1 Vision de Microsoft pour l’avenir : Nouvelles formes d’authentification sécurisée et impacts sur les applications Bernard Ourghanlian Chief Technology.

Slides:



Advertisements
Présentations similaires
Les technologies décisionnelles et le portail
Advertisements

Hygiène de la messagerie chez Microsoft
« Les Mercredis du développement » Introduction Office « 12 » Présenté par Bernard Fedotoff Microsoft Regional Director Agilcom.
Comment Protéger les bases SQL avec System Center Data Protection Manager 2007.
Quelle stratégie adopter pour la recherche en Entreprise ?
Nouveautés pour les développeurs Office System Scott Burmester Responsable des programmes PSPS.
Laccès distant aux bases bibliographiques J. Gutierrez / B.Nominé – Université Nancy 2.
Les Web Services Schéma Directeur des Espaces numériques de Travail
19 septembre 2006 Tendances Logicielles IBM Rational Data Architect Un outil complet de modélisation et de conception pour SGBD Isabelle Claverie-Berge.
Personnalisation des sites SharePoint avec SharePoint Designer 2007
Microsoft Office Groove Le contexte Une utilisation des postes de travail en très grande évolution chez les professionnels. Des lieux de travail.
Implémentation de la gestion de réseau dans Windows 2000 et plus
Conception de la sécurité pour un réseau Microsoft
Vue d'ensemble Implémentation de la sécurité IPSec
LES BONNES PRATIQUES Présentation du 31 Mars 2005
La politique de Sécurité
Sécurité et confiance : De la gestion des droits d’accès à la gestion des droits d’usage
Découvrez… 30/03/2017 © Agarik.
Le Workflow et ses outils
Mitsuru FURUTA Relations techniques développeurs Microsoft France
Sécurité Informatique
Public Key Infrastructure
Santé pubic Plan catastrophe Globalisation de léconomie Agenda vert Emissions Phénomène durbanisation Population viellissante Qualité de service Enjeux.
Etude des Technologies du Web services
Une approche pour un espace de confiance des collectivités locales.
SECURITE DU SYSTEME D’INFORMATION (SSI)
Module 1 : Préparation de l'administration d'un serveur
Amélioration de la sécurité des données à l'aide de SQL Server 2005
Lutilisation de la Cloudwatt-box Emmanuel Keller, CTO OpenSearchServer.
Damien Caro Architecte Infrastructure Microsoft France
Quel serveur pour vous?.
Benjamin Soulier Technical Expert Cambridge Technology Partners Le meilleur des deux mondes - SharePoint 2010 et Azure!
Patrick Guimonet Architecte Infrastructure Microsoft France.
SSO : Single Sign On.
Module 3 : Création d'un domaine Windows 2000
Développement dapplication avec base de données Semaine 10 : WCF avec Entité Framework Automne 2013.
Office 365: Vue d’ensemble de la solution
Postes clients OLAP Fichiers XML SGBD Requêtes Analyses Reports Intégration Synchronisation Recherche Serveurs.
Stratégie d’entreprise - Alstom Transport – Marco Férrogalini
475 collaborateurs 300 formateurs CPLS Gold Certified depuis collaborateurs 300 formateurs CPLS Gold Certified depuis M€ de chiffres d’affaires.
1 Laurent BONNET Stéphane GOUDEAU Architectes en Système d’information Division Développeurs et Plateforme d’Entreprise © 2005 Microsoft Corporation Un.
Réinventez votre messagerie
Module 3 : Création d'un domaine Windows 2000
L’authentification Kerberos
Une vision pour la gestion de l’identité
Web Services 17/01/2009.
V- Identification des ordinateurs sur le réseau
Sécurité des Web Services
Introduction aux technologies des web services en Java EE
1 Quelles nouveautés pour les Communications Unifiées ? Damien Caro Architecte Infrastructure Microsoft France
1 Applications d’entreprise avec.NET 4.0 et Silverlight 4 David Rousset Mitsuru Furuta
Une heure de démonstration! Démo 1: Administration de MOSS 2007 Démo 2: Aperçu de System Center Operation Manager Démo 3: Sauvegarde/Restauration avec.
1 Eric Mittelette Eric Vernié DPE – Microsoft France.
1 Chesné Pierre
Benjamin Soulier Technical Expert Cambridge Technology Partners Les nouveautés de Windows Azure.
Créez des applications Silverlight 3 David Rousset Relations Techniques avec les développeurs Microsoft France
Phase d’étudeDéveloppement Marketing & Vente.
Création d’applications distribuées.NET Ziriad Saibi Relation technique éditeurs de logiciels Microsoft France.
1 Panorama de l'offre SaaS (Software as a Service) de Microsoft Damien Caro Architecte Infrastructure
Créez des applications Silverlight 3 David Rousset Relations Techniques avec les développeurs Microsoft France
1 Silverlight & XNA Développeurs, à vous le mobile! Pierre Cauchois - Microsoft France Relations avec les développeurs (mobiles et embarqués)
Microsoft Confidential À propos de ce support Cette présentation est conçue pour être utilisée par des agences qui souhaitent aider leurs clients à comprendre.
Enabling Grids for E-sciencE EGEE-III INFSO-RI Sécurité sur la Grille G. Philippon (LAL – CNRS ) Tutorial EGEE Utilisateur (DAKAR)
Les identités numériques dans un monde connecté Digicloud 2016 – Marrakech Ouadie TALHANI Consultant Senior Sécurité Tél.: +336.
Chapitre 8 Protection du trafic réseau à l'aide de la sécurité IPSec et de certificats Module S43.
1 Interne Orange Accédez à votre système d'information depuis votre terminal mobile Nomalys.
Proposition pour un comité composé de 9 membres
Unité 3 – On fait les courses
Carlos Oliveira Club Subaquatique du CERN
Transcription de la présentation:

