Architecte Système Microsoft France Microsoft Identity Integration Server Architecture et fonctionnalités Christophe Dubos CHRISDU@MICROSOFT.COM Architecte Système Microsoft France

Agenda Introduction MIIS 2003 Questions & réponses A quelles problématiques répond la gestion de l’identité (IDM) ? Quels bénéfices peut on attendre de la mise en place d’une solution d’IDM ? MIIS 2003 Architecture et fonctionnalités Questions & réponses

Portail collaborateurs Gestion de la chaine logistique Le contexte Applications Support utilisateurs Administrateurs Clients Usagers Portail collaborateurs e-Commerce Ressources humaines ERP Self-Service Web Messagerie Ingénerie Annuaire entreprise Collaboration CRM Télédistribution Portail partenaires Gestion de la chaine logistique Partenaires Fournisseurs Ressources Employés Collaborateurs

Une vision applicative de la sécurité Authentification, Autorisation, Confidentialité et Intégrité Applications Services d’authentification Services d’autorisation Services de confidentialité et d’intégrité Services de gestion de l’identité Services d’infrastructure (référentiel/audit/PKI)

Une vision applicative de la sécurité Les solutions Microsoft Applications Identity Integration Server - Aggrégation et synchronisation des identités - Automatisation des processus d’arrivée, de changement d’affectation et de départ - Gestion automatique des groupes Kerberos V5 SSL 3.0 & TLS 1.0 Digest & foms Passport Credentials manager Impersonation & ACL Authorization manager IIS 6 URL authorization ASP .Net authorization SSL 3.0 IPSec S/MIME EFS CAPICOM Active Directory/AD Application Mode Audit / Certificate Services

Le contexte Les informations d’identité sont dispersées dans de multiples référentiels En moyenne plus de 150 sources La plupart des référentiels ne sont pas des annuaires Pas d’intégration avec des processus métiers Les systèmes ne sont pas intéropèrables Gartner Group sur population Fortune 500

Le contexte Quelles sources de données ? Taux de présence E-mail 92% Annuaires système NT/AD/NDS 88% Mainframe 52% Annuaires d’entreprise LDAP 46% Progiciels 42% Application «Maison » 38% Bases de données 34% DNS 30% UNIX 25% Autre

Le contexte Quelles solutions de synchronisation ? Solution de synchronisation Taux d’utilisation Processus manuel 42% Processus manuel et outils 38% Pas de synchronisation 12% Produits de synchronisation 8%

Système d’information Les conséquences Système d’information Entreprise Informations d’identité Structures et acteurs Vision parcellaire et floue Administration Coûts et délais importants Sécurité Gestion éclatée et complexe Utilisateurs Casse-tête permanent Helpdesk surchargé Fragmentaires Dispersées Redondantes Propriétaires Structurées différemment Gestion et utilisation Sous l’autorité d’entités distinctes Dans des bases non interopérables Interfaces multiples

Coût économique Une étude du META Group montre que sur une période d’un an pour une organisation de 10 000 personnes: 48 % des appels à l’assitance utilisateur sont liés à des problèmes de mots de passe 54 180 heures sont utilisées à administrer les utilisateurs, leurs données, leurs informations d’authentification et de droits d’accès 2 666 heures sont utilisées à accèder aux applications META Group pour PricewaterhouseCoopers, 06/2002

Les besoins Créer le schéma détaillé de l'organisation de l'entreprise Référencer et définir la "carte d’identité" des éléments Définir la cartographie des éléments entre eux Agréger et consolider les informations d'identité dans un référentiel unique Synchroniser les informations d'identité entre les référentiels Gérer les règles d’autorité sur chaque info d'identité Détecter & propager les modifications entre référentiels Gérer l’intégrité des informations entre les référentiels Gérer les informations d'identité Offrir un point d’accès et d’administration unique Disposer d'une vue unifiée des droits et habilitation

La solution Le couple Meta-Annuaire / Annuaire d’Entreprise Base ERP Créer le schéma détaillé de l'organisation de l'entreprise Agréger et consolider les informations d'identité Synchroniser les informations d'identité Gérer les informations d'identité Base ERP (Maitre) “Meta Annuaire” Création Objet Utilisateur Nom: Email: Photo: Utilisateur Nom: Jean Dupont (Maitre) Base de données Annuaire E-Mail (Pair) Synchronisation Email: jdupont@… Photo: clé=jeandup Référence Utilisateur Création Objet Synchronisation Annuaire central Administration

Bénéfices immédiats Meta-Annuaire Annuaire d’Entreprise Réduction des coûts et délais d'administration (SI, personnes, structures) Réduction des temps de mise à jour et de diffusion des modifications Sécurisation, simplification des échanges inter-applicatifs Réduction des erreurs Réduction du nombre d'interfaces Annuaire d’Entreprise Vue complète, pertinente, fiable et immédiate de l'entreprise Réduction des temps de recherche de personnes ou d'organisations Sécurisation du SI en fédérant les habilitations des utilisateur Amélioration de la communication interne

