Aucun titre de diapositive

1
Microsoft Identity Integration Server
Architecture et fonctionnalités
Christophe Dubos CHRISDU_at_MICROSOFT.COM Architect
e SystèmeMicrosoft France
2
Agenda

• Introduction
• A quelles problématiques répond la gestion de
  lidentité (IDM) ?
• Quels bénéfices peut on attendre de la mise en
  place dune solution dIDM ?
• MIIS 2003
• Architecture et fonctionnalités
• Questions réponses

3
Le contexte
Applications
Support utilisateurs
Clients Usagers
Administrateurs
e-Commerce
Portail collaborateurs
ERP
Ressources humaines
Self-Service Web
Messagerie
Ingénerie
Annuaire entreprise
CRM
Collaboration
Télédistribution
Portail partenaires
Gestion de la chaine logistique
Partenaires Fournisseurs
Ressources
Employés Collaborateurs
4
Une vision applicative de la sécuritéAuthentifica
tion, Autorisation, Confidentialité et Intégrité
Services dauthentification
Services dautorisation
Services de confidentialité et dintégrité
Services de gestion de lidentité
Services dinfrastructure (référentiel/audit/PKI)
5
Une vision applicative de la sécuritéLes
solutions Microsoft
Identity Integration Server - Aggrégation et
synchronisation des identités - Automatisation
des processus darrivée, de changement
daffectation et de départ - Gestion automatique
des groupes
Kerberos V5 SSL 3.0 TLS 1.0 Digest
foms Passport Credentials manager
Impersonation ACL Authorization manager IIS 6
URL authorization ASP .Net authorization
SSL 3.0 IPSec S/MIME EFS CAPICOM
Active Directory/AD Application Mode Audit /
Certificate Services
6
Le contexte

• Les informations didentité sont dispersées dans
  de multiples référentiels
• En moyenne plus de 150 sources
• La plupart des référentiels ne sont pas des
  annuaires
• Pas dintégration avec des processus métiers
• Les systèmes ne sont pas intéropèrables

Gartner Group sur population Fortune 500
7
Le contexteQuelles sources de données ?
8
Le contexteQuelles solutions de synchronisation ?
9
Les conséquences
Système dinformation
Entreprise
Informations didentité

• Structures et acteurs
• Vision parcellaire et floue
• Administration
• Coûts et délais importants
• Sécurité
• Gestion éclatée et complexe
• Utilisateurs
• Casse-tête permanent
• Helpdesk surchargé

• Fragmentaires
• Dispersées
• Redondantes
• Propriétaires
• Structurées différemment

Gestion et utilisation

• Sous lautorité dentités distinctes
• Dans des bases non interopérables
• Interfaces multiples

10
Coût économique

• Une étude du META Group montre que sur une
  période dun an pour une organisation de 10 000
  personnes
• 48 des appels à lassitance utilisateur sont
  liés à des problèmes de mots de passe
• 54 180 heures sont utilisées à administrer les
  utilisateurs, leurs données, leurs informations
  dauthentification et de droits daccès
• 2 666 heures sont utilisées à accèder aux
  applications

META Group pour PricewaterhouseCoopers, 06/2002
11
Les besoins

• Créer le schéma détaillé de l'organisation de
  l'entreprise
• Référencer et définir la "carte didentité" des
  éléments
• Définir la cartographie des éléments entre eux
• Agréger et consolider les informations d'identité
  dans un référentiel unique
• Synchroniser les informations d'identité entre
  les référentiels
• Gérer les règles dautorité sur chaque info
  d'identité
• Détecter propager les modifications entre
  référentiels
• Gérer lintégrité des informations entre les
  référentiels
• Gérer les informations d'identité
• Offrir un point daccès et dadministration
  unique
• Disposer d'une vue unifiée des droits et
  habilitation

12
La solution

• Le couple Meta-Annuaire / Annuaire dEntreprise

Créer le schéma détaillé de l'organisation de
l'entreprise
Agréger et consolider les informations d'identité
Synchroniser les informations d'identité
Gérer les informations d'identité
Meta Annuaire
Utilisateur
Nom Jean Dupont
Email jdupont_at_
Photo cléjeandup
Utilisateur
13
Bénéfices immédiats

• Meta-Annuaire
• Réduction des coûts et délais d'administration
  (SI, personnes, structures)
• Réduction des temps de mise à jour et de
  diffusion des modifications
• Sécurisation, simplification des échanges
  inter-applicatifs
• Réduction des erreurs
• Réduction du nombre d'interfaces
• Annuaire dEntreprise
• Vue complète, pertinente, fiable et immédiate de
  l'entreprise
• Réduction des temps de recherche de personnes ou
  d'organisations
• Sécurisation du SI en fédérant les habilitations
  des utilisateur
• Amélioration de la communication interne

