La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Gestion des identités Philippe Beraud Consultant Principal Microsoft France Christophe Dubos Architecte Infrastructure Microsoft France.

Présentations similaires


Présentation au sujet: "Gestion des identités Philippe Beraud Consultant Principal Microsoft France Christophe Dubos Architecte Infrastructure Microsoft France."— Transcription de la présentation:

1 Gestion des identités Philippe Beraud Consultant Principal Microsoft France Christophe Dubos Architecte Infrastructure Microsoft France

2 Sommaire Introduction A quelles problématiques répond la gestion des identités et des accès (IAM) ? Quels bénéfices peut-on attendre dune solution dIAM ? Active Directory & AD/Application Mode - Pourquoi 2 versions et pour quels usages ? Gestion du cycle de vie des données didentité Microsoft Identity Integration Server (MIIS) Fédération des données didentité Active Directory Federation Services (ADFS) Notion de méta-système didentité et InfoCard Questions / Réponses

3 Contexte ClientsUsagers PartenairesFournisseurs Ressources Administrateurs EmployésCollaborateurs Applications Support utilisateurs e-Commerce Portail collaborateurs ERP Ressources humaines Messagerie Annuaire entreprise Télédistribution Ingénerie CRM Self-Service Web Collaboration Gestion de la chaine logistique Portail partenaires

4 Comment optimiser les coûts de gestion des arrivées, départs et autres mouvements ? Comment donner à mes partenaires un accès contrôlé aux ressources de mon entreprise ? Les problèmes de mots de passe représentent 50% des incidents traités par la hotline ! Comment améliorer le niveau de sécurité en réduisant le nombre de mots de passe ? Comment savoir qui a accès à quelles applications ? Laudit sécurité a révélé que des personnes ayant quitté lorganisation depuis 1 an avaient encore des accès Comment avoir une vision consolidée de lensemble des collaborateurs ? Problématiques

5 Quest ce quune identité numérique ? Une définition de la gestion de lidentité numérique Un ensemble de procédures et de stratégies utilisant des composants logiciels permettant de gérer le cycle de vie et les habilitations des crédentiels numériques Adresse IP User/mot de passe Biométrie Cartes à puce Nom, Adresse, Téléphone, Mobile, Fax, Bâtiment, Numéro Sécu, … Photos Passeport

6 Le processus dauthentification des crédentiels et de contrôle daccès aux ressources basé sur la confiance et lidentité Référentiels permettant le stockage et ladministration des comptes, informations didentité et crédentiels (mots de passe, certificats) Technologies et processus utilisés pour créer, supprimer et gérer les modifications relatives aux comptes et profils, ainsi que pour vérifier la conformité aux stratégies et réglementations Services dannuaire Services de gestion des accès Services de gestion du cycle de vie Gestion des identités Composants clé

7 Gestion des identités numériques Quelle stratégie pour Microsoft ? Services dannuaire Unification complète des annuaires…Utopique Annuaire technique dentreprise : Active Directory (AD) Annuaire applicatif dentreprise : Active Directory/Application Mode (AD/AM) Services de gestion du cycle de vie des données didentité Identity Integration Feature Pack (IIFP) Microsoft Identity Integration Server (MIIS) Services de gestion des accès Authentification et autorisation : Kerberos et PKI Protection de linformation (ERM) : Right Management Services (RMS) Contrôle daccès basé sur les rôles (RBAC) : Authorization Manager (AzMan) Fédération des données didentité Active Directory Federation Services (ADFS), méta-système didentité et InfoCard

8 Au sein dun périmètre maîtrisé Synchronisation et « provisioning » des données didentité Périmètre interne Périmètre externe Périmètre étendu

9 Entre des périmètres maîtrisés Fédération des données didentité

10 Données didentité Périmètre dusage Données de 2 types en fonction de leur périmètre Données globales Peu de données mais partagées par de nombreuses applications, schéma commun géré de façon centralisée Données spécifique à une application Schéma spécifique à lapplication Stockage des données applicatives dans un référentiel spécifique Besoin spécifiques Ex. : mode de mise à jour transactionnel, modèle relationnel plus adapté Ne pas « polluer » le schéma de lannuaire dentreprise et réduire limpact dun dysfonctionnement applicatif Gestion des données didentité entre référentiels Microsoft Identity Integration Server (MIIS)

11 Outils Topologie Admin AD et ADAM IntégrationDSA LDAP REPL SecureAuthN MAPI AuthN SSO DNS Policy DSA LDAP REPL SecureAuthZ Sécuritéintégrée Single Sign-On Common Sign-On Topologies de réplication cohérentes Mutualisation de linfrastructure Optimisation de ladministration

