1 / 72

Session 2: « Comment renforcer la Gestion des Identités »

Session 2: « Comment renforcer la Gestion des Identités ». Comment Quest Software étend et complète les solutions Microsoft de gestion d’identité et de contrôle d’accès au sein de l’entreprise Au-delà des frontières de l’entreprise

fai
Download Presentation

Session 2: « Comment renforcer la Gestion des Identités »

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Session 2: « Comment renforcer la Gestion des Identités » • Comment Quest Software étend et complète les solutions Microsoft de gestiond’identité et de contrôle d’accès au sein de l’entreprise • Au-delà des frontières de l’entreprise • Comment Gemalto sécurise les identités dans l’environnement Microsoft

  2. 1ère session (juin) : « Qu’est-ce que la Gestion des Identités » Pour visionner et écouter la présentation: http://www.microsoft.com/france/interop/

  3. N°2 Regis ALIX System Consultant Quest Software

  4. Les défis des environnements hétérogènes • Mise en conformité • Securité • IDs/Logins Multiples • Complexité • Trop d’annuaires • Trop de mécanismes d’authentification • Cher à maintenir • Difficile à gérer • Inefficace

  5. Situation: Votre environnement est un mix de systèmes divers disposant d’annuaires multiples, d’environnements de stockage d’identités et de mécanismes d’authentification

  6. Active Directory simplifie la situation pour les systèmes Windows • Mais pour les environnements non-Windows, les annuaires et authentifications doivent être administrés de manière séparée • Annuaires Multiples • Identités Multiples • Logins Multiples • Non-sécurisé

  7. Quest permet l’intégration des identités disparates Unix/Linux/Java en un seul environnement Active Directory sécurisé

  8. Puis, Quest aide à l’administrationdes environnements intégrés et augmente l’efficacité de la gestion via le provisionnement et déprovisionnement des utilisateurs

  9. Renforcement des sécurités Grâce à une gestion forte des mots de passe pour tous les systèmes

  10. Et, adresser les besoins de mise en conformité en offrant l’audit et la génération de rapports pour toutes les activités relatives aux identités sur l’environnement intégré

  11. Microsoft Exchange Home Folders & Resource Access ApplicationsAccess Users Groups Computers Active Directory & ADAM SSO SQL Mid-Range & Main Frame Applications & Databases MMC/Browser SQL Directories ActiveRoles providesADSI/SPML/PowerShell ActiveRolesServer InTrust &Reporter Password Manager Vintela ADFS Microsoft MIIS SQL Une seule infrastructure technique Smart Cards Intra/Inter/Extranet 12

  12. Une seule infrastructure technique, cela signifie • Une seule identité • Un seul compte • Une seule SmartCard quel que soit le client utilisé • Une sécurité d’authentification accrue • Une traçabilité améliorée…

  13. N°2 L’authentification forte des systèmes hétérogènes : Vintela Authentication Services

  14. Les utilisateurs disposent du même compte et mot de passe pour leur connexion à Windows et Unix Pourquoi VAS ? Unifie l’authentification et la gestion des identitésen utilisant Active Directory Windows

  15. Que propose VAS ? • VAS intègre les plateformes Unix et Linux dans Active Directory en offrant un accès sécurisé et une authentification unique pour les environnements Windows, Unix et Linux • VAS crée une zone de confiance pour les tâches d’authentification des utilisateurs et groupes Unix/Linux dans les environnements multi-domaines • VAS offre la discipline et les contrôles nécessaires permettant d’assurer les besoins de sécurité et d’intégrité des environnements

  16. VAS : le fonctionnement MMC Users and Computers Snapin WINDOWS 2000/2003 Enterprise Server Windows Desktops Active Directory Kerberos/LDAP Vintela Authentication Services Snapin Extension AuthenticationAuthorization Kerberos/LDAP Vintela Authentication Services Unix Client Library Caching Daemon PAM NSS YPSERV Kerberos/LDAP YPBIND (NIS) PAM NSS Unix System Authentication & Identity API UNIX SYSTEMS

  17. Comment VAS fonctionne ? • Installer les composants VAS sur une machine Windows • Compatible RFC 2307 • Extension du snap-in MMC • Installer le client VAS pour Unix / Linux • Rattacher (Joindre) la machine Unix au domaine 18

  18. Gérer les utilisateurs et groupes AD Gérer les comptes AD Renforcer vos règles de gestion de AD Comment VAS fonctionne ? 19

  19. Intégration d’Unix/Linux dans AD • Implémentation native du standard Kerberos • Unique et spécifique à chaque OS • Intégrée avec les méchanismes PAM et NSS natifs aux OS UNIX / Linux • Pas d’infrastructure additionnelle • Une seule identité (ticket Kerberos) pour les mondes Windows, Unix et Linux • Intégration et non synchronisation • Fonctionne sans problème avec des solutions existantes de gestion d’identité (Meta annuaire..)

