La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Christophe Dubos Architecte Système Microsoft France Microsoft Identity Integration Server Architecture et fonctionnalités.

Présentations similaires


Présentation au sujet: "Christophe Dubos Architecte Système Microsoft France Microsoft Identity Integration Server Architecture et fonctionnalités."— Transcription de la présentation:

1 Christophe Dubos Architecte Système Microsoft France Microsoft Identity Integration Server Architecture et fonctionnalités

2 Agenda Introduction A quelles problématiques répond la gestion de lidentité (IDM) ? Quels bénéfices peut on attendre de la mise en place dune solution dIDM ? MIIS 2003 Architecture et fonctionnalités Questions & réponses

3 Le contexte ClientsUsagers PartenairesFournisseurs Ressources Administrateurs EmployésCollaborateurs Applications Support utilisateurs e-Commerce Portail collaborateurs ERP Ressources humaines Messagerie Annuaire entreprise Télédistribution Ingénerie CRM Self-Service Web Collaboration Gestion de la chaine logistique Portail partenaires

4 Une vision applicative de la sécurité Authentification, Autorisation, Confidentialité et Intégrité Services dinfrastructure (référentiel/audit/PKI) Services dauthentification Services dautorisation Services de confidentialité et dintégrité Applications Services de gestion de lidentité

5 Une vision applicative de la sécurité Les solutions Microsoft Active Directory/AD Application Mode Audit / Certificate Services Kerberos V5 SSL 3.0 & TLS 1.0 Digest & foms Passport Credentials manager Impersonation & ACL Authorization manager IIS 6 URL authorization ASP.Net authorization SSL 3.0 IPSecS/MIMEEFSCAPICOM Applications Identity Integration Server - Aggrégation et synchronisation des identités - Automatisation des processus darrivée, de changement daffectation et de départ - Gestion automatique des groupes

6 Les informations didentité sont dispersées dans de multiples référentiels En moyenne plus de 150 sources La plupart des référentiels ne sont pas des annuaires Pas dintégration avec des processus métiers Les systèmes ne sont pas intéropèrables Le contexte Gartner Group sur population Fortune 500

7 Le contexte Quelles sources de données ? Source Taux de présence 92% Annuaires système NT/AD/NDS 88% Mainframe52% Annuaires dentreprise LDAP 46% Progiciels42% Application «Maison » 38% Bases de données 34% DNS30% UNIX25% Autre42%

8 Le contexte Quelles solutions de synchronisation ? Solution de synchronisation Taux dutilisation Processus manuel 42% Processus manuel et outils 38% Pas de synchronisation 12% Produits de synchronisation 8%

9 Sous lautorité dentités distinctes Sous lautorité dentités distinctes Dans des bases non interopérables Dans des bases non interopérables Interfaces multiples Interfaces multiples Système dinformation Entreprise Informations didentité Structures et acteurs Vision parcellaire et floue Vision parcellaire et floue Administration Coûts et délais importants Coûts et délais importants Sécurité Gestion éclatée et complexe Gestion éclatée et complexe Utilisateurs Casse-tête permanent Casse-tête permanent Helpdesk surchargé Helpdesk surchargé Gestion et utilisation Fragmentaires Fragmentaires Dispersées Dispersées Redondantes Redondantes Propriétaires Propriétaires Structurées différemment Structurées différemment Les conséquences

10 Une étude du META Group montre que sur une période dun an pour une organisation de personnes: 48 % des appels à lassitance utilisateur sont liés à des problèmes de mots de passe heures sont utilisées à administrer les utilisateurs, leurs données, leurs informations dauthentification et de droits daccès heures sont utilisées à accèder aux applications META Group pour PricewaterhouseCoopers, 06/2002 Coût économique

11 Les besoins Créer le schéma détaillé de l'organisation de l'entreprise Référencer et définir la "carte didentité" des éléments Définir la cartographie des éléments entre eux Agréger et consolider les informations d'identité dans un référentiel unique Synchroniser les informations d'identité entre les référentiels Gérer les règles dautorité sur chaque info d'identité Détecter & propager les modifications entre référentiels Gérer lintégrité des informations entre les référentiels Gérer les informations d'identité Offrir un point daccès et dadministration unique Disposer d'une vue unifiée des droits et habilitation

12 Nom: Jean Dupont Photo: clé=jeandup UtilisateurUtilisateur MetaAnnuaire UtilisateurUtilisateur Nom: Photo: UtilisateurUtilisateur BaseERPBaseERP (Maitre) Agréger et consolider les informations d'identité Synchronisation (Maitre) Base de données Annuaire Annuaire (Pair) Référence Synchroniser les informations d'identité Créer le schéma détaillé de l'organisation de l'entreprise Gérer les informations d'identité Création Objet Annuairecentral Synchronisation Administration La solution Le couple Meta-Annuaire / Annuaire dEntreprise

