730 likes | 933 Views
Session 2: « Comment renforcer la Gestion des Identités ». Comment Quest Software étend et complète les solutions Microsoft de gestion d’identité et de contrôle d’accès au sein de l’entreprise Au-delà des frontières de l’entreprise
E N D
Session 2: « Comment renforcer la Gestion des Identités » • Comment Quest Software étend et complète les solutions Microsoft de gestiond’identité et de contrôle d’accès au sein de l’entreprise • Au-delà des frontières de l’entreprise • Comment Gemalto sécurise les identités dans l’environnement Microsoft
1ère session (juin) : « Qu’est-ce que la Gestion des Identités » Pour visionner et écouter la présentation: http://www.microsoft.com/france/interop/
N°2 Regis ALIX System Consultant Quest Software
Les défis des environnements hétérogènes • Mise en conformité • Securité • IDs/Logins Multiples • Complexité • Trop d’annuaires • Trop de mécanismes d’authentification • Cher à maintenir • Difficile à gérer • Inefficace
Situation: Votre environnement est un mix de systèmes divers disposant d’annuaires multiples, d’environnements de stockage d’identités et de mécanismes d’authentification
Active Directory simplifie la situation pour les systèmes Windows • Mais pour les environnements non-Windows, les annuaires et authentifications doivent être administrés de manière séparée • Annuaires Multiples • Identités Multiples • Logins Multiples • Non-sécurisé
Quest permet l’intégration des identités disparates Unix/Linux/Java en un seul environnement Active Directory sécurisé
Puis, Quest aide à l’administrationdes environnements intégrés et augmente l’efficacité de la gestion via le provisionnement et déprovisionnement des utilisateurs
Renforcement des sécurités Grâce à une gestion forte des mots de passe pour tous les systèmes
Et, adresser les besoins de mise en conformité en offrant l’audit et la génération de rapports pour toutes les activités relatives aux identités sur l’environnement intégré
Microsoft Exchange Home Folders & Resource Access ApplicationsAccess Users Groups Computers Active Directory & ADAM SSO SQL Mid-Range & Main Frame Applications & Databases MMC/Browser SQL Directories ActiveRoles providesADSI/SPML/PowerShell ActiveRolesServer InTrust &Reporter Password Manager Vintela ADFS Microsoft MIIS SQL Une seule infrastructure technique Smart Cards Intra/Inter/Extranet 12
Une seule infrastructure technique, cela signifie • Une seule identité • Un seul compte • Une seule SmartCard quel que soit le client utilisé • Une sécurité d’authentification accrue • Une traçabilité améliorée…
N°2 L’authentification forte des systèmes hétérogènes : Vintela Authentication Services
Les utilisateurs disposent du même compte et mot de passe pour leur connexion à Windows et Unix Pourquoi VAS ? Unifie l’authentification et la gestion des identitésen utilisant Active Directory Windows
Que propose VAS ? • VAS intègre les plateformes Unix et Linux dans Active Directory en offrant un accès sécurisé et une authentification unique pour les environnements Windows, Unix et Linux • VAS crée une zone de confiance pour les tâches d’authentification des utilisateurs et groupes Unix/Linux dans les environnements multi-domaines • VAS offre la discipline et les contrôles nécessaires permettant d’assurer les besoins de sécurité et d’intégrité des environnements
VAS : le fonctionnement MMC Users and Computers Snapin WINDOWS 2000/2003 Enterprise Server Windows Desktops Active Directory Kerberos/LDAP Vintela Authentication Services Snapin Extension AuthenticationAuthorization Kerberos/LDAP Vintela Authentication Services Unix Client Library Caching Daemon PAM NSS YPSERV Kerberos/LDAP YPBIND (NIS) PAM NSS Unix System Authentication & Identity API UNIX SYSTEMS
Comment VAS fonctionne ? • Installer les composants VAS sur une machine Windows • Compatible RFC 2307 • Extension du snap-in MMC • Installer le client VAS pour Unix / Linux • Rattacher (Joindre) la machine Unix au domaine 18
Gérer les utilisateurs et groupes AD Gérer les comptes AD Renforcer vos règles de gestion de AD Comment VAS fonctionne ? 19
Intégration d’Unix/Linux dans AD • Implémentation native du standard Kerberos • Unique et spécifique à chaque OS • Intégrée avec les méchanismes PAM et NSS natifs aux OS UNIX / Linux • Pas d’infrastructure additionnelle • Une seule identité (ticket Kerberos) pour les mondes Windows, Unix et Linux • Intégration et non synchronisation • Fonctionne sans problème avec des solutions existantes de gestion d’identité (Meta annuaire..)
