GGeessttiioonn ddeess iiddeennttiittééss · Kerberos Protocole d’auth. natif de Windows MIT v5...
Transcript of GGeessttiioonn ddeess iiddeennttiittééss · Kerberos Protocole d’auth. natif de Windows MIT v5...
ChristianChristian--Pierre BelinPierre BelinArchitecteArchitecteMicrosoft FranceMicrosoft France
Gestion des identitésGestion des identitésGestion des identités
La gestion des identitésLa gestion des identitésLe périmètre et les rôlesLe périmètre et les rôles
Le fait d’authentifier les codes confidentiels et Le fait d’authentifier les codes confidentiels et de contrôler les accès aux ressources ende contrôler les accès aux ressources enfonction de critères de confiance oufonction de critères de confiance oud’informations d’identitésd’informations d’identités
Point de stockage et d’administration des Point de stockage et d’administration des comptes, des informations d’identités et des comptes, des informations d’identités et des codes confidentielscodes confidentiels
L’ensemble des processus utilisés pour créer, L’ensemble des processus utilisés pour créer, supprimer ou gérer les informations d’identités, supprimer ou gérer les informations d’identités, en conformité avec une politique centraleen conformité avec une politique centrale
Servicesd’annuaire
Gestiondes accès
Gestiondu cycle de vie
des identités
Solutions de gestion des identités deSolutions de gestion des identités deMicrosoftMicrosoft
Services d’annuaire:Services d’annuaire:Active DirectoryActive Directorycomme annuaire d’infrastructurecomme annuaire d’infrastructureADAMADAM comme annuaire applicatif (LDAP)comme annuaire applicatif (LDAP)
Gestion du cycle de vie des identités:Gestion du cycle de vie des identités:MicrosoftMicrosoft IdentityIdentity IntegrationIntegration Server (MIIS)Server (MIIS)
Gestion des accès:Gestion des accès:Windows SSOWindows SSOÉvolutionsÉvolutions
••Account InformationAccount Information••PrivilegesPrivileges••ProfilesProfiles••PoliciesPolicies••Single SignSingle Sign--OnOn
Windows Users
••Network ResourcesNetwork Resources••File SharesFile Shares••PrintersPrinters••PoliciesPolicies
Windows Servers
••ConfigurationConfiguration••SecuritySecurity••QuarantineQuarantine••PoliciesPolicies
Windows Clients
••DirectoriesDirectories••DatabasesDatabases••MainframesMainframes••UNIXUNIX
Other Systems
••Product InformationProduct Information••PrivilegesPrivileges••ProfilesProfiles••PoliciesPolicies••Automated deploymentAutomated deployment
Microsoft Products••ConfigurationConfiguration••Quality of ServiceQuality of Service••Security PoliciesSecurity Policies••Single SignSingle Sign--OnOn
Network Devices
••ConfigurationConfiguration••Security PolicySecurity Policy••VPN & Remote AccessVPN & Remote Access••QuarantineQuarantine••Single SignSingle Sign--OnOn
Firewall Services
••Single SignSingle Sign--OnOn••Automated deploymentAutomated deployment••ConfigurationConfiguration••AppApp--specific directory dataspecific directory data
3rd Party Applications
••Operational EfficiencyOperational Efficiency••Improved SecurityImproved Security••Improved ProductivityImproved Productivity••InteroperabilityInteroperability
Active Directory
Active DirectoryActive DirectoryLa fondation pour la gestion des identitésLa fondation pour la gestion des identités
Point central pour l’administration des utilisateurs et du résePoint central pour l’administration des utilisateurs et du réseauauRéférentiel de sécurité pour la sécurité du réseau et des appliRéférentiel de sécurité pour la sécurité du réseau et des applicationscationsArchitecture d’intégration possible pour les applicationsArchitecture d’intégration possible pour les applications
Servicesd’annuaire
Active DirectoryActive Directory
Annuaire LDAPAnnuaire LDAPSchéma, DIT, Domaines, notion de sitesSchéma, DIT, Domaines, notion de sitesDonnées utilisateur et données de serviceDonnées utilisateur et données de serviceRéplication multi maître (Optimisation pour les WAN & LAN)Réplication multi maître (Optimisation pour les WAN & LAN)ACLsACLs, Groupes, rôle de catalogue global, Groupes, rôle de catalogue global
