4 - Annuaires Les Annuaires d ’Entreprises Offres et solutions Objectifs et définitions Le problème : architecture - exemples Les services Offres et solutions Le SSO LDAP Implémentation ...
Introduction Annuaires partagés : Indispensable composant d’une architecture du Système d’Information réparti. Technologie d’annuaires partagés stocker et accéder facilement aux listes partagées (adresses), utiliser ces accès pour renvoyer des informations de type ‘ références ’, en s’appuyant sur des standards une offre apparue depuis plusieurs années : annuaires des réseaux d ’ordinateurs (Banyan, Novell, MicroSoft ...), complétée par les annuaires de messageries (X400, X500) une offre mature et un standard: LDAP
Objectifs Besoins - plusieurs types Applicatifs : Nommage technique : 10/05/98 Objectifs Besoins - plusieurs types Applicatifs : Référentiel : objets ‘ génériques ’ et partagés Bases de l ’Entreprise : clients, partenaires ... Nommage technique : systèmes : serveurs, imprimantes, ... ressources : services, objets, ... Et : utilisateurs, groupes Version du 2/10/98 29 29
de réplication pour la scalabilité Définition Un annuaire partagé d ’Entreprise contient de nombreux objets - (partagés) pour l ’organisation (utilisateurs par ex.) pour les applications est géré de façon uniforme (centralisé) interfaces de mise à jour - temps réel - gérant les conflits d ’accès multi-applications propose une interface d ’interrogation multi-critères performante « c ’est une base hierarchique, centralisée, avec une méthode d ’accès normalisée » De type arborescence, en général Avec des mécanismes de réplication pour la scalabilité
Comment ? La tentation est de créer un seul et unique annuaire général ! Conserver les fonctions des annuaires spécifiques : DNS pour les systèmes Annuaires des ressources réseaux / micro - ex: Active Directory, Annuaire Domino ... Solutions propriétaires pour certaines ressources Construire l ’annuaire d ’Entreprise En identifiant les ressources nécessairement partagées, En utilisant les mécanismes d ’alimentation et de synchronisation vers les autres annuaires
Un exemple - multi annuaires 10/05/98 Un exemple - multi annuaires DNS Systèmes Intranet NT ORB SGBDR MOM Ressources Web Mail Annuaire Corba Informix MQS autres de domaines NT LDAP LDAP LDAP ? Utilisateurs Système d'accès sécurisé Annuaire X (esclave LDAP) ANNUAIRE Entreprise 28 28
Quels services? Gèrer et mettre à disposition : ID : Les données d' IDENTIFICATION qui est l ’utilisateur? à quel groupe appartient-il? Vérifier l ’ID du client Auth : les données d'AUTHENTIFICATION comment authentifier les utilisateurs ? Loc : les données de LOCALISATION Dacc : les droits d ’accès quels sont les droits pour l ’utilisateur Renvoyer les données génériques sur l ’utilisateur, le client ...
Autre exemple : annuaires répartis Sous groupe 1 Filiale 1 Réplication partielle Réplication partielle ID Auth Loc D.Acc ID Auth Loc D.Acc GROUPE Sous Groupe 1 Alimentation et mise à jour Filiale 1 Filiale 2 ID Auth Loc D.Acc Sous groupe 2 Sous groupe Filiale 2 ID Auth Loc D.Acc Réplication partielle Réplication partielle
Conséquences pour ... La gestion des utilisateurs Les projets Gestion des accès UTILISATEUR Fournir des informations (gestion centralisée) sur ces utilisateurs Les projets Faciliter la mutualisation pour les Applications Proposer une "Base de Référence" des données communes des applications et globalement Simplifier la gestion (unicité, synchronisation), Renforcer la sécurité
Les solutions Bref historique, LDAP Le SSO Objectif AGORA Implémentation
Bref historique Des offres issues de la gestion des utilisateurs en réseaux Banyan - StreetTalk (gèrer des milliers d ’utilisateurs répartis) Novell - NDS SUN - NIS, NIS+ Un effort de normalisation ISO annuaire X500 repris par l ’IETF pour LDAP MicroSoft : Active Directory
LDAP Lightweight Directory Access Protocol Le ‘ langage ’ des annuaires de type arborescent, langage de requête stantard RFC 1777, RFC 2251 Supportés par la majorité des offreurs (Oracle8, Netscape, Notes ) Fédération des annuaires, Sur la trajectoire Active Directory (NT5) ... JMV : Exemple en cours de rédaction …….
Le SSO Le Single Sign On : 10/05/98 Le SSO Le Single Sign On : L ’utilisateur se ‘signe’ une seule fois et cela l’autorise durant la session à accéder à toutes ses applications Cette solution peut être complexe à implémenter dans l ’existant : Utilisation de mécanismes propriétaires, Sécurité Des solutions existent : S ’appuyant sur l’annuaire et en simulant les autres accès), En utilisant les mécanismes WEB (cookies, URL signées), 30
Modification du champ « 2 » Objectif AGORA : Gestion unifiée des utilisateurs META ANNUAIRE 1 2 Modification du champ « 2 » RH Messagerie Novell/NT 1 2 On ne pourra pas utiliser dans les anciennes applications les mécanismes J2EE de sécurité déclarative et de propagation de l’habilitation. Il s’agit déjà d’avoir une seule vue et une seule API pour associer un rôle et une méthode. Un méta-annuaires LDAP Solution de mise en place d ’une gestion centralisée Sans remise en cause des applications existantes
Implémentation Des solutions sont disponibles et fortement éprouvées Exemple :Netscape Directory Server repris par SUN dans iPLANET" Annuaires X500/LDAP De grandes entreprises fédèrent des millions d ’utilisateurs: Renault, Dassault, FT, DOD L ’implémentation doit vérifier : La sécurisation (Cryptage, usage des Codes Confidentiels ...), L ’architecture générale (Disponibilité de la base , réplication, performances, scalabilité ...) ... Mais aussi une problématique d ’organisation et d ’impact sur l ’existant