1 Vision de Microsoft pour l’avenir : Nouvelles formes d’authentification sécurisée et impacts sur les applications Bernard Ourghanlian Chief Technology & Security Officer Microsoft France

2 Sécurité L’utilisateur, donc son identité, est au cœur des métiers de l’entreprise

3 Aujourd'hui, la gestion des identités pèse lourdement sur les DSI Utilisateurs Appellent le help desk pour mots de passe et demande d’accès Attendent souvent longtemps leurs accès et se plaignent… Définissent les politiques métier Développeurs Développement des règles métier Développement d’applications métier Intégration de système Mauvaises personnes Mauvais contextes Plus grande complexité Coûts plus élevés Professionnels de l’informatique Réponse aux métiers Réponse aux utilisateurs Architecture et déploiement Administration système Gouvernance et sécurité Gestion des permissions Création et suppression des comptes utilisateurs Implémentation et application de la politique

4 Changer l’équation Une bonne gestion du cycle de vie des identités offre un potentiel d’économie de : 50 $/an par PC en raison du provisionnement automatique 120 $/an par PC en raison de la synchronisation des annuaires et la gestion des mots de passe Dépense en gestion des identités et des accès Moins de dépense sur des infrastructures spécialisées Meilleure productivité des utilisateurs Equipe informatique focalisée sur la création de valeur pour les métiers Moins de dépense en services Personnel IT 45 % S/W 10% Intégration de système 45 % TCO ROI 2007

5 Règles et politiques métier Permissions Appartenance à des groupes et des rôles Listes de distribution Mots de passe et PIN Aligner les expériences utilisateurs en fonction des rôles Architecture Déploiement Administration système Gouvernance Sécurité Intégration système et application Développement d’applications métier Utilisateur s AccèsCréances Politique Professionnels de l’informatique Utilisateurs Développeurs Ajouter Mettre à jour Révoquer Auditer