Annuaire d’infrastructureAnnuaire d’infrastructureServiceService KerberosKerberos, relations d’approbations, relations d’approbationsIntégration aux services DNS, DHCP, WINSIntégration aux services DNS, DHCP, WINSRôle de contrôleur de domaineRôle de contrôleur de domaineGestion des services de fichier et d’impressionGestion des services de fichier et d’impressionStratégies de groupeStratégies de groupe
Servicesd’annuaire
DSADSA
LDAPLDAP REPLREPL
SecureSecureAuthNAuthN
MAPIMAPI AuthNAuthN SSOSSO
DNSDNS PolicyPolicy
ADAMADAMActive Directory in Application ModeActive Directory in Application Mode
Annuaire LDAPAnnuaire LDAPPlus performant qu’AD, plus flexiblePlus performant qu’AD, plus flexible
Schéma, DIT, Domaines, notion de sitesSchéma, DIT, Domaines, notion de sitesDonnées utilisateur et données de service (Données utilisateur et données de service (inetOrgPersoninetOrgPerson))Réplication multi maître (Optimisation pour les WAN & LAN)Réplication multi maître (Optimisation pour les WAN & LAN)ACLsACLs, Groupes, rôle de catalogue global, Groupes, rôle de catalogue globalProxyProxy bindbind vers AD (SSO)vers AD (SSO)
Aucune fonctionnalités d’annuaire d’infrastructureAucune fonctionnalités d’annuaire d’infrastructurePas dePas de KerberosKerberosni de relations d’approbationsni de relations d’approbationsAucune intégration aux services DNS, DHCP, WINSAucune intégration aux services DNS, DHCP, WINSPas d’empreinte sur le serveurPas d’empreinte sur le serveurPas de stratégies de groupePas de stratégies de groupe
Servicesd’annuaire
DSADSA
LDAPLDAP REPLREPL
AnnuaireAnnuaire d’infrastructured’infrastructure AnnuaireAnnuaire applicatifapplicatif
TypesTypes d’annuairesd’annuaires
Novell eNovell e--DirectoryDirectoryMicrosoft ActiveMicrosoft ActiveDirectoryDirectory
IBM Directory ServerIBM Directory ServerSunONESunONE DirectoryDirectoryServerServerCritical PathCritical Path InjoinInjoinSiemensSiemens DirXDirXMicrosoft AD/AMMicrosoft AD/AM
DSADSA
LDAPLDAP REPLREPL
SecureSecureAuthNAuthN
MAPIMAPI AuthNAuthN SSOSSO
DNSDNS PolicyPolicy
DSADSA
LDAPLDAP REPLREPL
Servicesd’annuaire
AnnuaireAnnuaire d’infrastructured’infrastructure AnnuaireAnnuaire applicatifapplicatif
IntégrationIntégration NativeNative
TypesTypes d’annuaired’annuaire
Novell eNovell e--DirectoryDirectoryMicrosoft ActiveMicrosoft ActiveDirectoryDirectory
IBM Directory ServerIBM Directory ServerSunONESunONE DirectoryDirectoryServerServerCritical PathCritical Path InjoinInjoinSiemensSiemens DirXDirXMicrosoft AD/AMMicrosoft AD/AM
DSADSA
LDAPLDAP REPLREPL
SecureSecureAuthNAuthN
MAPIMAPI AuthNAuthN SSOSSO
DNSDNS PolicyPolicy
DSADSA
LDAPLDAP REPLREPL
Servicesd’annuaire
Création des identités- Création d’un user ID- Affectation d’un code privé- Droits d’accès
Modification des identités- Promotions- Mutation- Nouveaux droits/privilèges- Modification d’attributs
Gestion des motsde passe- Mots de passe fort- Mots de passe perdus- Reset des mots de passe
Terminaison des identités- Suppression/désactivation des comptes- Suppression/désactivation des accès
MIISMIISGestion du cycle de vie des identitésGestion du cycle de vie des identités
Gestiondu cycle de vie
des identités
AmAmééliore la sliore la séécuritcuritéé
MIISMIISGestion du cycle de vie des identitésGestion du cycle de vie des identités
Solution extensibleSolution extensible
Vers la fVers la fééddéérationrationdd’’identitidentitéé et le SSOet le SSO
RRééduit les coduit les coûûts etts etles dles déélaislais
IntIntéégration des rgration des rééfféérentiels du SIrentiels du SI (meta(metadirectory)directory)
Expose une vue unifiExpose une vue unifiéée des informations de des informations d’’identitidentitéé dansdansll’’entrepriseentrepriseSupporte un trSupporte un trèès large nombre de sources distantess large nombre de sources distantesDDéétection des changements et synchronisationtection des changements et synchronisationArchitecture non intrusiveArchitecture non intrusiveMoteur basMoteur baséé sur la technologie SQLsur la technologie SQL
ProvisioningProvisioningAutomatise lesAutomatise les processprocess de crde crééation/suppression desation/suppression descomptescomptesWorkflowWorkflow