  20. Les systèmes UNIX / Linus intégrés à l’AD • Elimine les UIDs, GIDs et mots de passe multiples UIDs, GIDs • Applique les niveaux de sécurité et de conformité d’AD aux Unix/Linux • Transforme les stratégies de Groupe Windows en Stratégies d’Entreprise • Rend possible le « Single sign-on »

  21. De nombreuses plateformes supportées : …..

  22. Single Sign-on • Unix et Linux OS • SAP • DB2 • Oracle • Application s’appuyant sur l’authentication système • Toute application compatible GSSAPI • J2EE • Samba • PuTTY • De nombreuses autres à venir….

  23. Avantages de VAS • Gestion centralisée des utilisateurs et des groupes Windows, UNIX et Linux dans l’Active Directory • Authentification et autorisation temps réels pour des accès sécurisés au travers de plateformes mixtes. • Extension des stratégies de mot de passe AD aux environnements UNIX et Linux • Solution de migration NIS vers AD et etc/passwd vers AD • Utilise le schéma AD de Windows Server 2003 “R2” • Authentification rendue possible via SmartCard pour UNIX et Linux • RFC 4556: Public Key Cryptography for Initial Authentication in Kerberos (PKINIT)

  24. Microsoft Identity Lifecycle Management (ILM) 2007 • Un des solutions de gestion d’identité et de contrôle d’accès de Microsoft • http://www.microsoft.com/identity • Assure • La gestion du cycle de vie des identités • 1ère session (juin) : « Qu’est-ce que la Gestion des Identités » • La gestion intégrée pour le déploiement des certificats X.509 et des cartes à puces

  25. Microsoft Identity Lifecycle Management (ILM) 2007 • Gestion complète du cycle de vie des certificats X.509v3 et des cartes à puce associés aux identités de l’entreprise • Emission / renouvellement / remplacement / révocation des certificats • Emission / remplacement / retrait /désactivation de cartes à puce • Emission de cartes temporaires / duplication de cartes à puce • Personnalisation de cartes à puces y compris impression • Définition de politiques pour les workflows de gestion / la collecte de données et l’impression de documents • Support des scénarios centralisés et libre-service • Capacités de requêtes et d’approbations déléguées pour les environnements distribués • Gestion des PIN (activation et déblocage) • Inventaire des cartes à puce • Audit et rapport détaillé sur l’ensemble des activités du cycle de vie des certificats et des cartes

  26. Modèle de profil ILM • Elément central de l’ensemble des activités de gestion et des workflows associés Modèle de profil Enrôlement Etc. Renouvellement Gabarit(s) de certificat Workflow Workflow Workflow … Libre-service Libre-service Libre-service Collection de données Collection de données Collection de données Politiques de gestion Information Carte à puce (si nécessaire)

  27. N°2 Démonstration

  28. Traçabilité des accès N°2 29

  29. La conformité réglementaire: un nouveau défi pour les directions informatiques La mise en oeuvre de solutions de contrôle des systèmes, des personnes et des procédures est devenu un axe stratégique ces dernières années. • Directives internes • Amélioration de la sécurité • Traçabilité des procédures • Suivi des changements • … • Obligations réglementaires • Sarbanes-Oxley • Bâle II • OMB A-123 • …

  30. Les objectifs du contrôle des accès • Authentification : confirmer l’identité d’un utilisateur par un processus d’identification sécurisé ou un autre mécanisme • Gestion des comptes utilisateurs : éviter l’octroi d’autorisations d’accès inappropriées à des données ou des systèmes confidentiels en optimisant les procédures de gestion des utilisateurs • Gestion centralisée • Séparation des tâches et des responsabilités • Renforcement des politiques de sécurité à l’échelle de l’entreprise • Administration des droits d’accès : détecter les autorisations d’accès anormales • Contrôle des accès aux systèmes : être alerté de toute tentative d’accès non-autorisée ou dangereuse • Alerte en temps réel sur des événements spécifiques

  31. Les solutions Quest de contrôle des accès

  32. Les solutions Quest de contrôle des accès

  33. Les objectifs de la gestion du changement • Gestion et contrôle des procédures : s’assurer que les mises à jour et les nouvelles versions mises en production sont conformes, en contrôlant le processus de gestion du changement depuis la demande jusqu’au déploiement • Maîtrise des déploiements : garantir que les mises à jour sont bien appliquées aux systèmes prévus et au moment où cela a été planifié • Détection des changements non autorisés : identifier les changements non autorisés, non documentés ou dont la mise en œuvre peut poser problème • Historisation et traçabilité des changements : disposer d’un historique complet de tous les changements survenus • Retour en arrière (rollback) : corriger les effets d’une modification non autorisée ou se révélant problématique au moment de la mise en production