14
Bénéfices induits

• La création dun référentiel global est la
  fondation indispensable à la mise en uvre
• Dune politique de sécurité centralisée et
  cohérente
• De solutions de SSO et dauthentification forte
• De solutions B-to-B ou B-to-C
• De solutions de portail et de gestion de contenu

15
Agenda

• Introduction
• A quelles problématiques répond la gestion de
  lidentité (IDM) ?
• Quels bénéfices peut on attendre de la mise en
  place dune solution dIDM ?
• MIIS 2003
• Architecture et fonctionnalités
• Questions réponses

16
MIIS 2003Fonctionnalités

• Moteur souple et puissant de synchronisation des
  données didentité en environnement hétérogène
• SGBD
• Annuaires
• OS
• Messageries
• Fichiers texte
• Plate-forme de gestion
• Des circuits internes de modification des données
• Des groupes et des listes de distribution
• Des mots de passe
• Des listes dadresses globales (GAL)

17
MIIS 2003Scénarii dutilisation

• Meta Annuaire traditionnel (consolidation)
• Import depuis différentes sources (ex iPlanet,
  Active Directory, LDIF)
• Jointure/Consolidation
• Consultation via un annuaire de publication (ex
  ADAM)
• Automatisation des processus de gestion des
  utilisateurs (création/suppression/mouvements)
• Import des données depuis le système RH
• Jointure avec des données provenant dautres
  systèmes
• Création des compte dans un annuaire (ex Active
  Directory)

18
MIIS 2003Composants techniques
AD
MIIS Admin Client
Management AgentAD
Service MIIS 2003
Fichiers, DSML
Management Agent Fichiers
WMI
iPlanet
Management Agent iPlanet
Règles étendues
SQL 2000 (Aire de stockage)
Visual Studio.NET
Management Agent Notes
Notes
Oracle
Management Agent Oracle
Serveur MIIS

19
Sources de donnéesManagement Agents
MIIS 2003
20
Circulation des donnéesProjection Jointure et
Provisioning
Jean Dupont Full Name Title Employee
Base RH
Jean Dupont
Jean Dupond Name Post Office Location Employee
Jean Dupont Name Post Office Location Employee
Messagerie Exchange
21
Modules fonctionnels
MA AD
MA Fichiers
MA Oracle
MA iPlanet
Sources de données
Fichiers CSV
iPlanet
AD
Oracle
22
Modules fonctionnels

• Annuaire connecté (CD)
• Source et/ou destination pour les attributs
  synchronisés
• Connector Space (CS)
• Lieu de stockage intermédiaire (de transit)pour
  les attributs synchronisés en entrée ou en sortie
• Metaverse (MV)
• Lieu de stockage consolidé des informations
  didentité
• La correspondance entre des entrées du CS et une
  entrée unique de la MV est appelée jointure

23
Management AgentsModes de fonctionnement
Projection

• Création
• Mise à jour
• Suppression dans la Metaverse

Jointure

• Agrégation
• Mise à jour
• Echange des données entre les différentes sources

Provisioning

• Création
• Déplacement
• Suppression dans les différentes sources de
  données

24
Managements AgentsFonctions avancées
Filtrage

• Détermine les entrées exclues/inclues
• Granularité au niveau de lattribut
• Sapplique à tous les flux import/export

Mode Delta

• Ne traite que le différentiel des informations
• Réduit les temps de traitement
• Optimise lutilisation des ressources système et
  réseau

Profils

• Définissent les étapes de lancement du MA
  (import, export, delta, etc.)
• Plusieurs traitements peuvent être rassemblés
  dans un seul profil
• Peuvent sappliquer à différentes sources

25
Managements AgentsFonctions avancées
Définition des priorités entre sources

• Hiérarchise les sources pour lalimentation de
  lannuaire
• Granularité au niveau de lattribut
• Gestion des conflits

Règles étendues

• Basé sur Visual Basic .Net, C ou C
• Application de traitements spécifiques au mapping
  des attributs et provisioning
• Personnalisation de linfrastructure

Gestion des mots de passe

• Sappuie sur linterface Windows Management
  Interface (WMI)
• Fonctions de reset et changement pour des
  solutions de help-desk ou self-service
• Accessible via une application web

26
Gestion des mots de passe

• MIIS ne peut pas extraire les mots de passe
  stockés dans une source
• Même si cela était possible il ny aurait aucun
  bénéfice à le faire dans la mesure ou les formats
  de stockage des différents dune source à une
  autre
• MIIS peut changer ou réinitialiser les mots de
  passe dans toute source exposant une interface
• Il doit pour cela disposer du mot de passe
• MIIS peut intercepter les mots de passe lors de
  leur changement dans Active Directory
• Il est aussi possible de lintégrer avec des
  produits tiers

