1 Vision de Microsoft pour l’avenir : Nouvelles formes d’authentification sécurisée et impacts sur les applications Bernard Ourghanlian Chief Technology & Security Officer Microsoft France
2 Sécurité L’utilisateur, donc son identité, est au cœur des métiers de l’entreprise
3 Aujourd'hui, la gestion des identités pèse lourdement sur les DSI Utilisateurs Appellent le help desk pour mots de passe et demande d’accès Attendent souvent longtemps leurs accès et se plaignent… Définissent les politiques métier Développeurs Développement des règles métier Développement d’applications métier Intégration de système Mauvaises personnes Mauvais contextes Plus grande complexité Coûts plus élevés Professionnels de l’informatique Réponse aux métiers Réponse aux utilisateurs Architecture et déploiement Administration système Gouvernance et sécurité Gestion des permissions Création et suppression des comptes utilisateurs Implémentation et application de la politique
4 Changer l’équation Une bonne gestion du cycle de vie des identités offre un potentiel d’économie de : 50 $/an par PC en raison du provisionnement automatique 120 $/an par PC en raison de la synchronisation des annuaires et la gestion des mots de passe Dépense en gestion des identités et des accès Moins de dépense sur des infrastructures spécialisées Meilleure productivité des utilisateurs Equipe informatique focalisée sur la création de valeur pour les métiers Moins de dépense en services Personnel IT 45 % S/W 10% Intégration de système 45 % TCO ROI 2007
5 Règles et politiques métier Permissions Appartenance à des groupes et des rôles Listes de distribution Mots de passe et PIN Aligner les expériences utilisateurs en fonction des rôles Architecture Déploiement Administration système Gouvernance Sécurité Intégration système et application Développement d’applications métier Utilisateur s AccèsCréances Politique Professionnels de l’informatique Utilisateurs Développeurs Ajouter Mettre à jour Révoquer Auditer
6 Nouvel utilisateur Création du User ID Emission des créances Droits Changement utilisateur Changements de droits Promotions Transferts Help Desk Perte des créances Reset du mot de passe Nouveaux droits Retirer l’utilisateur Supprimer les comptes Supprimer les droits Rapports Conformité Audit Sécurité Intégration Workflow Self-service Kiosque pour mot de passe Identité Nouveaux droits Gestion du cycle de vie des identités
7 Bénéfices de la gestion du cycle de vie des identités Réduire les risques Amélioration de l’efficacité opérationnelle Augmenter la valeur pour les métiers Assurer que seuls les utilisateurs autorisés peuvent accéder les ressources Identifier et gérer les comptes orphelins Implémenter et gérer une authentification forte Automatisation, réduction et simplification des processus manuels Réduction de la complexité de la gestion de plusieurs référentiels Améliorer la productivité des utilisateurs à travers une meilleure expérience utilisateur Libérer les ressources IT pour les focaliser sur la valeur ajoutée Gérer le lien avec les clients et les partenaires Améliorer la conformité Provisionner les comptes en accord avec la politique de sécurité Etablir un processus auditable pour gérer les identités
8 Le support d'une PKI en environnement Windows Un investissement stratégique pour Microsoft depuis plus de 10 ans Windows 2000, Windows 2003, Windows 2008 et maintenant Windows 7 et Windows Server 2008 R2 Intégration transparente avec votre infrastructure informatique Côté serveur évidemment Mais aussi côté client : interface homme – machine, possibilité de faire un reset de son code PIN directement depuis l’interface de logon,…
9 Quelques grandes tendances en matière de PKI Les Etats : les plus grands émetteurs de certificats !!! Télé-déclaration d’impôts Arrivée prochaine de la carte nationale d’identité électronique Les PME ont elles-aussi besoin d’une solution de PKI Les entreprises ont besoin du support d’environnements hétérogènes Les applications utilisent les certificats comme des jetons d’autorisation (courte période de validité) Extension de l’usage des certificats X.509 Certificats Extended Validation (EV) Evolution du chiffrement avec le support des algorithmes utilisant les courbes elliptiques
10 PKIPKI Les investissements de Windows 7 Enrôlement fondé sur HTTP Consolidation de serveurs Amélioration des scénarios existants Authentification forte
11 Consolidation de serveurs Nouveaux scénarios de PKI utilisant des certificats d’une durée de vie courte Contrôle de l’état de santé du poste - Network Access Protection (NAP) Certificats de signature OCSP (Online Certificate Status Protocol) Support d’un enrôlement cross-forêts Consolidation de serveurs