13 Bénéfices immédiats Meta-Annuaire Réduction des coûts et délais d'administration (SI, personnes, structures) Réduction des temps de mise à jour et de diffusion des modifications Sécurisation, simplification des échanges inter- applicatifs Réduction des erreurs Réduction du nombre d'interfaces Annuaire dEntreprise Vue complète, pertinente, fiable et immédiate de l'entreprise Réduction des temps de recherche de personnes ou d'organisations Sécurisation du SI en fédérant les habilitations des utilisateur Amélioration de la communication interne

14 Bénéfices induits La création dun référentiel global est la fondation indispensable à la mise en œuvre Dune politique de sécurité centralisée et cohérente De solutions de SSO et dauthentification forte De solutions B-to-B ou B-to-C De solutions de portail et de gestion de contenu

15 Agenda Introduction A quelles problématiques répond la gestion de lidentité (IDM) ? Quels bénéfices peut on attendre de la mise en place dune solution dIDM ? MIIS 2003 Architecture et fonctionnalités Questions & réponses

16 MIIS 2003 Fonctionnalités Moteur souple et puissant de synchronisation des données didentité en environnement hétérogène SGBDAnnuairesOSMessageries Fichiers texte Plate-forme de gestion Des circuits internes de modification des données Des groupes et des listes de distribution Des mots de passe Des listes dadresses globales (GAL)

17 MIIS 2003 Scénarii dutilisation Meta Annuaire traditionnel (consolidation) Import depuis différentes sources (ex: iPlanet, Active Directory, LDIF) Jointure/Consolidation Consultation via un annuaire de publication (ex: ADAM) Automatisation des processus de gestion des utilisateurs (création/suppression/mouvements) Import des données depuis le système RH Jointure avec des données provenant dautres systèmes Création des compte dans un annuaire (ex: Active Directory)

18 MIIS 2003 Composants techniques Serveur MIIS SQL 2000 (Aire de stockage) Service MIIS 2003 Management Agent iPlanet Fichiers, DSML Management Agent Fichiers AD Management Agent AD Règlesétendues Visual Studio.NET Notes Management Agent Notes Oracle Oracle WMI MIIS Admin Client … iPlane t

19 Sources de données Management Agents MIIS 2003 Fichiertexte DSML V 2.0 LDIF Windows NT 4 Active ActiveDirectory Novell eDirectory & 8.7 Exchange & 2003 IBM Notes & & 6 SunONE iPlanet Directory 4 & 5 ADAM (Active Directory Application Mode) IBM Directory Server * SQL Server 7 & 2000 Oracle Server 8i & 9i IBM DB2 UDB 5 7 & 8.1 * 5 7 & 8.1 *

20 Jean Dupond Name Post Office Location Employee # Jean Dupond Name Post Office Location Employee # Microsoft Identity Integration Server Connector SpaceMetaverse 5 Name Post Office Location Employee # Jean Dupond 2 1 Full Name Title Employee # Full Name Title Employee # Jean Dupont Circulation des données Projection Jointure et Provisioning Jean Dupont Full Name Title Employee # Base RH Full Name Title Employee # Full Name Title Employee # Jean Dupont 3 3 Management Agents Jean Dupont Name Post Office Location Employee # MessagerieExchangeMessagerieExchange Full Name Title Employee # Full Name Title Employee # Jean Dupont Name Post Office Location Employee # Name Post Office Location Employee # Jean Dupond Full Name Title Employee # Name Post Office Location Full Name Title Employee # Name Post Office Location Jean Dupont

21 Metaverse Connector Space Données systèmes Données PABX Données RH Donnéesapplicatives Modules fonctionnels FichiersCSV Oracle AD MA AD MA Fichiers MA Oracle MA iPlanet iPlane t Sources de données

22 Modules fonctionnels Annuaire connecté (CD) Source et/ou destination pour les attributs synchronisés Connector Space (CS) Lieu de stockage intermédiaire (de transit) pour les attributs synchronisés en entrée ou en sortie Metaverse (MV) Lieu de stockage consolidé des informations didentité La correspondance entre des entrées du CS et une entrée unique de la MV est appelée jointure

23 Projection Création Mise à jour Suppression dans la Metaverse Jointure Agrégation Mise à jour Echange des données entre les différentes sources Provisioning CréationDéplacement Suppression dans les différentes sources de données Management Agents Modes de fonctionnement

24 Filtrage Détermine les entrées exclues/inclues Granularité au niveau de lattribut Sapplique à tous les flux: import/export Mode Delta Ne traite que le différentiel des informations Réduit les temps de traitement Optimise lutilisation des ressources système et réseau Profils Définissent les étapes de lancement du MA (import, export, delta, etc.) Plusieurs traitements peuvent être rassemblés dans un seul profil Peuvent sappliquer à différentes sources Managements Agents Fonctions avancées

25 Définition des priorités entre sources Hiérarchise les sources pour lalimentation de lannuaire Granularité au niveau de lattribut Gestion des conflits Règles étendues Basé sur Visual Basic.Net, C# ou C++ Application de traitements spécifiques au mapping des attributs et provisioning Personnalisation de linfrastructure Gestion des mots de passe Sappuie sur linterface Windows Management Interface (WMI) Fonctions de reset et changement pour des solutions de help-desk ou self-service Accessible via une application web Managements Agents Fonctions avancées