Bénéfices induits La création d’un référentiel global est la fondation indispensable à la mise en œuvre D’une politique de sécurité centralisée et cohérente De solutions de SSO et d’authentification forte De solutions B-to-B ou B-to-C De solutions de portail et de gestion de contenu

Agenda Introduction MIIS 2003 Questions & réponses A quelles problématiques répond la gestion de l’identité (IDM) ? Quels bénéfices peut on attendre de la mise en place d’une solution d’IDM ? MIIS 2003 Architecture et fonctionnalités Questions & réponses

MIIS 2003 Fonctionnalités Moteur souple et puissant de synchronisation des données d’identité en environnement hétérogène SGBD Annuaires OS Messageries Fichiers texte Plate-forme de gestion Des circuits internes de modification des données Des groupes et des listes de distribution Des mots de passe Des listes d’adresses globales (GAL)

MIIS 2003 Scénarii d’utilisation Meta Annuaire traditionnel (consolidation) Import depuis différentes sources (ex: iPlanet, Active Directory, LDIF) Jointure/Consolidation Consultation via un annuaire de publication (ex: ADAM) Automatisation des processus de gestion des utilisateurs (création/suppression/mouvements) Import des données depuis le système RH Jointure avec des données provenant d’autres systèmes Création des compte dans un annuaire (ex: Active Directory)

MIIS 2003 Composants techniques AD MIIS Admin Client Management Agent AD Service MIIS 2003 Fichiers, DSML Management Agent Fichiers WMI iPlanet Management Agent iPlanet Règles étendues SQL 2000 (Aire de stockage) Visual Studio.NET Management Agent Notes Notes Oracle Management Agent Oracle Serveur MIIS …

Sources de données Management Agents SQL Server 7 & 2000 Oracle Server 8i & 9i IBM DB2 UDB 5 7 & 8.1 * Exchange 5.5 2000 & 2003 IBM Notes 4.6 5 & 6 SunONE iPlanet Directory 4 & 5 ADAM (Active Directory Application Mode) IBM Directory Server * MIIS 2003 Fichier texte DSML V 2.0 LDIF Windows NT 4 Active Directory Novell eDirectory 8.6.2 & 8.7

Circulation des données Projection Jointure et Provisioning Microsoft Identity Integration Server Connector Space Metaverse Jean Dupont Full Name Title Employee # 1 Full Name Title Employee # Jean Dupont Full Name Title Employee # Jean Dupont Name Post Office Location Jean Dupond 4 Base RH Full Name Title Employee # Jean Dupont 3 5 5 Jean Dupont Name Post Office Location Employee # Jean Dupond Name Post Office Location Employee # Name Post Office Location Employee # Jean Dupond 2 Jean Dupont Messagerie Exchange Management Agents

Modules fonctionnels Metaverse Connector Space MA AD MA Fichiers Données systèmes Données PABX Données RH Données applicatives MA AD MA Fichiers MA Oracle MA iPlanet Sources de données Connected Directory (CD) Source de données à importer dans MMS Annuaire cible pour un export Connector Space (CS) Lieu de stockage intermédiaire pour les données en transit (import ou export) Metaverse (MV) Lieu de stockage des données consolidées Le lien entre une entrée du Metaverse et une entrée du Connector Space est une jointure Management Agent (MA) Assure l’import et l’export des données, ainsi que les traitements associés AD Fichiers CSV iPlanet Oracle

Modules fonctionnels Annuaire connecté (CD) Connector Space (CS) Source et/ou destination pour les attributs synchronisés Connector Space (CS) Lieu de stockage intermédiaire (de transit) pour les attributs synchronisés en entrée ou en sortie Metaverse (MV) Lieu de stockage consolidé des informations d’identité La correspondance entre des entrées du CS et une entrée unique de la MV est appelée jointure

Management Agents Modes de fonctionnement Projection Création Mise à jour Suppression dans la Metaverse Jointure Agrégation Mise à jour Echange des données entre les différentes sources Provisioning Création Déplacement Suppression dans les différentes sources de données

Managements Agents Fonctions avancées Filtrage Détermine les entrées exclues/inclues Granularité au niveau de l’attribut S’applique à tous les flux: import/export Mode Delta Ne traite que le différentiel des informations Réduit les temps de traitement Optimise l’utilisation des ressources système et réseau Profils Définissent les étapes de lancement du MA (import, export, delta, etc.) Plusieurs traitements peuvent être rassemblés dans un seul profil Peuvent s’appliquer à différentes sources

Managements Agents Fonctions avancées Définition des priorités entre sources Hiérarchise les sources pour l’alimentation de l’annuaire Granularité au niveau de l’attribut Gestion des conflits Règles étendues Basé sur Visual Basic .Net, C# ou C++ Application de traitements spécifiques au mapping des attributs et provisioning Personnalisation de l’infrastructure Gestion des mots de passe S’appuie sur l’interface Windows Management Interface (WMI) Fonctions de reset et changement pour des solutions de help-desk ou self-service Accessible via une application web