6 Nouvel utilisateur Création du User ID Emission des créances Droits Changement utilisateur Changements de droits Promotions Transferts Help Desk Perte des créances Reset du mot de passe Nouveaux droits Retirer l’utilisateur Supprimer les comptes Supprimer les droits Rapports Conformité Audit Sécurité Intégration Workflow Self-service Kiosque pour mot de passe Identité Nouveaux droits Gestion du cycle de vie des identités

7 Bénéfices de la gestion du cycle de vie des identités Réduire les risques Amélioration de l’efficacité opérationnelle Augmenter la valeur pour les métiers Assurer que seuls les utilisateurs autorisés peuvent accéder les ressources Identifier et gérer les comptes orphelins Implémenter et gérer une authentification forte Automatisation, réduction et simplification des processus manuels Réduction de la complexité de la gestion de plusieurs référentiels Améliorer la productivité des utilisateurs à travers une meilleure expérience utilisateur Libérer les ressources IT pour les focaliser sur la valeur ajoutée Gérer le lien avec les clients et les partenaires Améliorer la conformité Provisionner les comptes en accord avec la politique de sécurité Etablir un processus auditable pour gérer les identités

8 Le support d'une PKI en environnement Windows Un investissement stratégique pour Microsoft depuis plus de 10 ans Windows 2000, Windows 2003, Windows 2008 et maintenant Windows 7 et Windows Server 2008 R2 Intégration transparente avec votre infrastructure informatique Côté serveur évidemment Mais aussi côté client : interface homme – machine, possibilité de faire un reset de son code PIN directement depuis l’interface de logon,…

9 Quelques grandes tendances en matière de PKI Les Etats : les plus grands émetteurs de certificats !!! Télé-déclaration d’impôts Arrivée prochaine de la carte nationale d’identité électronique Les PME ont elles-aussi besoin d’une solution de PKI Les entreprises ont besoin du support d’environnements hétérogènes Les applications utilisent les certificats comme des jetons d’autorisation (courte période de validité) Extension de l’usage des certificats X.509 Certificats Extended Validation (EV) Evolution du chiffrement avec le support des algorithmes utilisant les courbes elliptiques

10 PKIPKI Les investissements de Windows 7 Enrôlement fondé sur HTTP Consolidation de serveurs Amélioration des scénarios existants Authentification forte

11 Consolidation de serveurs Nouveaux scénarios de PKI utilisant des certificats d’une durée de vie courte Contrôle de l’état de santé du poste - Network Access Protection (NAP) Certificats de signature OCSP (Online Certificate Status Protocol) Support d’un enrôlement cross-forêts Consolidation de serveurs

12 Amélioration des scénarios existants Nouveaux gabarits de certificats, possibilité de marquer une CA racine d’entreprise comme EV Best Practice Analyzer Amélioration de l’IHM Amélioration des scénarios existants Windows Vista Windows 7

13 Enrôlement fondé sur HTTP Permettre la mise en place de nouveaux scénarios qui tirent partie du client de PKI natif Windows 1. Certificats émis par une autorité de certification publique 2. Emission au-delà des frontières des entreprises Scénario de partenariat 3. Emission vers des machines qui ne font pas partie d’un domaine Windows 4. Emission B2C Ma banque me fournit des certificats 5. Et plus encore… Enrôlement fondé sur HTTP

14 Authentification forte Biométrie Nouvelle plateforme pour les périphériques biométriques Pour l’instant focalisée sur les scénarios d’authentification à base d’empreintes pour le marché consommateur Nouveau modèle de pilote et la base d’un futur programme de certification – Partenariat avec les principaux fournisseurs Support de 100 % des portables en entreprise et de 60 % des portables à la maison Expérience utilisateur intégrée Logon Windows, local et domaine Découverte automatique du périphérique et de ses fonctionnalités Gestion d’entreprise Application de la politique de sécurité Authentification forte

