La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Université de Rennes 1 – Direction du Système d’InformationVers une gestion d’identités moderne Décembre 2013 Vers une gestion d’identités moderne Pascal.

Publié parTilde Villain Modifié depuis plus de 9 années

Présentations similaires

Présentation au sujet: "Université de Rennes 1 – Direction du Système d’InformationVers une gestion d’identités moderne Décembre 2013 Vers une gestion d’identités moderne Pascal."— Transcription de la présentation:

1 Université de Rennes 1 – Direction du Système d’InformationVers une gestion d’identités moderne Décembre 2013 Vers une gestion d’identités moderne Pascal AUBRY Henri JACOB Saâd AÏT OMAR Serge AUMONT

2 Université de Rennes 1 – Direction du Système d’InformationVers une gestion d’identités moderne Décembre 2013 Avertissement

3 Université de Rennes 1 – Direction du Système d’InformationVers une gestion d’identités moderne Décembre 2013 Plan auto flagellation réflexion [action]

4 Université de Rennes 1 – Direction du Système d’InformationVers une gestion d’identités moderne Décembre 2013 La création de tout ou partie des comptes de vos utilisateurs est-elle effectuée par votre service informatique ? –Est-ce bien le rôle de la DSI ? –La DSI est-elle à même de juger de la pertinence des privilèges des utilisateurs ? Êtes-vous concerné(e) ?

5 Université de Rennes 1 – Direction du Système d’InformationVers une gestion d’identités moderne Décembre 2013 Lorsqu’un utilisateur a besoin d’accéder à une application, lui est-il également automatiquement attribué un répertoire d’accueil et une adresse électronique ? Êtes-vous concerné(e) ?

6 Université de Rennes 1 – Direction du Système d’InformationVers une gestion d’identités moderne Décembre 2013 L’accès aux applications sensibles est-il protégé par une authentification de type SSO ? Êtes-vous concerné(e) ?

7 Université de Rennes 1 – Direction du Système d’InformationVers une gestion d’identités moderne Décembre 2013 Lorsqu’un utilisateur change de statut ou quitte l’établissement, une intervention manuelle est-elle nécessaire pour supprimer tous les droits associés à son identifiant ? –Le deprovisioning, ça vous parle ? Êtes-vous concerné(e) ?

8 Université de Rennes 1 – Direction du Système d’InformationVers une gestion d’identités moderne Décembre 2013 Le même mot de passe est-il utilisé pour se connecter au réseau, pour la messagerie et pour l’accès à l’ENT ? –Êtes-vous sûr de tous les périphériques stockant ce mot de passe (BYOD) ? Êtes-vous concerné(e) ?

9 Université de Rennes 1 – Direction du Système d’InformationVers une gestion d’identités moderne Décembre 2013 Si vous avez répondu OUI au moins une fois vous êtes concerné(e) Sinon merci de quitter cette salle :-)

10 Université de Rennes 1 – Direction du Système d’InformationVers une gestion d’identités moderne Décembre 2013 Système actuel… et cible

11 Université de Rennes 1 – Direction du Système d’InformationVers une gestion d’identités moderne Décembre 2013 Fonctionnel –Besoins non remplis –Coût de gestion exorbitant Sécurité –Conflit avec la PSSI Technique –Coût d’évolution très élevés Un système actuel dépassé

12 Université de Rennes 1 – Direction du Système d’InformationVers une gestion d’identités moderne Décembre 2013 Étudiants Personnels Anciens étudiants (diplômés) Retraités Utilisateurs des bibliothèques Intervenants extérieurs Ajout des extérieurs dans les bases institutionnelles Utilisation sauvage des outils du cloud De nouvelles populations

13 Université de Rennes 1 – Direction du Système d’InformationVers une gestion d’identités moderne Décembre 2013 Forte poussée des réseaux sociaux –La possession d’un compte ou adresse électronique institutionnelle n’est plus la preuve tangible de l’identité Ouverture des SI vers les prestataires d’identités extérieurs –Gain fonctionnel sans perte de sécurité De nouveaux usages

14 Université de Rennes 1 – Direction du Système d’InformationVers une gestion d’identités moderne Décembre 2013 Gestion des bases institutionnelles : fonctionnels –Scolarités, RH Le reste : traitement à la marge par la DSI  –Comptes étudiants banalisés pour les formations ponctuelles, comptes fonctionnels des composantes, comptes spécifiques à la recherche, … Un coût exorbitant Des relents de l’informatique gourou Une décentralisation nécessaire

15 Université de Rennes 1 – Direction du Système d’InformationVers une gestion d’identités moderne Décembre 2013 Quand un vieillard meurt… –…c’est une bibliothèque qui brûle Quand un ingénieur part en retraite… –…il arrive qu'on ne sache plus pourquoi telle ou telle pratique est opposée aux utilisateurs comme une règle de sécurité Formalisation des processus métier Tradition orale

16 Université de Rennes 1 – Direction du Système d’InformationVers une gestion d’identités moderne Décembre 2013 De multiples services Une authentification pratique mais faible Un deprovisioning déficient Une imputabilité limitée Sécurité approximative