  34. Les solutions Quest de gestion du changement

  35. Les solutions Quest de gestion du changement

  36. Quest Intrust

  37. Principales fonctionnalités : • Automatise la collecte les journaux des environnements hétérogènes • Collecte et analyse intelligemment les activités des utilisateurs et des administrateurs • Détecte les événements sortant du cadre de l’activité “standard” • Empêche la destruction malveillante ou accidentelles des journaux • Compresse fortement les données à conserver sur une longue période pour préserver l’espace de stockage • Envoi d’alertes en temps réels (possibilité d’utiliser la console de MOM / SCOM pour gérer ces alertes) • Génère des rapports dans de multiples formats standards (doc, xls, pdf, csv, txt, htm….) • Simple à installer, configurer et déployer via des assistants explicites

  38. Les Plug Ins d’Intrust • Intrust for Active Directory : génère des informations complémentaires aux journaux natifs de Windows permettant de déterminer précisément : qui fait quoi sur l’Active Directory. Il permet également de prévenir la suppression / modification accidentelle ou malveillante d’objets Active Directory

  39. Les Plug Ins d’Intrust • Intrust for Exchange : Génère des informations d’audit sur l’activité des utilisateurs / administrateurs sur l’environnement Exchange.Il permet de déterminer qui a envoyé un message depuis une boite aux lettres ouverte via délégation ou encore qui a supprimé un message dans cette boite aux lettres ou qui a modifié les permissions d’accès…..

  40. Les Plug Ins d’Intrust • Intrust for File Access : Audit l’activité des utilisateurs / administrateurs sur les systèmes de fichiers sans utiliser les fonctions d’audit native de Windows.Permet de savoir à tout moment qui a accédé, modifié ou supprimé un fichier ou ses permissions.

  41. N°2 Au-delà des frontières de l’entreprise AD FS,L’expérience Web SSO (fédéré) multiplateforme Applications Java avec QUEST VSJ

  42. Active Directory Federation Services (AD FS) • Composante de Windows Server 2003 R2 • Permettre la mise en place de solutions de Web SSO, de fédération d’identité ainsi qu’une gestion simplifiée des identités • Projeter l’identité utilisateur sur la base d’une première ouverture de session • Etendre le périmètre d’utilisation d’Active Directory • Fournir des mécanismes d’authentification et d’autorisation distribués • Permettre aux clients, partenaires, fournisseurs, collaborateurs un accès sécurisé et contrôlé aux applications web situées hors de leur forêt Active Directory • Connecter les « îles » ( à travers les frontières des plateformes, organisationnelles ou de sécurité)

  43. Gestion fédérée d’identité AD FS • « Projette » les identités Active Directory dans d’autres royaumes de sécurité Fournisseur de compte Fournisseur de ressources Fédération FS-A FS-R • Émission de jetons de sécurité • Gestion de • la confiance – Clés • la sécurité – Jetons/Claims nécessaires • la confidentialité -- Jetons/Claims autorisés • l’audit -- Identités , autorités Espace de noms privé A. Datum Corp. Espace de noms privé Trey Research, Inc.

  44. Protocole et interopérabilité d’AD FS AD FS s’appuie sur le Web Services Federation Language - Passive Requestor Profile (PRP) Un des profils de la pile de spécification/protocoles WS- Sur cette base, AD FS est interopérable avec les solution d’identité du marché (fournisseurs de compte/de ressources) IBM Tivoli Federated Identity Manager BMC Universal Identity Federator CA eTrust Siteminder 6 SP5 Oracle Identity Federation Ping Identity PingFederate Symlabs Federated Identity Access Manager Version3 Enhanced Authentication Edition Shibboleth System 1.3 code drop En cours Novell Access Manager 3.1 Sun Access Manager et Federation Manager (après Access Manager 7.1)

  45. Agent AD FS pour plateformes tierces -QUEST VSJ (Vintela Single-Sign-On for Java) • Pour interopérer avec AD FS pour les serveurs Web non Microsoft: • Nécessite le support de PRP et d’une implémentation d’un parseur de tickets SAML 1.x • QUEST VSJ (Vintela Single Sign on for Java) vous permet désormais d’authentifier les utilisateurs pour • IBM Websphere • BEA Weblogic • JBoss • Apache Tomcat • Oracle AS (9i et 10g) • Sur des plateformes • Linux • Unix • Windows

  46. Interopérabilité d’AD FS avec les solutions d’identité • Produits de fédération (Identity Provider/Resource Provider) • IBM Tivoli Federated Identity Manager • BMC Universal Identity Federator • CA eTrust Siteminder 6 SP5 • Microsoft Active Directory Federation Services • Oracle Identity Federation • Ping Identity PingFederate • Symlabs Federated Identity Access Manager • Version3 Enhanced Authentication Edition • Implémentations Open Source • Shibboleth System 1.3 code drop • En cours • Novell Access Manager 3.1 • Sun Access Manager et Federation Manager (après Access Manager 7.1)

  47. Extension d’AD FS • Centraliser l’administration et déléguer l’authentification • Rationnaliser les investissements IT • Tirer profit au maximum de l’infrastructure déployée

  48. Conclusion • Construire un écosystème de confiance, indépendamment des plateformes techniques • Solution d’authentification rapidement déployable • Pas de développement supplémentaire pour adapter vos applications

More Related