15 Authentification forte Carte à puce Support du plug & play pour les cartes à puce Installation du pilote à travers Windows Update et WSUS/SUS Installation avant le logon pour des non administrateurs Amélioration du cadre de support des cartes à puce Amélioration du déverrouillage des cartes à puce utilisant la biométrie Support des algorithmes à courbes elliptiques Authentification forte

16 Mais qu’en est-il des applications ?…

17 Le problème… Travailler avec les identités est devenu trop difficile Les applications doivent utiliser différentes technologies d’identité dans différentes situations Active Directory (Kerberos) au sein d’un domaine Windows Username/Password sur l’Internet WS-Federation et le Security Assertion Markup Language (SAML) entre les organisations … Pourquoi ne pas enfin définir une approche qui puisse être utilisée dans tous ces cas ? La notion d’identité fondée sur des revendications permet d’atteindre un tel objectif Cela peut rendre la vie des développeurs d’applications et des RSSI considérablement plus simple

18 Jeton Signature Exemples de revendications NomGroupeAge Revendication 1 Revendication 2... Revendication n Revendication 3 Jetons et revendications Représenter une identité sur le réseau Un jeton est un ensemble d’octets qui permet d’exprimer une information à propos d’une identité Cette information consiste en un ou plusieurs revendications Chaque revendication contient de l’information au sujet de l’entité à laquelle ce jeton s’applique Indique qui a créé ce jeton et le protège contre les modifications

19 Fournisseurs d’identité et STS Un fournisseur d’identité est une autorité qui fait des revendications au sujet d’une entité Les fournisseurs d’identité classiques aujourd’hui Dans votre réseau : votre employeur Sur l’Internet : le plus souvent, vous Un fournisseur d’identité implémente un Security Token Service (STS) C’est du logiciel qui émet des jetons Les demandes de jetons sont effectuées à l’aide du protocole standard WS-Trust On peut utiliser de nombreux formats de jeton Le format SAML devient de plus en plus populaire

20 Fournisseur d’identité Compte/ Stockage d’attributs Security Token Service (STS) 2) Obtenir l’information 1) Authentifier et demander un jeton 3) Créer et retourner un jeton Jeton Browser ou Client Utilisateur Récupérer un jeton Illustration d’un fournisseur d’identité et d’un STS

21 4) Utiliser les revendications du jeton Browser ou Client Utilisateur Fournisseur d’identité Acquérir et utiliser un jeton 1) Obtenir jeton Jeton 2) Soumettre jeton Jeton Liste de STS de confiance Application 3) Vérifier la signature du jeton et que ce STS est de confiance Librairie d’identité STS

22 Pourquoi les revendications constituent-elles une amélioration ? Aujourd’hui, une application récupère typiquement une seule information d’identité simple Telle qu’un nom d’utilisateur Pour en avoir davantage, une application doit interroger Une base de données distante telle qu’un service d’annuaire Une base de données locale Avec une identité fondée sur des revendications, chaque application peut demander exactement les revendications dont elle a besoin Le STS les place dans le jeton qu’il crée

23 Comment les applications peuvent- elles utiliser les revendications ? Quelques exemples Une revendication peut identifier un utilisateur Une revendication peut véhiculer l’appartenance à un groupe ou à un rôle Une revendication peut transporter des informations de personnalisation Telle que le display name de l’utilisateur Une revendication peut donner ou dénier le droit de faire quelque chose Tel que l’accès à une information particulière ou l’invocation de méthodes spécifiques Une revendication peut limiter le droit de faire quelque chose Telle que la limite d’achat d’un utilisateur

24 5) Utiliser les revendications dans le jeton Utilisateur Application Fournisseurs d’identité STS Sélecteur d’identité 1) Accéder l’application et apprendre ses besoins en jeton 2) Sélectionner une identité qui correspond à ces besoins 3) Récupérer le jeton pour l’identité choisie Jeton 4) Soumettre le jeton Jeton Supporter des identités multiples Utiliser un sélecteur d’identité Librairie d’identité Browser ou Client STS