17 Université de Rennes 1 – Direction du Système d’InformationVers une gestion d’identités moderne Décembre 2013 Avant : une palette simple –Essentiellement des ressources : stockage, messagerie électronique, connexion aux postes de travail Mais ça c’était avant –Environnements Numériques de Travail Attribution d’accès aux services directement reliée à l’attribution d’un compte dans le Système d’Information –Manque de souplesse dans l’allocation des privilèges –Conséquences non négligeables sur la sécurité des systèmes Multiples services

18 Université de Rennes 1 – Direction du Système d’InformationVers une gestion d’identités moderne Décembre 2013 Utilisation du Single Sign-On –Confortable (compte/mot de passe unique) –Mise en œuvre universelle de certaines mesures de sécurité Bloquer un compte, forcer le changement d'un mot de passe –Moins de post-it « pense-bête » sur les écrans Bilan néanmoins mitigé –Compromissions plus dommageables Authentification auprès des services sensibles Authentification pratique mais faible

19 Université de Rennes 1 – Direction du Système d’InformationVers une gestion d’identités moderne Décembre 2013 Allocation des privilèges fidèle aux besoins –par nécessité… Suppression des privilèges délaissée –Départ, changement de statut –Conséquences graves sur la sécurité Deprovisioning déficient

20 Université de Rennes 1 – Direction du Système d’InformationVers une gestion d’identités moderne Décembre 2013 Une obligation légale –Conseils de discipline (interne) –Réquisition judiciaire (externe) Utilisation à outrance des comptes banalisés –Manque de traçabilité Imputabilité limitée

21 Université de Rennes 1 – Direction du Système d’InformationVers une gestion d’identités moderne Décembre 2013 Évolutions et maintenance très difficiles et coûteuses –Nombreuses technologies Forte adhérence entre les briques logicielles –Faible isolation entre les règles métier et le processus de transformation des données Système peu maîtrisé

22 Université de Rennes 1 – Direction du Système d’InformationVers une gestion d’identités moderne Décembre 2013 Séparation insuffisante authentification/autorisation –Allocation des comptes par la DSI –Délégation de l’allocation des privilèges (Grouper) –Raison techniques et humaines Lacunes fonctionnelles –Manque de délégation ! –Charge importante pour la DSI Manque de réactivité –Durée de propagation des modifications dans les bases institutionnelles Architecture obsolète

23 Université de Rennes 1 – Direction du Système d’InformationVers une gestion d’identités moderne Décembre 2013 Prise en charge des « identités externes » Délégation « au plus près » Authentification forte Maîtrise des processus métier Maîtrise technologique Évolutivité et ouverture Objectifs

24 Université de Rennes 1 – Direction du Système d’InformationVers une gestion d’identités moderne Décembre 2013 Comptes créés par les utilisateurs eux- mêmes –Numéro de téléphone, une adresse électronique, un identifiant Facebook, Twitter, LinkedIn, OpenID Par défaut sans privilège Prise en charge des identités externes

25 Université de Rennes 1 – Direction du Système d’InformationVers une gestion d’identités moderne Décembre 2013 Vérification de l’identité –Existence de l’identifiant –Technique Vérification de la personne –Association de l’identifiant à une personne physique –Organisationnel Vérification des identités externes

26 Université de Rennes 1 – Direction du Système d’InformationVers une gestion d’identités moderne Décembre 2013 Amélioration des processus métiers –Au niveau de l’enregistrement des utilisateurs Délégation des tâches administratives –Aux acteurs fonctionnels –Au plus près des utilisateurs finaux Diminution de la charge de la DSI –Recentrage sur le cœur de métier Délégation « au plus près »

27 Université de Rennes 1 – Direction du Système d’InformationVers une gestion d’identités moderne Décembre 2013 Accès aux services sensibles –Conséquences financières et juridiques SSO CAS : point faible –Évolution vers une authentification unique à plusieurs niveaux d'assurance Certificat, OTP, double facteur –Mise en conformité avec les exigences réglementaires en vigueur Authentification forte

28 Université de Rennes 1 – Direction du Système d’InformationVers une gestion d’identités moderne Décembre 2013 En particulier le deprovisioning –Lier l’utilisation des ressources au statut des utilisateurs –Condition sine qua non de la sécurité du système Utilisation systématique (dès que possible) de Grouper –Pour la gestion des autorisations –deprovisioning automatique Sensibilisation et formation des acteurs fonctionnels Contrôle continu de la qualité des données Maîtrise des processus métier

29 Université de Rennes 1 – Direction du Système d’InformationVers une gestion d’identités moderne Décembre 2013 Pas de sécurité sans maîtrise technologique Simplicité de maintenance Évolutivité et pérennité –Utilisation uniforme de standards et de technologies ouvertes Maîtrise technologique