12 Amélioration des scénarios existants Nouveaux gabarits de certificats, possibilité de marquer une CA racine d’entreprise comme EV Best Practice Analyzer Amélioration de l’IHM Amélioration des scénarios existants Windows Vista Windows 7
13 Enrôlement fondé sur HTTP Permettre la mise en place de nouveaux scénarios qui tirent partie du client de PKI natif Windows 1. Certificats émis par une autorité de certification publique 2. Emission au-delà des frontières des entreprises Scénario de partenariat 3. Emission vers des machines qui ne font pas partie d’un domaine Windows 4. Emission B2C Ma banque me fournit des certificats 5. Et plus encore… Enrôlement fondé sur HTTP
14 Authentification forte Biométrie Nouvelle plateforme pour les périphériques biométriques Pour l’instant focalisée sur les scénarios d’authentification à base d’empreintes pour le marché consommateur Nouveau modèle de pilote et la base d’un futur programme de certification – Partenariat avec les principaux fournisseurs Support de 100 % des portables en entreprise et de 60 % des portables à la maison Expérience utilisateur intégrée Logon Windows, local et domaine Découverte automatique du périphérique et de ses fonctionnalités Gestion d’entreprise Application de la politique de sécurité Authentification forte
15 Authentification forte Carte à puce Support du plug & play pour les cartes à puce Installation du pilote à travers Windows Update et WSUS/SUS Installation avant le logon pour des non administrateurs Amélioration du cadre de support des cartes à puce Amélioration du déverrouillage des cartes à puce utilisant la biométrie Support des algorithmes à courbes elliptiques Authentification forte
16 Mais qu’en est-il des applications ?…
17 Le problème… Travailler avec les identités est devenu trop difficile Les applications doivent utiliser différentes technologies d’identité dans différentes situations Active Directory (Kerberos) au sein d’un domaine Windows Username/Password sur l’Internet WS-Federation et le Security Assertion Markup Language (SAML) entre les organisations … Pourquoi ne pas enfin définir une approche qui puisse être utilisée dans tous ces cas ? La notion d’identité fondée sur des revendications permet d’atteindre un tel objectif Cela peut rendre la vie des développeurs d’applications et des RSSI considérablement plus simple
18 Jeton Signature Exemples de revendications NomGroupeAge Revendication 1 Revendication 2... Revendication n Revendication 3 Jetons et revendications Représenter une identité sur le réseau Un jeton est un ensemble d’octets qui permet d’exprimer une information à propos d’une identité Cette information consiste en un ou plusieurs revendications Chaque revendication contient de l’information au sujet de l’entité à laquelle ce jeton s’applique Indique qui a créé ce jeton et le protège contre les modifications
19 Fournisseurs d’identité et STS Un fournisseur d’identité est une autorité qui fait des revendications au sujet d’une entité Les fournisseurs d’identité classiques aujourd’hui Dans votre réseau : votre employeur Sur l’Internet : le plus souvent, vous Un fournisseur d’identité implémente un Security Token Service (STS) C’est du logiciel qui émet des jetons Les demandes de jetons sont effectuées à l’aide du protocole standard WS-Trust On peut utiliser de nombreux formats de jeton Le format SAML devient de plus en plus populaire
20 Fournisseur d’identité Compte/ Stockage d’attributs Security Token Service (STS) 2) Obtenir l’information 1) Authentifier et demander un jeton 3) Créer et retourner un jeton Jeton Browser ou Client Utilisateur Récupérer un jeton Illustration d’un fournisseur d’identité et d’un STS
21 4) Utiliser les revendications du jeton Browser ou Client Utilisateur Fournisseur d’identité Acquérir et utiliser un jeton 1) Obtenir jeton Jeton 2) Soumettre jeton Jeton Liste de STS de confiance Application 3) Vérifier la signature du jeton et que ce STS est de confiance Librairie d’identité STS
22 Pourquoi les revendications constituent-elles une amélioration ? Aujourd’hui, une application récupère typiquement une seule information d’identité simple Telle qu’un nom d’utilisateur Pour en avoir davantage, une application doit interroger Une base de données distante telle qu’un service d’annuaire Une base de données locale Avec une identité fondée sur des revendications, chaque application peut demander exactement les revendications dont elle a besoin Le STS les place dans le jeton qu’il crée
