individuelle Déléguée Inscription et enregistrement d'identité Applications de gestion Applications et Services Intégration d identités SSO Fédération Workflow Gestion des accès Modules de base de la Gestion d Identité Authentification Autorisation Audit Annuaire LDAP Base de données SQL Fichiers Format Texte et Personnalisé Stockage
La GIN Les déclencheursd De plus en plus d utilisateurs et d applications Émergence des services en ligne Clientèle diversifiée (expérimentée et non expérimentée, sans risque et dangereuse) Multiplication des référentiels (fiabilité) Cette croissance crée un essoufflement! Ouf!
La GIN Les déclencheursd Synchronisation difficile entre la gestion des dossiers et des droits : Nouvel employé Départ, changement de poste, Plusieurs login/mots de passe Brèches de sécurité
La GIN - concrètement Situation «actuelle»* * Selon Novell, MS Données identité Authentification Autorisations Données identité Applications Annuaire d entreprise (parfois plusieurs) Active Directory Novell NDS/eDirectory Authentification Autorisations Données identité Authentification Autorisations Données identité Portail Réseau
La GIN - concrètement Situation «idéale»* * Selon Novell, MS Applications Authentification Autorisations Données identité Annuaire d entreprise (parfois plusieurs) Active Directory Novell NDS/eDirectory Portail Réseau
Contexte des CS Similaire à celui des grandes entreprises
Contexte des CS L implantation du portail a accentué les problématiques Un référentiel de plus Élèves, employés, parents, invités Arrimage avec les applications de gestion et l infrastructure de courrier et de réseau Courrier électronique et accès pour tous Gestion de fichiers
Contexte des CS Implantation généralisée des annuaires (sondage récent), mais des configurations très différentes dans les CS Types d annuaires : AD, edirectory, OpenLDAP Nombre d annuaires : Personnel enseignant, non enseignant, élèves, FP, Structure des annuaires et conventions de nomenclature Plusieurs CS construisent des parcelles de solutions
Travaux réalisr alisés s et en cours Comité de travail Analyse d une approche globale Expérimentation de CAS Un exemple de serveur d intégration: MIIS
Comité de travail Projet plan de développement 2006-2007 Comité de travail CS de Montréal CS Marguerite-Bourgeoys CS des Navigateurs CS de la Seigneurie-des-Mille-Îles CS des Draveurs GRICS Contexte : analyse, recherche et expérimentation
Comité de travail Alimentation («provisionning») des annuaires Authentification (LDAP, SSO, CAS) À plus long terme, dossier unique Procédure de création du dossier employé Changement de mot de passe à l annuaire
Comité de travail Propositions pour raccourcir les délais basées sur des outils existants (Générateur de dossier et d emploi) Travaux en cours dans Édu-groupe sur le changement de mot de passe Expérimentation de CAS (Central Authentification Services) Tests d un serveur d intégration : MIIS
Comité de travail Et en parallèle : Une réflexion sur une approche globale
Situation actuelle - CS Authentification Autorisations Données identité Authentification Autorisations Données identité GPI PAIE-GRH Authentification Autorisations Données identité Edu-Groupe Authentification Autorisations Données identité Autres Authentification Autorisations Données identité Réseau et infrastructure Annuaires réseau MS AD, Novell NDS/eDir, OpenLDAP
Situation «idéale»* CS * Selon Novell, MS GPI Authentification Autorisations Données identité Annuaires réseau MS AD, Novell NDS/eDir, OpenLDAP PAIE-GRH Edu-Groupe Autres Réseau et infrastructure
Situation «idéale»? Résistance (légitime) des RI sur des changements de schéma Responsables des applications habitués à un contrôle total du référentiel (BD Identités) Différences entre les annuaires d entreprise Mises à niveau fréquentes à craindre Dépendance au fournisseur d annuaire Ne fournit qu une partie de la solution : que fait-on des applications non-grics?