26 Gestion des mots de passe MIIS ne peut pas extraire les mots de passe stockés dans une source Même si cela était possible il ny aurait aucun bénéfice à le faire dans la mesure ou les formats de stockage des différents dune source à une autre MIIS peut changer ou réinitialiser les mots de passe dans toute source exposant une interface Il doit pour cela disposer du mot de passe MIIS peut intercepter les mots de passe lors de leur changement dans Active Directory Il est aussi possible de lintégrer avec des produits tiers

27 MIIS peut de changer/réinitialiser les mots de passe via une application WEB Les utilisateurs peuvent modifier leur mot de passe à condition de connaître le précédent et des personnes habilitées peuvent réinitialiser les mots de passe Ces fonctionnalités permettent de mettre en cohérence les différents mots de passe de lutilisateur mais pas den réduire le nombre WebApp MIIS iPlanet AD Gestion des mots de passe

28 Gestion dynamique des groupes Définition des critères Au sein de la base et sur le contenu de la Metaverse Table de définition des groupes Composée de lidentifiant (GroupID), du nom (DisplayName) et de la clause SQL Les clauses SQL peuvent être définies Ex: les personnes appartenant au service Comptabilité object_type = person and department = Compta Ex: les personnes ayant un rôle de manager object_id in (select Distinct reference_id from mms_mv_link where attribute_name = manager)

29 Conception Interface intégrée et ergonomique aux standard Windows Environnement de développement.NET Mode de test et de simulation Déploiement Passage simple de lenvironnement de développement à celui de production au travers de fichiers XML Technologie dagents de synchronisation non intrusive Administration Instrumentation via WMI Statistiques détaillées Historisation des opérations Architecture haute disponibilité Mise en œuvre et exploitation Fonctionnalités

30 Console MIIS Contrôle et historisation des opérations Création modification suppression dagents Définition du schema Examen des données Outil de jointure manuelle WMI Accès aux composants internes de MIIS Pilotage Pilotage Interrogation Interrogation Séquencement Séquencement Ouverture vers leProvisioning Ouverture vers leProvisioning Monitoring Simulation des opérations de synchro Statistiques de fonctionnement Intégration avec journaux des événements Intégration avec compteurs de performance Mise en œuvre et exploitation Fonctionnalités

31 MIIS 2003 Interface dadministration Un outil intégré et convivial donnant accès à lensemble des fonctionnalités 5 vues principales du meta annuaire Operations MA Design MV Design Data viewer/Search Account Joiner

32 Interface dadministration Historique des opérations Gestion des agents Design du Schéma Examen des données Jointure Manuelle Liste des MA Erreurs de synchronisation Statistiques des synchronisations Etat de la connexion Actions sur les MA

33 Comptes spécifiques 5 groupes pour dissocier les rôles : administration, supervision, jointure, navigation, opérations sur mots de passe Compte de service sécurisé Haute disponibilité Redémarrage rapide sur un serveur de secours Pas de nécessité de re-configuration Clustering des serveurs SQL Clé de sécurité Chiffrement des informations daccès aux différentes sources (mot de passe) Chiffrement des attributs sensibles Protection de la configuration Sécurisation de linfrastructure

34 MIIS 2003 SP1 3e trimestre 2004 Nouveaux Mgmt Agents ERPUnix Provisionning et workflow dapprobation étendus Réinitialisation des mots de passe en self-service Evolution Reporting/Polyarchy MIIS comme plate forme applicative Nouvelles fonctionnalités de self-service Nouveaux Mgmt Agents IBM DB2 IBM RACF IBM Tivoli Directory Server Support des mots de passe étendu MA SDK Polyarchy Prescriptive Guidance MIIS 200x 4e trimestre 2005 Longhorn MIIS 2003 Evolutions

35 Simplification de laccès à linformation Création dun référentiel des données Fiabilité de linformation accrue Diminution des erreurs de saisie Réduction des coûts dadministration Réduction des tâches administratives Infrastructure plus réactive Capitalisation pour les projets futurs: eProvisioning, SSO, portail Amélioration de la sécurité globale Automatisation des processus pour une approche plus exhaustive Uniformisation des mots de passe Ouverture vers la mise en place dune politique de mots de passe globale En résumé… Microsoft Identity Integration Server - Bénéfices

36 Agenda Introduction A quelles problématiques répond la gestion de lidentité (IDM) ? Quels bénéfices peut on attendre de la mise en place dune solution dIDM ? MIIS 2003 Architecture et fonctionnalités Questions & réponses

37

38 MIIS 2003 Langage Téléphone Nom Prénom EmpID Location Manager EmpStatus Nom Prénom EmpID Location Manager Mail SamAccountName Telephone Langage PABX AD Appli RH ADAM Demonstration


Télécharger ppt "Christophe Dubos Architecte Système Microsoft France Microsoft Identity Integration Server Architecture et fonctionnalités."

Présentations similaires


Annonces Google