25 5) Utiliser les revendications dans le jeton CardSpace « Geneva » Browser ou Client Utilisateur 4) Soumettre le jeton Application Fournisseurs d’identité STS 3) Récupérer le jeton pour l’identité choisie STS 2) Sélectionner une identité qui correspond à ces besoins « Geneva » Server 1) Accéder l’application et apprendre ses besoins en jeton « Geneva » Framework Token Jeton Les technologies « Geneva »

26 5) Utiliser les revendications dans le jeton Fournisseurs d’identité STS Internet Windows Live ID Autre 2) Sélectionner une identité qui correspond à ces besoins 1) Accéder l’application et apprendre ses besoins en jeton CardSpace « Geneva » Application « Geneva » Framework 4) Soumettre le jeton Jeton 3) Récupérer le jeton pour l’identité choisie Jeton Utiliser un fournisseur d’identité externe STS Browser ou Client Utilisateur

27 CardSpace « Geneva » Sélectionner les identités CardSpace « Geneva » fournit une IHM standard pour le choix d’une identité Utilise la métaphore de cartes Choisir une carte sélectionne une identité (donc un jeton)

28 Cartes d’information Derrière chaque carte que voit un utilisateur, il y a une carte d’information C’est un fichier XML qui représente une relation avec un fournisseur d’identité Il contient ce qui est nécessaire pour requérir un jeton pour une identité donnée Les cartes d’information ne contiennent pas : Les revendications pour l’identité Ce qui est nécessaire pour s’authentifier auprès du STS du fournisseur d’identité

29 Fournisseurs d’identité STS Browser ou Client CardSpace « Geneva » Carte d’information 1 Carte d’information 3 Carte d’information 2 Carte d’information 4 Cartes d’information Une illustration Utilisateur

30 Un large support de l’industrie L’Information Card Foundation est un groupe multi-fournisseur dont l’objectif est de faire de cette technologie un succès Parmi son comité directeur, on trouve Google, Microsoft, Novell, Oracle et PayPal Un site Web qui affiche cet icône standard indique qu’il est prêt à accepter des logins par l’intermédiaire de cartes

31 En résumé Les identités sont au cœur de n’importe quel métier reposant sur les femmes et les hommes de l’entreprise étendue Les technologies de PKI et d’authentification forte sont mures et il n’y a pas de raison objective d’attendre pour les mettre en place L’état va certainement avoir un rôle déterminant dans la démocratisation de ces technologies avec la carte nationale d’identité Si l’on ne veut pas mettre en place une distribution de cartes à puce, de tokens USB, etc. Il est possible de mettre en place une solution offrant un bon niveau de sécurité grâce à Cardspace et permettant de lutter efficacité contre le Phishing Cf. l’exemple de Cdiscount

32 En résumé (suite) Changer la façon dont les applications (et les utilisateurs) travaillent avec les identités ne sera pas une petite affaire… La généralisation de l’adoption des identités fondées sur des revendications prendra certainement du temps Tous les éléments permettant de faire de la notion d’identité fondée sur des revendications en environnement Windows une réalité sont en train d’arriver : Le « Geneva » Server CardSpace « Geneva » Le « Geneva » Framework Une interopérabilité réelle de « Geneva » a déjà été démontrée avec : Sun OpenSSO Novell Access Manager

33.Net Access Control Service Microsoft Federation Gateway Microsoft Service Connector Calendrier Logiciels Services « Geneva » Server Live Identity Services Octobre 2008H2 CY 2008H1 CY 2009H2 CY 2009 Beta 1 Beta 2 RTM CTP Beta RTM Beta OpenID En Production Beta 1 CTP Refresh « Geneva » Framework, CardSpace Beta 1 Beta 2 RTM Live Framework En Production RTM OpenID

34

35 © 2009 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION. Votre potentiel, notre passion TM