Les systèmes UNIX / Linus intégrés à l’AD • Elimine les UIDs, GIDs et mots de passe multiples UIDs, GIDs • Applique les niveaux de sécurité et de conformité d’AD aux Unix/Linux • Transforme les stratégies de Groupe Windows en Stratégies d’Entreprise • Rend possible le « Single sign-on »
Single Sign-on • Unix et Linux OS • SAP • DB2 • Oracle • Application s’appuyant sur l’authentication système • Toute application compatible GSSAPI • J2EE • Samba • PuTTY • De nombreuses autres à venir….
Avantages de VAS • Gestion centralisée des utilisateurs et des groupes Windows, UNIX et Linux dans l’Active Directory • Authentification et autorisation temps réels pour des accès sécurisés au travers de plateformes mixtes. • Extension des stratégies de mot de passe AD aux environnements UNIX et Linux • Solution de migration NIS vers AD et etc/passwd vers AD • Utilise le schéma AD de Windows Server 2003 “R2” • Authentification rendue possible via SmartCard pour UNIX et Linux • RFC 4556: Public Key Cryptography for Initial Authentication in Kerberos (PKINIT)
Microsoft Identity Lifecycle Management (ILM) 2007 • Un des solutions de gestion d’identité et de contrôle d’accès de Microsoft • http://www.microsoft.com/identity • Assure • La gestion du cycle de vie des identités • 1ère session (juin) : « Qu’est-ce que la Gestion des Identités » • La gestion intégrée pour le déploiement des certificats X.509 et des cartes à puces
Microsoft Identity Lifecycle Management (ILM) 2007 • Gestion complète du cycle de vie des certificats X.509v3 et des cartes à puce associés aux identités de l’entreprise • Emission / renouvellement / remplacement / révocation des certificats • Emission / remplacement / retrait /désactivation de cartes à puce • Emission de cartes temporaires / duplication de cartes à puce • Personnalisation de cartes à puces y compris impression • Définition de politiques pour les workflows de gestion / la collecte de données et l’impression de documents • Support des scénarios centralisés et libre-service • Capacités de requêtes et d’approbations déléguées pour les environnements distribués • Gestion des PIN (activation et déblocage) • Inventaire des cartes à puce • Audit et rapport détaillé sur l’ensemble des activités du cycle de vie des certificats et des cartes
Modèle de profil ILM • Elément central de l’ensemble des activités de gestion et des workflows associés Modèle de profil Enrôlement Etc. Renouvellement Gabarit(s) de certificat Workflow Workflow Workflow … Libre-service Libre-service Libre-service Collection de données Collection de données Collection de données Politiques de gestion Information Carte à puce (si nécessaire)
N°2 Démonstration
Traçabilité des accès N°2 29
La conformité réglementaire: un nouveau défi pour les directions informatiques La mise en oeuvre de solutions de contrôle des systèmes, des personnes et des procédures est devenu un axe stratégique ces dernières années. • Directives internes • Amélioration de la sécurité • Traçabilité des procédures • Suivi des changements • … • Obligations réglementaires • Sarbanes-Oxley • Bâle II • OMB A-123 • …
Les objectifs du contrôle des accès • Authentification : confirmer l’identité d’un utilisateur par un processus d’identification sécurisé ou un autre mécanisme • Gestion des comptes utilisateurs : éviter l’octroi d’autorisations d’accès inappropriées à des données ou des systèmes confidentiels en optimisant les procédures de gestion des utilisateurs • Gestion centralisée • Séparation des tâches et des responsabilités • Renforcement des politiques de sécurité à l’échelle de l’entreprise • Administration des droits d’accès : détecter les autorisations d’accès anormales • Contrôle des accès aux systèmes : être alerté de toute tentative d’accès non-autorisée ou dangereuse • Alerte en temps réel sur des événements spécifiques
Les objectifs de la gestion du changement • Gestion et contrôle des procédures : s’assurer que les mises à jour et les nouvelles versions mises en production sont conformes, en contrôlant le processus de gestion du changement depuis la demande jusqu’au déploiement • Maîtrise des déploiements : garantir que les mises à jour sont bien appliquées aux systèmes prévus et au moment où cela a été planifié • Détection des changements non autorisés : identifier les changements non autorisés, non documentés ou dont la mise en œuvre peut poser problème • Historisation et traçabilité des changements : disposer d’un historique complet de tous les changements survenus • Retour en arrière (rollback) : corriger les effets d’une modification non autorisée ou se révélant problématique au moment de la mise en production
Principales fonctionnalités : • Automatise la collecte les journaux des environnements hétérogènes • Collecte et analyse intelligemment les activités des utilisateurs et des administrateurs • Détecte les événements sortant du cadre de l’activité “standard” • Empêche la destruction malveillante ou accidentelles des journaux • Compresse fortement les données à conserver sur une longue période pour préserver l’espace de stockage • Envoi d’alertes en temps réels (possibilité d’utiliser la console de MOM / SCOM pour gérer ces alertes) • Génère des rapports dans de multiples formats standards (doc, xls, pdf, csv, txt, htm….) • Simple à installer, configurer et déployer via des assistants explicites
Les Plug Ins d’Intrust • Intrust for Active Directory : génère des informations complémentaires aux journaux natifs de Windows permettant de déterminer précisément : qui fait quoi sur l’Active Directory. Il permet également de prévenir la suppression / modification accidentelle ou malveillante d’objets Active Directory
Les Plug Ins d’Intrust • Intrust for Exchange : Génère des informations d’audit sur l’activité des utilisateurs / administrateurs sur l’environnement Exchange.Il permet de déterminer qui a envoyé un message depuis une boite aux lettres ouverte via délégation ou encore qui a supprimé un message dans cette boite aux lettres ou qui a modifié les permissions d’accès…..