27
Gestion des mots de passe

• MIIS peut de changer/réinitialiser les mots de
  passe via une application WEB
• Les utilisateurs peuvent modifier leur mot de
  passe à condition de connaître le précédent et
  des personnes habilitées peuvent réinitialiser
  les mots de passe
• Ces fonctionnalités permettent de mettre en
  cohérence les différents mots de passe de
  lutilisateur mais pas den réduire le nombre

28
Gestion dynamique des groupes

• Définition des critères
• Au sein de la base et sur le contenu de la
  Metaverse
• Table de définition des groupes
• Composée de lidentifiant (GroupID), du nom
  (DisplayName) et de la clause SQL
• Les clauses SQL peuvent être définies
• Ex les personnes appartenant au service
  Comptabilité object_type person and
  department Compta
• Ex les personnes ayant un rôle de
  managerobject_id in (select Distinct
  reference_id from mms_mv_link where
  attribute_name manager)

29
Mise en uvre et exploitationFonctionnalités
Conception

• Interface intégrée et ergonomique aux standard
  Windows
• Environnement de développement .NET
• Mode de test et de simulation

Déploiement

• Passage simple de lenvironnement de
  développement à celui de production au travers de
  fichiers XML
• Technologie dagents de synchronisation non
  intrusive

Administration

• Instrumentation via WMI
• Statistiques détaillées
• Historisation des opérations
• Architecture haute disponibilité

30
Mise en uvre et exploitationFonctionnalités
Console MIIS

• Contrôle et historisation des opérations
• Création modification suppression dagents
• Définition du schema
• Examen des données
• Outil de jointure manuelle

WMI

• Accès aux composants internes de MIIS
• Pilotage
• Interrogation
• Séquencement
• Ouverture vers leProvisioning

Monitoring

• Simulation des opérations de synchro
• Statistiques de fonctionnement
• Intégration avec journaux des événements
• Intégration avec compteurs de performance

31
MIIS 2003Interface dadministration

• Un outil intégré et convivial donnant accès à
  lensemble des fonctionnalités
• 5 vues principales du meta annuaire
• Operations
• MA Design
• MV Design
• Data viewer/Search
• Account Joiner

32
Interface dadministration
Historique des opérations
Gestion des agents
Design du Schéma
Examen des données
Jointure Manuelle
Actions sur les MA
Liste des MA
Etat de la connexion
Erreurs de synchronisation
Statistiques des synchronisations
33
Sécurisation de linfrastructure
Comptes spécifiques

• 5 groupes pour dissocier les rôles
  administration, supervision, jointure,
  navigation, opérations sur mots de passe
• Compte de service sécurisé

Haute disponibilité

• Redémarrage rapide sur un serveur de secours
• Pas de nécessité de re-configuration
• Clustering des serveurs SQL

Clé de sécurité

• Chiffrement des informations daccès aux
  différentes sources (mot de passe)
• Chiffrement des attributs sensibles
• Protection de la configuration

34
MIIS 2003Evolutions
MIIS 2003 SP1 3e trimestre 2004
MIIS 200x 4e trimestre 2005
Longhorn

• Nouveaux Mgmt Agents
• ERP
• Unix
• Provisionning et workflow dapprobation étendus
• Réinitialisation des mots de passe en
  self-service
• Evolution Reporting/Polyarchy

• MIIS comme plate forme applicative
• Nouvelles fonctionnalités de self-service

• Nouveaux Mgmt Agents
• IBM DB2
• IBM RACF
• IBM Tivoli Directory Server
• Support des mots de passe étendu
• MA SDK
• Polyarchy
• Prescriptive Guidance

35
En résuméMicrosoft Identity Integration Server
- Bénéfices
Simplification de laccès à linformation

• Création dun référentiel des données
• Fiabilité de linformation accrue
• Diminution des erreurs de saisie

Réduction des coûts dadministration

• Réduction des tâches administratives
• Infrastructure plus réactive
• Capitalisation pour les projets futurs
  eProvisioning, SSO, portail

Amélioration de la sécurité globale

• Automatisation des processus pour une approche
  plus exhaustive
• Uniformisation des mots de passe
• Ouverture vers la mise en place dune politique
  de mots de passe globale

36
Agenda

• Introduction
• A quelles problématiques répond la gestion de
  lidentité (IDM) ?
• Quels bénéfices peut on attendre de la mise en
  place dune solution dIDM ?
• MIIS 2003
• Architecture et fonctionnalités
• Questions réponses

37
(No Transcript)
38
Demonstration
Nom Prénom EmpID Location Manager EmpStatus
ADAM
Appli RH
Téléphone
Nom Prénom EmpID Location Manager Mail SamAccountN
ame Telephone Langage
PABX
Langage
AD