12 AD et ADAM Common et Single Sign-OnAD AnnuaireLDAPexistant Applicationexistante Authentification Windows Kerberos Intégrée Authentificationapplicativeexistante Couples Utilisateurs/Mots de passe différents… Couples Utilisateurs/Mots de passe cohérents… Intégration applicative AD/AM Common Sign-On Single Sign-On

13 Windows Server 2003 R2 Windows Longhorn Server 2 ième trimestre 2007 AD et ADAM Evolutions Intégration dAD/AM AD/AM disponible comme composants de R2 Nouvelles fonctionnalités Bind Digest/MD5 Password change Proxy Nouveaux outils Nouveaux outils Schema Analyzer LDP (ACL Editor) Active Directory DC en lecture seule DC en mode cache Security Token Service (AD- STS) AD en temps que service Nouvelle interface dadministration AD/AM Disponibilité simultanée

14 Sommaire Introduction A quelles problématiques répond la gestion des identités et des accès (IAM) ? Quels bénéfices peut-on attendre dune solution dIAM ? Active Directory & AD/Application Mode - Pourquoi 2 versions et pour quels usages ? Gestion du cycle de vie des données didentité Microsoft Identity Integration Server (MIIS) Fédération des données didentité Active Directory Federation Services (ADFS) Notion de méta-système didentité et InfoCard Questions / Réponses

15 Cycle de vie des identités Rôleinitial DépartArrivée Changement de fonction ou déquipe Gestion des droits daccès Gestion des mots de passe

16 Les besoins Créer le schéma détaillé de l'organisation Référencer et définir la « carte didentité » des éléments Définir la cartographie des éléments entre eux Consolider les informations d'identité dans un référentiel global ou fédérer différents référentiels Mettre en place le « provisioning » des informations d'identité entre les référentiels Gérer les règles dautorité sur chaque information d'identité Détecter et propager les modifications entre les référentiels Gérer lintégrité des informations entre les référentiels Gérer les informations d'identité Offrir un point daccès et dadministration unique Disposer d'une vue unifiée des droits et habilitation

17 MIIS 2003 Fonctionnalités Moteur souple et puissant de synchronisation des données didentité en environnement hétérogène Bases de données Annuaires Systèmes dexploitation Messageries Fichiers texte Progiciels Plate-forme de gestion Des circuits de modification des données didentité Des groupes et des listes de distribution Des mots de passe

18 Importation des entrées depuis le référentiel maître Enrichissement à partir des autres sources Consolidation dans un annuaire cible Mise à disposition dune interface de Consultation Gestion des données Applications Pages Jaunes/Blanches Portail Application métier Extranet Client Single Sign-On PABX MIIS 2003 Scénario dutilisation – Meta-annuaire traditionnelAnnuaire

19 Importation des entrées de la base RH Création, suppression et mouvements Des comptes Active Directory Des comptes messagerie Des coordonnées téléphoniques Des certificats X.509 Initialisation des attributs, y compris les mots de passe Ajout aisé dun workflow pour la gestion des approbations et le self-service Circuit dapprobation Notification des changements MIIS 2003 Scénario dutilisation – « Provisioning »PABX

20 NovelleDirectory MIIS 2003 Scénario dutilisation - Gestion des mots de passe Deux modes de fonctionnement sont possibles Via interception lors du changement dans Active Directory et propagation synchrone Via une interface WEB permettant de modifier ou de réinitialiser le mot de passe

21 Gestion des mots de passe Problématiques

22 MIIS 2003 Scénario dutilisation - Gestion des mots de passe

23 MIIS 2003 Composants techniques SQL Server (Aire de stockage) Service MIIS 2003 Manageme nt Agent iPlanet Fichiers, DSML Manageme nt Agent Fichiers AD Manageme nt Agent AD Règlesétendues Visual Studio.NET Notes Manageme nt Agent Notes Oracle Oracle WMI MIIS Admin Client … iPlanet Serveur MIIS

24 Sources de données MIIS 2203 Management Agents (MA)Fichiertexte DSML V 2.0 LDIF Windows NT 4 NT 4 Active ActiveDirectory 2000 & 2003 Novell eDirectory & 8.7.x MSExchange 5.5, 2000 & 2003 IBMNotes 4.6, 5 & 6.x 4.6, 5 & 6.x SunONE Directory Server 4.x & 5.x AD/AM IBM Directory Server 4.1 & 5.x MS SQL Server 7 & 2000 Oracle Server 8i & 9i IBM DB2 UDB DB2 UDB 5 7 & & 8.1 CA ACF/2 & TopSecret Générique SDK: SDK: OleDB & LDAP IBMRACF SAP R3 & RH 4.6d + & Peoplesoft