Situation envisagée MESSAGERIE Authentification Autorisations Données identité Authentification Autorisations Données identité AUTRES Intégration des identités Authentification LDAP Annuaire principal Un seul mot de passe Alimentation automatique (via module GIN GRICS) Utilité axée sur le réseau Données identité GUID GUID Autorisations GPI PAIE-GRH Autorisations Edu-Groupe Autorisations Téléphonie Config poste de travail Demandes matérielles Module commun GIN GRICS DOSSIER UNIQUE Autorise plusieurs profils pour une seule et même identité Source d autorité pour les identités numériques
C.A.S. Central Authentification Services Serveur d authentification SSO Web Sécuritaire Logiciel libre
C.A.S. Central Authentification Services Implantation en juin en collaboration avec la CSSMI (Bureau virtuel et activités d apprentissage) Produit intéressant mais difficile à généraliser actuellement à cause de la multiplicité des référentiels
Service d intd intégration MIIS Est un exemple, d autres produits sont également disponibles Coordonne les infos d identités provenant de plusieurs sources Utilise des connecteurs (vaste gamme livrée)
Service d intd intégration MIIS Les gains en simplicité, cohérence des données, administration et sécurité sont les objectifs principaux Pas d équivalence dans le libre (Open Metadirectory, Ganymede, )
MIIS : sommaire fonctionnel Exchange Web Service Active Directory Partage fichiers MA (agents de gestion) assurent communication avec un référentiel central (SQL), le metaverse. Metaverse assure la traduction (mapping) des attributs entre les banques LDAP SQL Infos peuvent être manipulées (extensions personnalisées) durant leur migration
MIIS en action (source: Site Microsoft SécuritS curité France, J.Y. Grasset) Prénom Nom EmployeID Titre Téléphone PAIE-GRH App 1 App 2 Nom Clark Prénom Kent Corps_emploi mail ID 007 Téléphone givenname sn title mail employeeid telephone givenname sn title mail employeeid telephone Clark Kennttt Reporter 007 Klarke Kent Superhero Clark@contoso.com 007 Méta-annuaire Nom Clark Prénom Kent Titre Reporter mail Clark@contoso.com ID_Emp 007 Téléphone 867-5309 Convergence données d identité Courriel Messagerie givenname sn title mailbox employeeid telephone Klarek Cenntt 007 867-5309
MIIS en action (source: Site Microsoft SécuritS curité France, J.Y. Grasset) Prénom Nom EmployeID Titre Téléphone PAIE-GRH App 1 App 2 Nom Clark Prénom Kent Corps_emploiSuperhero mail 007 ID 007 Téléphone 867-5309 givenname sn title mail employeeid telephone givenname sn title mail employeeid telephone Clark Kent Reporter Superhero Clark@contoso.com 007 867-5309 Clark Kent Clark@contoso.com 007 867-5309 Méta-annuaire Nom Clark Prénom Kent Titre Reporter Superhero mail Clark@contoso.com ID_Emp 007 Téléphone 867-5309 Intégrité données d identité Courriel Messagerie givenname sn title mailbox employeeid telephone Clark Kent Clark@contoso.com 007 867-5309
MIIS en résumr sumé Polyvalent Favorise les initiatives Web Réduit les coûts d opération Intègre les processus d entreprise (alimentation automatique) Démo au kiosque des services techniques
Pour conclure La Gestion des Identités Numériques, un dossier d envergure et stratégique qui a des impacts : sur les processus administratifs et les politiques sur l ensemble des applications de gestion et d infrastructures
Pour conclure Un contexte de recherche et d expérimentation Une volonté d y aller par étapes En tenant compte: des produits disponibles sur le marché des environnements technologiques des CS des processus administratifs en place Un travail à poursuivre en collaboration avec les membres du comité de travail
Des questions??????
Pour plus d informationsd Internet : www.grics.qc.ca Téléphone : (514) 251-3730 Télécopieur : (514) 251-3920 Courriel : sac@grics.qc.ca