23 Comment les applications peuvent- elles utiliser les revendications ? Quelques exemples Une revendication peut identifier un utilisateur Une revendication peut véhiculer l’appartenance à un groupe ou à un rôle Une revendication peut transporter des informations de personnalisation Telle que le display name de l’utilisateur Une revendication peut donner ou dénier le droit de faire quelque chose Tel que l’accès à une information particulière ou l’invocation de méthodes spécifiques Une revendication peut limiter le droit de faire quelque chose Telle que la limite d’achat d’un utilisateur
24 5) Utiliser les revendications dans le jeton Utilisateur Application Fournisseurs d’identité STS Sélecteur d’identité 1) Accéder l’application et apprendre ses besoins en jeton 2) Sélectionner une identité qui correspond à ces besoins 3) Récupérer le jeton pour l’identité choisie Jeton 4) Soumettre le jeton Jeton Supporter des identités multiples Utiliser un sélecteur d’identité Librairie d’identité Browser ou Client STS
25 5) Utiliser les revendications dans le jeton CardSpace « Geneva » Browser ou Client Utilisateur 4) Soumettre le jeton Application Fournisseurs d’identité STS 3) Récupérer le jeton pour l’identité choisie STS 2) Sélectionner une identité qui correspond à ces besoins « Geneva » Server 1) Accéder l’application et apprendre ses besoins en jeton « Geneva » Framework Token Jeton Les technologies « Geneva »
26 5) Utiliser les revendications dans le jeton Fournisseurs d’identité STS Internet Windows Live ID Autre 2) Sélectionner une identité qui correspond à ces besoins 1) Accéder l’application et apprendre ses besoins en jeton CardSpace « Geneva » Application « Geneva » Framework 4) Soumettre le jeton Jeton 3) Récupérer le jeton pour l’identité choisie Jeton Utiliser un fournisseur d’identité externe STS Browser ou Client Utilisateur
27 CardSpace « Geneva » Sélectionner les identités CardSpace « Geneva » fournit une IHM standard pour le choix d’une identité Utilise la métaphore de cartes Choisir une carte sélectionne une identité (donc un jeton)
28 Cartes d’information Derrière chaque carte que voit un utilisateur, il y a une carte d’information C’est un fichier XML qui représente une relation avec un fournisseur d’identité Il contient ce qui est nécessaire pour requérir un jeton pour une identité donnée Les cartes d’information ne contiennent pas : Les revendications pour l’identité Ce qui est nécessaire pour s’authentifier auprès du STS du fournisseur d’identité
29 Fournisseurs d’identité STS Browser ou Client CardSpace « Geneva » Carte d’information 1 Carte d’information 3 Carte d’information 2 Carte d’information 4 Cartes d’information Une illustration Utilisateur
30 Un large support de l’industrie L’Information Card Foundation est un groupe multi-fournisseur dont l’objectif est de faire de cette technologie un succès Parmi son comité directeur, on trouve Google, Microsoft, Novell, Oracle et PayPal Un site Web qui affiche cet icône standard indique qu’il est prêt à accepter des logins par l’intermédiaire de cartes
31 En résumé Les identités sont au cœur de n’importe quel métier reposant sur les femmes et les hommes de l’entreprise étendue Les technologies de PKI et d’authentification forte sont mures et il n’y a pas de raison objective d’attendre pour les mettre en place L’état va certainement avoir un rôle déterminant dans la démocratisation de ces technologies avec la carte nationale d’identité Si l’on ne veut pas mettre en place une distribution de cartes à puce, de tokens USB, etc. Il est possible de mettre en place une solution offrant un bon niveau de sécurité grâce à Cardspace et permettant de lutter efficacité contre le Phishing Cf. l’exemple de Cdiscount
32 En résumé (suite) Changer la façon dont les applications (et les utilisateurs) travaillent avec les identités ne sera pas une petite affaire… La généralisation de l’adoption des identités fondées sur des revendications prendra certainement du temps Tous les éléments permettant de faire de la notion d’identité fondée sur des revendications en environnement Windows une réalité sont en train d’arriver : Le « Geneva » Server CardSpace « Geneva » Le « Geneva » Framework Une interopérabilité réelle de « Geneva » a déjà été démontrée avec : Sun OpenSSO Novell Access Manager
33.Net Access Control Service Microsoft Federation Gateway Microsoft Service Connector Calendrier Logiciels Services « Geneva » Server Live Identity Services Octobre 2008H2 CY 2008H1 CY 2009H2 CY 2009 Beta 1 Beta 2 RTM CTP Beta RTM Beta OpenID En Production Beta 1 CTP Refresh « Geneva » Framework, CardSpace Beta 1 Beta 2 RTM Live Framework En Production RTM OpenID
34
35 © 2009 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION. Votre potentiel, notre passion TM