Gestion des mots de passeGestion des mots de passeChangement des mots de passeChangement des mots de passeen Self Serviceen Self ServiceApplication de reset pour leApplication de reset pour le HelpDeskHelpDeskSolution extensibleSolution extensibleSynchronisation des mots de passe depuis ADSynchronisation des mots de passe depuis AD
Gestiondu cycle de vie
des identités
Import des entrées depuis le référentiel maîtreImport des entrées depuis le référentiel maîtreEnrichissement à partir des autres sourcesEnrichissement à partir des autres sourcesConsolidation dans un annuaire cibleConsolidation dans un annuaire cibleMise à disposition d’une interface deMise à disposition d’une interface de
ConsultationConsultationGestion des donnéesGestion des données
ApplicationsApplicationsPagesPages JaunesJaunes/Blanches/BlanchesPortailPortailApplication métierApplication métierExtranet ClientExtranet ClientSingle SignSingle Sign--OnOn
ActiveActiveDirectoryDirectory
PABXPABX
MIIS 2003MIIS 2003Scénario d’utilisation Scénario d’utilisation -- Meta Annuaire traditionnelMeta Annuaire traditionnel
AnnuaireAnnuaire
Gestiondu cycle de vie
des identités
SingleSingle SignSign--On basé sur Active DirectoryOn basé sur Active Directory
ActiveDirectory
w/ IntegratedKerberos KDC
Logon Windows
Single Sign-on vers: Serveurs de fichiers Windows Serveur SQL & Exchange email Web Applications Les applications 3rd Partie intégrées (ci-
dessus) Les OS Unix / Linux OS et les applications
intégrées
ExchangeExchange
Applications WebApplications Web
ServeursServeursdede fichiersfichiers
Applications WindowsApplications Windowsintégréesintégrées
Kerberos Protocole d’auth. natif de Windows MIT v5 Compliant Informations d’autorisation contenues dans le PAC Le Windows PAC est ouvert
Services & applications qui utilisent Kerberos Login, rlogin, telnet, ftp
Mais aussi Apache, J2EE… Solution partenaire: Vintela
AccessMaster…
Unix / Linux HostsUnix / Linux HostsOracle, SAP, etc.Oracle, SAP, etc.
Kerberos Ticket
Kerberos Ticket
Gestiondes accès
Objectif, étendre la valeur de l’AD au WebObjectif, étendre la valeur de l’AD au WebSolution de SingleSolution de Single SignSign On pour le WebOn pour le WebLivrée avec Windows Server 2003 R2Livrée avec Windows Server 2003 R2
Interopérabilité avec les autres systèmesInteropérabilité avec les autres systèmes& solutions& solutions
Bâtie sur les spécifications WSBâtie sur les spécifications WS--**Support de multiples jetons de sécuritéSupport de multiples jetons de sécurité
Scénario clésScénario clésB2B fédération d’identitéB2B fédération d’identitéB2C Web SSOB2C Web SSO
Intégration RBACIntégration RBACRéutilisation du modèle de gestion des accèsRéutilisation du modèle de gestion des accèspar rôles, Autorisation Manager (par rôles, Autorisation Manager (AzmanAzman))
ÉvolutionsÉvolutionsVers le Web SSO, ADFSVers le Web SSO, ADFS
FSFSProxyProxy
FederationFederationServiceService
LDAPLDAPStoreStore
Active DirectoryActive Directory
AuthorizationAuthorizationManagerManager
BrowserBrowser
SmartSmart
Gestiondes accès
Bull et MicrosoftBull et Microsoft partenairespartenairespour lpour leses solutionssolutions Windows Server 2003Windows Server 2003
Collaboration technologique de Bull avec Microsoft R&D à Redmond•Microsoft Windows Server 2003, SQL Server 2005 (Yukon)•Trois serveurs Bull NovaScale 16-32 processeurs à Redmond
Centre de Support Windows Server 2003 Datacenter Edition•Centre Haute Disponibilité Européen (Nantes)•Centre de Compétences Européen (Paris)
Centre de Services•Offre de Services de Conseil, Integration et Infogerance•Benchmark, support et optimisation de Windows Server 2003•Centre de formation et certification Microsoft (Gold Certified Partner)
pour lpour leses solutions IAMsolutions IAMAnnuaires : AccessMaster utilise Active directory comme source d’autorité
IAM : AccessMaster solution de SSO et de provisionnement,complément de MIIS pour les environnements hétérogènes
Fédération : AccessMaster utilise notamment l’infrastructure Microsoftl’authentification kerbeiros, la CA, …