Gestion des mots de passe MIIS ne peut pas extraire les mots de passe stockés dans une source Même si cela était possible il n’y aurait aucun bénéfice à le faire dans la mesure ou les formats de stockage des différents d’une source à une autre MIIS peut changer ou réinitialiser les mots de passe dans toute source exposant une interface Il doit pour cela disposer du mot de passe MIIS peut intercepter les mots de passe lors de leur changement dans Active Directory Il est aussi possible de l’intégrer avec des produits tiers

Gestion des mots de passe MIIS peut de changer/réinitialiser les mots de passe via une application WEB Les utilisateurs peuvent modifier leur mot de passe à condition de connaître le précédent et des personnes habilitées peuvent réinitialiser les mots de passe Ces fonctionnalités permettent de mettre en cohérence les différents mots de passe de l’utilisateur mais pas d’en réduire le nombre Web App MIIS iPlanet AD

Gestion dynamique des groupes Définition des critères Au sein de la base et sur le contenu de la Metaverse Table de définition des groupes Composée de l’identifiant (GroupID), du nom (DisplayName) et de la clause SQL Les clauses SQL peuvent être définies Ex: les personnes appartenant au service Comptabilité object_type = ‘person’ and department = ‘Compta’ Ex: les personnes ayant un rôle de manager object_id in (select Distinct reference_id from mms_mv_link where attribute_name = ’manager’)

Mise en œuvre et exploitation Fonctionnalités Conception Interface intégrée et ergonomique aux standard Windows Environnement de développement .NET Mode de test et de simulation Déploiement Passage simple de l’environnement de développement à celui de production au travers de fichiers XML Technologie d’agents de synchronisation non intrusive Administration Instrumentation via WMI Statistiques détaillées Historisation des opérations Architecture haute disponibilité

Mise en œuvre et exploitation Fonctionnalités Console MIIS Contrôle et historisation des opérations Création modification suppression d’agents Définition du schema Examen des données Outil de jointure manuelle WMI Accès aux composants internes de MIIS Pilotage Interrogation Séquencement Ouverture vers l’eProvisioning Monitoring Simulation des opérations de synchro Statistiques de fonctionnement Intégration avec journaux des événements Intégration avec compteurs de performance

MIIS 2003 Interface d’administration Un outil intégré et convivial donnant accès à l’ensemble des fonctionnalités 5 vues principales du meta annuaire Operations MA Design MV Design Data viewer/Search Account Joiner

Interface d’administration Historique des opérations Gestion des agents Design du Schéma Examen des données Jointure Manuelle Actions sur les MA Liste des MA Etat de la connexion Statistiques des synchronisations Erreurs de synchronisation

Sécurisation de l’infrastructure Comptes spécifiques 5 groupes pour dissocier les rôles : administration, supervision, jointure, navigation, opérations sur mots de passe Compte de service sécurisé Haute disponibilité Redémarrage rapide sur un serveur de secours Pas de nécessité de re-configuration Clustering des serveurs SQL Clé de sécurité Chiffrement des informations d’accès aux différentes sources (mot de passe) Chiffrement des attributs sensibles Protection de la configuration

MIIS 2003 Evolutions MIIS 2003 SP1 3e trimestre 2004 MIIS 200x “Longhorn” Nouveaux Mgmt Agents IBM DB2 IBM RACF IBM Tivoli Directory Server Support des mots de passe étendu MA SDK Polyarchy Prescriptive Guidance Nouveaux Mgmt Agents ERP Unix Provisionning et workflow d’approbation étendus Réinitialisation des mots de passe en self-service Evolution Reporting/Polyarchy MIIS comme plate forme applicative Nouvelles fonctionnalités de self-service

En résumé… Microsoft Identity Integration Server - Bénéfices Simplification de l’accès à l’information Création d’un référentiel des données Fiabilité de l’information accrue Diminution des erreurs de saisie Réduction des coûts d’administration Réduction des tâches administratives Infrastructure plus réactive Capitalisation pour les projets futurs: eProvisioning, SSO, portail Amélioration de la sécurité globale Automatisation des processus pour une approche plus exhaustive Uniformisation des mots de passe Ouverture vers la mise en place d’une politique de mots de passe globale

Agenda Introduction MIIS 2003 Questions & réponses A quelles problématiques répond la gestion de l’identité (IDM) ? Quels bénéfices peut on attendre de la mise en place d’une solution d’IDM ? MIIS 2003 Architecture et fonctionnalités Questions & réponses

Demonstration ADAM Appli RH MIIS 2003 PABX AD Nom Prénom EmpID Location Manager EmpStatus ADAM Appli RH Téléphone MIIS 2003 Nom Prénom EmpID Location Manager Mail SamAccountName Telephone Langage PABX Langage AD