30 Université de Rennes 1 – Direction du Système d’InformationVers une gestion d’identités moderne Décembre 2013 Contexte politique –Contexte de fusion Rennes 1 / Rennes 2 –Hébergement d’autres établissements Critère fondamental de choix des outils et technologies –Accueillir des identités d’un autre établissement –S’intégrer dans un autre système déjà existant Évolutivité et ouverture

31 Université de Rennes 1 – Direction du Système d’InformationVers une gestion d’identités moderne Décembre 2013 Procédure –L’organisateur du congrès demande à la DSI l’autorisation d’allouer des comptes pour l’accès wifi –La DSI délègue la création des comptes Après vérification de la qualité d’organisateur du demandeur –L’organisateur Crée des comptes correspondant aux adresses électroniques des participants Leur alloue l’accès au réseau wifi pour la durée du congrès Vérification –Les adresses électroniques (base de données de l’organisation) sont vérifiées par un secret envoyé aux participants –L’identité des participants est considérée comme vérifiée par le paiement préalable des droits d’inscription au congrès Exemple : allocation d’un accès wifi externe à un participant d’un congrès

32 Université de Rennes 1 – Direction du Système d’InformationVers une gestion d’identités moderne Décembre 2013 Pistes explorées pour la mise en œuvre –Utilisation (et assemblage) de briques existantes ETL Talend pour les opérations de provisionning ActiveMQ pour le séquencement Grouper pour les autorisations Développement interne (Java) pour l’interface utilisateur –Utilisation d’un framework spécialisé Pour l’orchestration globale de toutes les opérations de gestion des identités Grouper pour la gestion des autorisations. Adoption de OpenIDM –Framework spécialisé Choix techniques

33 Université de Rennes 1 – Direction du Système d’InformationVers une gestion d’identités moderne Décembre 2013 La grande inconnue Contraintes externes fortes –Migration ToIP –Migration messagerie –Fusion Rennes 1 / Rennes 2 Continuité du service Date de recette prévue : fin 2014 Processus de migration

Télécharger ppt "Université de Rennes 1 – Direction du Système d’InformationVers une gestion d’identités moderne Décembre 2013 Vers une gestion d’identités moderne Pascal."

Présentations similaires

Projet de Virtualisation dans le cadre d’un PCA/PRA

Projet de Virtualisation dans le cadre d’un PCA/PRA
Laccès distant aux bases bibliographiques J. Gutierrez / B.Nominé – Université Nancy 2.

Laccès distant aux bases bibliographiques J. Gutierrez / B.Nominé – Université Nancy 2.
ESPACE NUMERIQUE DE TRAVAIL ESUP-Portail Campus Numériques et Universités Numériques en Région Montpellier – 1/10/2003.

ESPACE NUMERIQUE DE TRAVAIL ESUP-Portail Campus Numériques et Universités Numériques en Région Montpellier – 1/10/2003.
Sécurité du Réseau Informatique du Département de l’Équipement

Sécurité du Réseau Informatique du Département de l’Équipement
Introduction aux réseaux informatiques

Introduction aux réseaux informatiques
Vers l'info-mobilité... Le projet mTourisme 2èmes Assises du Tourisme du PSPPRésOT-Alsace – le 18 novembre 2008 à Saverne 2èmes Assises du Tourisme du.

Vers l'info-mobilité... Le projet mTourisme 2èmes Assises du Tourisme du PSPPRésOT-Alsace – le 18 novembre 2008 à Saverne 2èmes Assises du Tourisme du.
Mise en place d’un Système Intégré de Gestion des Finances Publiques

Mise en place d’un Système Intégré de Gestion des Finances Publiques
Thierry Sobanski – HEI Lille

Thierry Sobanski – HEI Lille
Résidences Universitaires Câblage informatique

Résidences Universitaires Câblage informatique
Usages pédagogiques des Espaces Numériques de Travail Mars 2009.

Usages pédagogiques des Espaces Numériques de Travail Mars 2009.
Vue d'ensemble Implémentation de la sécurité IPSec

Vue d'ensemble Implémentation de la sécurité IPSec
LES BONNES PRATIQUES Présentation du 31 Mars 2005

LES BONNES PRATIQUES Présentation du 31 Mars 2005
Système de stockage réseaux NAS - SAN

Système de stockage réseaux NAS - SAN
Gestion des Ressources et de la qualité de service

Gestion des Ressources et de la qualité de service
Public Key Infrastructure

Public Key Infrastructure
et contrôle des retraites

et contrôle des retraites
Une approche pour un espace de confiance des collectivités locales.

Une approche pour un espace de confiance des collectivités locales.
Passer à la première page SYMPA Un nouveau service pour la diffusion et léchange d informations, sécurisé et adapté aux besoins de lacadémie.

Passer à la première page SYMPA Un nouveau service pour la diffusion et léchange d informations, sécurisé et adapté aux besoins de lacadémie.
ManageEngine ADManager Plus 6

ManageEngine ADManager Plus 6
La composante humaine du système d'information (Réfs : chap 8.1 p 231)

La composante humaine du système d'information (Réfs : chap 8.1 p 231)

Présentations similaires

Annonces Google