25 Jean Dupond Name Post Office Location Employee # Microsoft Identity Integration Server Connector SpaceMetaverse 5 Name Post Office Location Employee # Jean Dupond 2 1 Full Name Title Employee # Jean Dupont Circulation des données Projection Jointure et Provisioning Jean Dupont Full Name Title Employee # Base RH Full Name Title Employee # Jean Dupont 3 Name Post Office Location Employee # Messagerie Full Name Title Employee # Jean Dupont Name Post Office Location Employee # Jean Dupond Full Name Title Employee # Name Post Office Location Jean Dupont 4 5 Projection3 Jointure4 Provisioning5

26 MIIS 2003 SP2 2 ième trimestre 2006 MIIS « Gemini » 2 ième trimestre 2007 MIIS 2003 Evolutions Nouveaux agents SAPPeopleSoft CA ACF/2 CA TopSecret Portail de gestion des mots de passe « self-reset » « Helpdesk reset » Gestion de lhistorique des mots de passe Provisioning déclaratif Workflow dapprobation basé sur Windows Workflow Foundation (WF) Attributs calculés Self-service étendu Ex. : Gestion des groupes Audit et « reporting »

27 Sommaire Introduction A quelles problématiques répond la gestion des identités et des accès (IAM) ? Quels bénéfices peut-on attendre dune solution dIAM ? Active Directory & AD/Application Mode - Pourquoi 2 versions et pour quels usages ? Gestion du cycle de vie des données didentité Microsoft Identity Integration Server (MIIS) Fédération des données didentité Active Directory Federation Services (ADFS) Notion de méta-système didentité et InfoCard Questions / Réponses

28 Active Directory Federation Services (ADFS) Composant de Windows Server 2003 R2 Nest pas le nouveau nom de Microsoft Passport, un nouveau référentiel didentités, un nouveau type de relation dapprobation ou de forêt Ne nécessite pas une extension du schéma Active Directory Sappuie sur un certain nombre de composants de loffre Microsoft AD et AD/AM en temps que référentiel(s) utilisateur ASP.Net 2.0 Certificate Services (optionnel) Authorization Manager (optionnel) Objectifs Permettre la mise en place de solutions de Web SSO ainsi quune gestion simplifiée des identités Etendre linfrastructure Active Directory au-delà de la forêt Permettre aux clients, partenaires, fournisseurs, collaborateurs un accès sécurisé et contrôlé aux applications web situées hors de leur forêt Active Directory Projeter lidentité utilisateur sur la base dune première ouverture de session Fournir des mécanismes dauthentification et dautorisation distribués

29 Scénario « Web SSO » Single Sign-On pour les fermes dapplications Web Authentification, autorisations et Web Single Sign-On Extranet Crédentiels gérés dans AD et/ou AD/AM côté Ressources Autorisations via Authorization Manager, les rôles ASP.Net, limpersonation Windows et les ACLs Clients Partenaires commerciaux Collaborateurs

30 Scénario « Identité Fédérée » Single Sign-On au travers des frontières de sécurité (internes ou externes) Collaboration et Commerce B2B/B2C Crédentiels et attributs utilisateurs gérés au niveau de lorganisation partenaire (dans AD ou une autre solution) Autorisations via Authorization Manager, les rôles ASP.Net, limpersonation Windows et les ACLs Partenairescommerciaux

31 Active Directory Federation Services (ADFS) Supporte de multiple jetons de sécurité (SAML 1.1, Kerberos, etc.) Basé sur une implémentation interopérable de la spécification WS- Federation Passive Requestor Profile (WS-F PRP) Large support de lindustrie pour une interopérabilité entre organisations avec Les solutions didentité BMC Federated Identity Manager, IBM Tivoli Federated Identity Manager Et prochainement : CA eTrust SiteMinder Federation Security Services, Citrix Access Suite, Internet2 Shibboleth 1.3 Shib-ADFS et PingID PingFederate v3.1 Les agents Web SSO Centrify DirectControl for Microsoft ADFS, Quest Vintela Single Sing-On for Java (VSJ) v3.1, PingID/SourceID WS-Federation for Apache 2.0 Toolkit Première étape vers un méta-systèmes didentité…

