Gestion des utilisateurs et Entreprise Etendue

Gestion des utilisateurs et Entreprise Etendue Laurent Ruyssen 6 rue Beaubourg - 75004 PARIS T 1 44 59 93 00 F 1 44 59 93 09 yphise@yphise.com - http://yphise.fr GUEE0009-1

Agenda Entreprise Etendue Mission et bons principes de la gestion des utilisateurs Objectifs et moyens Architecture technique Public Key Infrastructure Annuaires Gestion unifiée des utilisateurs Signature Unifiée GUEE0009-2

Entreprise Etendue Ouverture du système d'information Enjeux Accès possible depuis les fournisseurs, les partenaires Extension du système d'information à plus d'agences, plus de succursales, plus de chantiers, accès nomade Augmentation du nombre d'utilisateurs, utilisateurs parfois peu connus Permettre et autoriser ces nouveaux types d'accès Conserver un niveau de sécurité satisfaisant Problèmes Lourdeur de l'administration des utilisateurs Failles de sécurité (problèmes techniques et faible connaissance de la population ciblée) GUEE0009-3

Mission et bons principes de la gestion des utilisateurs La mission de l'administration des utilisateurs Accompagner l'utilisateur dans ses changements de rôles pour lui conserver l'accès aux ressources Simplifier l'accès aux ressources Contribuer à la sécurité (associer une responsabilité à un compte utilisateur) Bons principes de la gestion des utilisateurs Equilibre entre efficacité métier et sécurité Partage des responsabilités d'administration Propager l'administration GUEE0009-4

Objectifs et moyens de la gestion des utilisateurs GUEE0009-5

Objectif 1 - Signature unifiée Utilisation du même mot de passe partout Utilisation d'une signature unifiée SSO Certificats numériques (propagation sécurisée) GUEE0009-6

Objectif 2 - Administration unifiée On recherche à unifier gestion de l'individu, gestion des privilèges, gestion technique sur les ressources Externalisation de la gestion des utilisateurs Annuaire Organisation Synchronisation des bases d'utilisateurs Annuaire Outils d'administration unifiée Certificats numériques GUEE0009-7

Objectif 3 - Audit de sécurité Génération de logs métier Applicatif Analyse des logs Outils d'analyse des logs Outils de détection d'intrusions GUEE0009-8

Architecture Technique De l'administration... Outils de gestion unifiée des utilisateurs Annuaires Signature unifiée (SSO) Public Key Infrastructure (PKI) - certificats numériques... à la sécurité Détection d'intrusion Audit de logs GUEE0009-9

Evolution du marché de l'administration des utilisateurs Besoin de signature unifiée => réaction du marché Opportunités technologiques (LDAP + Annuaires) => alignement du marché Besoin de rationaliser l'administration des utilisateurs => maturation du marché GUEE0009-10

Architecture Technique - Positionner les moyens Gestion des utilisateurs en interne en entr. étendue Infrastructure PKI Annuaires Gestion unifiée des utilisa. Outils de SSO X X X X XX XX X GUEE0009-11

Architecture Technique - Public Key Infrastructure Principe de base : algorithme de chiffrement à base de une clé publique une clé privée Utilisation pour la signature numérique pour protéger un message ou un flux la signature prouve que l'émetteur est bien celui indiqué et que le message n'a pas été modifié GUEE0009-12

Le certificat numérique établit la confiance Conteneur standard de clé publique Format standardisé X509 Contient Identification du propriétaire La clé publique (certificats d'identité) Informations supplémentaires Une date d'expiration Créé par une autorité certifiante à la demande du propriétaire GUEE0009-13

Public Key Infrastructure Interne à l'entreprise ou repose sur un tiers Utilisée par l'autorité certifiante Doit permettre de gérer le cycle de vie du certificat GUEE0009-14

Application typique Sécuriser les échanges hors SI Communication entre un serveur web et un browser e-mail EDI VPN Authentification auprès d'une application d'entreprise GUEE0009-15

PKI et Entreprise étendue Le certificat a son cycle de vie propre il est adapté aux contextes où on connaît peu l'utilisateur final Le certificat permet d'associer une session à une responsabilité Le certificat permet de se passer d'une gestion de l'utilisateur sur chaque ressource utilisation de profils tout en conservant la connaissance précise de l'identité de l'utilisateur GUEE0009-16

Architecture Technique - Les annuaires Suit généralement les spécifications X500 venant du marché des annuaires de messagerie (répartis, distribués) Référentiel d'entreprise pour la gestion des ressources et utilisateurs Bases de données "Réseau" adaptées à des données de petite taille, rarement mises à jour, souvent consultées, nombreuses, et administrées sous plusieurs responsabilités. "Annuaire X500", "Annuaire LDAP" GUEE0009-17

Positionnement théorique des annuaires Idéalement, l'annuaire est capable de se synchroniser (en tant que maître ou esclave) avec les ressources via des modèles propriétaires ou LDAP GUEE0009-18

Réalité des annuaires pour l'administration des utilisateurs Structure ouverte, distribuée, répliquée Accès standardisé LDAP Convient bien pour les informations logiques peu volumineuses (ex tél, email, certificat électronique) Manque parfois d'adaptateurs LDAP du côté des ressources... D'où les offres GUA, MetaConnect = ensemble de "metaconnecteurs LDAP" GUEE0009-19

Prérequis aux échanges ressources-annuaire L'annuaire supporte LDAP (recherche, création, modification, suppression) ou implémente un protocole propriétaire. La ressource doit supporter LDAP ou disposer d'un module client propriétaire. La ressource doit disposer d'un module spécifique d'administration système. GUEE0009-20