Les Plug Ins d’Intrust • Intrust for File Access : Audit l’activité des utilisateurs / administrateurs sur les systèmes de fichiers sans utiliser les fonctions d’audit native de Windows.Permet de savoir à tout moment qui a accédé, modifié ou supprimé un fichier ou ses permissions.
N°2 Au-delà des frontières de l’entreprise AD FS,L’expérience Web SSO (fédéré) multiplateforme Applications Java avec QUEST VSJ
Active Directory Federation Services (AD FS) • Composante de Windows Server 2003 R2 • Permettre la mise en place de solutions de Web SSO, de fédération d’identité ainsi qu’une gestion simplifiée des identités • Projeter l’identité utilisateur sur la base d’une première ouverture de session • Etendre le périmètre d’utilisation d’Active Directory • Fournir des mécanismes d’authentification et d’autorisation distribués • Permettre aux clients, partenaires, fournisseurs, collaborateurs un accès sécurisé et contrôlé aux applications web situées hors de leur forêt Active Directory • Connecter les « îles » ( à travers les frontières des plateformes, organisationnelles ou de sécurité)
Gestion fédérée d’identité AD FS • « Projette » les identités Active Directory dans d’autres royaumes de sécurité Fournisseur de compte Fournisseur de ressources Fédération FS-A FS-R • Émission de jetons de sécurité • Gestion de • la confiance – Clés • la sécurité – Jetons/Claims nécessaires • la confidentialité -- Jetons/Claims autorisés • l’audit -- Identités , autorités Espace de noms privé A. Datum Corp. Espace de noms privé Trey Research, Inc.
Protocole et interopérabilité d’AD FS AD FS s’appuie sur le Web Services Federation Language - Passive Requestor Profile (PRP) Un des profils de la pile de spécification/protocoles WS- Sur cette base, AD FS est interopérable avec les solution d’identité du marché (fournisseurs de compte/de ressources) IBM Tivoli Federated Identity Manager BMC Universal Identity Federator CA eTrust Siteminder 6 SP5 Oracle Identity Federation Ping Identity PingFederate Symlabs Federated Identity Access Manager Version3 Enhanced Authentication Edition Shibboleth System 1.3 code drop En cours Novell Access Manager 3.1 Sun Access Manager et Federation Manager (après Access Manager 7.1)
Agent AD FS pour plateformes tierces -QUEST VSJ (Vintela Single-Sign-On for Java) • Pour interopérer avec AD FS pour les serveurs Web non Microsoft: • Nécessite le support de PRP et d’une implémentation d’un parseur de tickets SAML 1.x • QUEST VSJ (Vintela Single Sign on for Java) vous permet désormais d’authentifier les utilisateurs pour • IBM Websphere • BEA Weblogic • JBoss • Apache Tomcat • Oracle AS (9i et 10g) • Sur des plateformes • Linux • Unix • Windows
Interopérabilité d’AD FS avec les solutions d’identité • Produits de fédération (Identity Provider/Resource Provider) • IBM Tivoli Federated Identity Manager • BMC Universal Identity Federator • CA eTrust Siteminder 6 SP5 • Microsoft Active Directory Federation Services • Oracle Identity Federation • Ping Identity PingFederate • Symlabs Federated Identity Access Manager • Version3 Enhanced Authentication Edition • Implémentations Open Source • Shibboleth System 1.3 code drop • En cours • Novell Access Manager 3.1 • Sun Access Manager et Federation Manager (après Access Manager 7.1)
Extension d’AD FS • Centraliser l’administration et déléguer l’authentification • Rationnaliser les investissements IT • Tirer profit au maximum de l’infrastructure déployée
Conclusion • Construire un écosystème de confiance, indépendamment des plateformes techniques • Solution d’authentification rapidement déployable • Pas de développement supplémentaire pour adapter vos applications