32 Fédération didentité Fournisseurs didentité Emettent les identités Consommateurs didentité Ont besoin des identités Sujets Individus et autres entités à propos desquels on fait des demandes de claims didentité Consommateur didentité (Relying Party ou RP) Fournisseur didentité (Identity Provider ou IP) Dans les modèles traditionnels, le fournisseur didentité et le consommateur didentité sont confinés dans le même domaine La fédération didentité permet à une organisation de consommer des identités émises par dautres organisations

33 Fédération didentité Nécessite de définir les termes de la relation de confiance entre entités Relation « business », conditions et termes contractuels, gestion des clés, assertions, partage de politique, assurances techniques, exigences daudit, etc. Difficile à mesurer et à calibrer aujourdhui Trop ou pas assez de confiance placée dans lautre entité Nécessite des mécanismes techniques pour Matérialiser la relation de confiance entre entités Partage de clés symétriques, confiance dans une chaîne de certificats Valider que lidentité reçue (jetons de sécurité/assertions) provient dun fournisseur didentité de confiance et donc pour attester de lauthenticité de lidentité fournie Nécessite dutiliser un protocole de sécurité et des jetons de sécurité communs Aujourdhui SAML 1.x, Shibboleth 1.x, Liberty ID-FF 1.x, SAML 2.0, WS- Federation, SXIP, LID, etc.

34 Quest-ce que lidentité numérique ? Dans un contexte de fédération et sur lInternet Un ensemble de déclarations, preuves (claims) qui caractérise une personne ou une « chose » (sujet numérique) dans le monde numérique Un claim est une déclaration faite sur quelquun/quelque chose par quelquun/quelque chose Un claim constitue une assertion de la vérité de quelquun/quelque chose Les claims sont exigés pour les transactions dans le monde réel et en ligne Les claims sont véhiculés dans des jetons de sécurité qui transitent entre les frontières de processus et de machines

35 Les leçons tirées de Passport Passport a été conçu pour résoudre deux problèmes Fournisseur didentité sur MSN +250 millions dutilisateurs, 1 milliard de logons par jour Fournisseur didentité sur Internet Un échec La leçon : la solution aux problèmes de la gestion des identités sur Internet doit être différente de Passport

36 Quelques leçons du passé Une technologie unique avec un fournisseur unique de solution ne constitue pas une approche que le marché est prêt à accepter Une technologie unique avec de multiples fournisseurs na pas, à ce jour, été déployée de manière universelle Plusieurs fournisseurs avec plusieurs technologies implique immanquablement peu dinteropérabilité Ny a-t-il aucune solution envisageable ?

37 Notion de méta-système didentité Aujourdhui : de multiples identités… et de multiples formats Un méta-système didentité est un cadre de travail qui unifie le monde de Plusieurs technologies didentité Plusieurs opérateurs Plusieurs implémentations Un méta-système didentité permet aux utilisateurs de gérer et de choisir leur(s) identité(s) dans un monde hétérogène Choix de la technologie Choix du fournisseur (soi-même, entreprise privée, état, etc.) Approche cohérente vis-à-vis de lutilisation de multiples systèmes didentité Supprime les frictions sans pour autant requérir que tout le monde saccorde sur une unique technologie didentité quelque soit lusage Capitalise sur les succès présents Offre un chemin de migration simple du passé au futur

38 Caractéristiques dun méta-système Accord de lindustrie sur les claims comme façon de représenter lidentité Information cryptographiquement vérifiable sur un sujet numérique quun autre sujet revendique comme étant vraie Véhiculée dans des jetons de sécurité du fournisseur didentité au consommateur didentité Kerberos, SAML, X.509 sappuient tous sur ce modèle Un méta-système didentité doit sappuyer sur ce modèle de claims Doit être extensible de façon à supporter une variété de systèmes existants ou futurs basés sur les claims Pour connecter des systèmes reposant sur différentes technologies, il doit être à même de transformer un jeu de claims dans un format en un autre jeu de claims dans un autre format Consommateur didentité Obtient la politique du consommateur didentité Décrit les claims exigées Fournisseur didentité Utilise les jetons de sécurité Associe les claims avec les messages applicatifs Acquiert les jetons de sécurité Les jetons contiennent les claims Application

39 Les 7 lois de lidentité 1.Contrôle et consentement de lutilisateur 2.Divulgation minimale pour un usage défini 3.Présence justifiée des parties en présence 4.Support didentités publiques et privées 5.Pluralisme des opérateurs et des technologies 6.Prise en compte de lhumain 7.Expérience cohérente entre les contextes Rejoindre les discussions sur Etablies au travers dune dialogue avec lindustrie

40 Donner les pleins pouvoirs à lutilisateur… Etats Individus Employés et consommateurs Entreprisesprivées Technologies X.509, SAML, Kerberos Applications Existantes & Nouvelles Organisations Périphériques PC, Mobile, PDA Vous !