Valeur Ajoutée de l'annuaire Infrastructure de base d'information distribuée éprouvée Jouer le rôle de méta-annuaire Diminution des coûts d'administration des utilisateurs (centralisation) Amélioration de la sécurité (ex suppression) GUEE0009-21

Positionnement du marché Un méta annuaire doit fournir des méta-connecteurs Le support de LDAP est indispensable DirX, GD/ME, GDS, NDS sont issus du monde X500 Netscape Directory Server a été construit à partir de LDAP Active Directory profite du marché NT GUEE0009-22

Annuaire et Entreprise étendue Le méta-annuaire permet de synchroniser les données de gestion des utilisateurs entre systèmes d'informations L'annuaire est adapté à une administration décentralisée à responsabilités partagées L'annuaire permet de stocker les certificats et les clés publiques GUEE0009-23

Architecture Technique - Outils de gestion unifiée des utilisateurs Créer automatiquement tous les comptes d'un nouvel utilisateur Supprimer automatiquement tous les comptes d'un utilisateur quittant l'entreprise Donner des droits d'accès conformes au métier de l'utilisateur Avoir une vision à jour des droits des utilisateurs Faciliter la normalisation pour mettre en place un SSO GUEE0009-24

Réduire la charge d'administration des utilisateurs Définir des profils métiers à partir d'une analyse des métiers de l'entreprise En fonction de son métier, à quels systèmes doit accéder un utilisateur? Centraliser la gestion des utilisateurs GUEE0009-25

Faciliter la mise en oeuvre d'une administration centralisée et sa gestion dans le temps S'interfacer avec les systèmes de sécurité Ouverture technique de l'outil d'administration sur les systèmes de sécurité à contrôler Contrôler les accès aux applications du marché et aux applications maison Créer un référentiel central des utilisateurs Reprise de l'existant S'intégrer dans l'environnement de production Quelles plate-formes? Automatiser la définition des profils métiers Découvrir les profils nécessaires à partir des référentiels existants GUEE0009-26

Garantir la sécurité du système d'information Auditer la sécurité Ex Quels comptes créés ou supprimés? Définir et mettre en oeuvre une politique de sécurité Ex Fréquence des changements de mot de passe Sécurité de l'outil d'administration Ex Chiffrer les échanges d'information sur les utilisateurs Ex Ne pas multiplier les occurrences de mots de passe Efficacité de la sécurité pour les utilisateurs finaux Ex Synchroniser les mots de passe GUEE0009-27

S'adapter à l'organisation d'administration du système d'information Centraliser l'administration Distribuer les responsabilités d'administration Créer les utilisateurs, créer les comptes systèmes, attribuer les droits applicatifs Contrôler le cycle d'attribution des droits Ex Qui valide le fait que M. Dupond peut accéder à l'application de paye? GUEE0009-28

Quelle offre? Outils dédiés spécifiquement à l'administration centralisée des utilisateurs CONTROL-SA, Security Administration Manager (SAM) Suites d'outils de sécurité comportant un outil d'administration centralisée des utilisateurs AccessMaster, etrust Admin, Openview ITA, Tivoli User Administration Peuvent utiliser des annuaires, mais ne sont pas des annuaires Peuvent s'interfacer avec des outils de signature unique, mais ne sont pas des outils de signature unique GUEE0009-29

Gestion unifiée des utilisateurs et Entreprise étendue Pas de spécificités relatives à l'entreprise étendue Prérequis pour une bonne maîtrise de l'administration des utilisateurs qu'ils soient internes ou externes GUEE0009-30

Architecture Technique - Signature unifiée Architecture Technique Un serveur d'authentification Un référentiel Des agents d'authentification Architecture Fonctionnelle Une administration des identifiants et mots de passe Une propagation de l'authentification dans un environnement hétérogène Un suivi et une connaissance de l'usage des comptes GUEE0009-31

Valeur ajoutée d'un système de signature unifiée Une productivité accrue de l'utilisateur par automatisation et simplification des mécanismes d'accès Une charge décroissante pour le SVP qui a moins d'appels à gérer sur les problèmes de connexion Une qualité renforcée de l'administration de la sécurité car les administrateurs ont une meilleure vision du système GUEE0009-32

L'offre SSO AccessMaster (Bull) etrust SSO (CA) Global Sign On (IBM) Passgo SSO (Axent) GUEE0009-33

SSO et Entreprise étendue Pas de valeur ajoutée dans le contexte de l'entreprise étendue Intérêt limité dans un contexte où une PKI est en place GUEE0009-34

Solution combinée Architecture Technique Cible Priorité à la rationalisation de l'administration Annuaire PKI Méta-annuaire Externalisation des droits Outil de gestion unifiée des utilisateurs GUEE0009-35

Prochain sujet Méthodologie de mise en place d'engagements de services De nombreuses directions informatiques se sont lancées dans la mise en place d'engagements de service et sont aujourd'hui stoppées par une complexité (de mesure et de gestion des indicateurs et des contrats) qui empêche de progresser. Comment lotir ce chantier pour assurer une évolution structurée et progressive. Mesurer la qualité perçue pour accroître la satisfaction client Mesurer la qualité perçue consiste à évaluer la capacité de l'informatique à remplir ses engagements conformément aux attentes du client. Cette mesure permet d'apprécier son degré de satisfaction et d'identifier des actions correctives. Comment s'y prendre. Mesurer la qualité de service et choisir les indicateurs L'utilisation d'indicateurs permet de donner aux opérationnels une compréhension précise des objectifs de qualité de service à atteindre. Au delà de la matérialisation d'un niveau de qualité, l'indicateur est le fondement d'un management dynamique de progression de la qualité. Comment choisir ces indicateurs? Comment organiser la mesure GUEE0009-36