41 Rapprocher les technologies… Cartes à puces Cartes à puces Identités auto-générées Identités auto-générées Identités dentreprise Identités dentreprise Identités publiques Identités publiques Identités Passport Identités Passport Identités Liberty Identités Liberty Applications clientes Applications clientes Systèmes dexploitation Systèmes dexploitation Systèmes daccès réseau Systèmes daccès réseau Etats Etats Organisations Organisations Entreprises Entreprises Individus Individus Mobiles Mobiles Ordinateurs Ordinateurs Jetons daccès Jetons daccès … et tout le reste … et tout le reste

42 Caractéristiques dun méta-système Possibilité de négociation Encapsulation Transformation des claims Expérienceutilisateur Permet au consommateur didentité, au sujet et au fournisseur didentité de négocier les exigences en termes de politiques techniques Mécanisme agnostique déchange des politiques et des claims didentités entre fournisseur et consommateur didentité Mécanisme de confiance pour échanger les claims didentités quel que soit les formats des jetons didentité Interface homme – machine cohérente quels que soient les systèmes et les technologies Besoins dun méta-système didentité

43 Négociation Permet au consommateur didentité, au sujet et au fournisseur didentité de négocier Quels claims sont exigés Qui peut les fournir Quel type de technologie est acceptable Sous quelles conditions les claims sont émis Quelles parties prouvent qui elles sont Comment linformation sera utilisée

44 Protocole dencapsulation Mécanisme agnostique déchange des politiques et des claims didentité entre fournisseur et consommateur didentité Le contenu et la signification de ce qui est échangé sont déterminés par les participants, et non par le méta-système

45 Transformation des claims Mécanisme de confiance pour transformer un jeu de claims didentités en un autre Serveur spécialisé + Framework de confiance et de politique pour traduire les claims externes/étrangères en des claims localement pertinentes Pont entre les frontières techniques et organisationnelles Transformation des sémantiques « Collaborateur Contoso » « Achat de fourniture autorisé » Transformation des formats X.509, SAML1.0, SAML 2.0, SXIP, LID, etc. Fournit linteropérabilité nécessaire aujourdhui et la flexibilité requise pour les évolutions futures Fonctionne avec les infrastructures et les technologies existantes (Kerberos, X509) Permet lutilisation de nouvelles infrastructures et technologies (Liberty, etc.)

46 Expérience utilisateur InfoCard Simplifie lexpérience utilisateur Gère de multiples identités Supporte de multiples fournisseurs didentité Utilise un modèle basé sur les claims Intégré avec les browsers et les clients passifs Implémentation Microsoft dun sélecteur didentité au sein dun méta-système didentité Respecte les lois de lidentité Basé sur des protocoles standards et ouverts pour linteraction avec les fournisseurs et consommateurs didentités Tout le monde peut construire des expériences similaires Facilité dintégration pour les sites Web

47 En guise de synthèse Les Lois de lidentité définissent un méta-système didentité Le méta-système didentité a le potentiel de supprimer les frictions et daccélérer la croissance de la connectivité Portée accrue La transformation de claims autorise de nouvelles relations Flexibilité accrue Les leviers des politique et transformation des claims autorisent une large variété de relations Faciliter dajouter le support dune nouvelle technologie Que le bigbang de lidentité commence !

48 Pour approfondir le sujet dans le cadre des JMS Aujourd'hui 17:00-18h00 InfoCard, sélecteur didentité dans un méta-système didentité Demain 12h45:14h05 – ADFS, lexpérience Web SSO (fédéré) 1ère partie 14h05:15h15 – ADFS, lexpérience Web SSO (fédéré) 2nde partie

49 Pour plus dinformations Site MIIS Microsoft France « The Laws of Identity » « Microsoft's Vision for an Identity Metasystem » us/dnwebsrv/html/identitymetasystem.asp us/dnwebsrv/html/identitymetasystem.asp Interview Channel 9 de Kim Cameron Rejoignez les discussions sur Rejoignez les discussions sur

50

51 Microsoft France 18, avenue du Québec Courtaboeuf Cedex


Télécharger ppt "Gestion des identités Philippe Beraud Consultant Principal Microsoft France Christophe Dubos Architecte Infrastructure Microsoft France."

Présentations similaires


Annonces Google