FIM 2010 R2 : Gestion des identités,     automatisation des traitements, et                      gestion avancée          ...
Agenda• Présentation de FIM  – Démonstrations• Gestion des rôles  – SOD• Attestation  – Présentation
Chapitre 1         PRÉSENTATION DE FIMDesign
La gestion des identités• Vision IT/Infrastructure  – Souhait des équipes technique de se dégager du    temps, de réduire ...
Historique de FIM                                                                                                         ...
Quel est votre projet de gestion des  identités ?                                                                         ...
Composants de FIM                Interfaces 1 CAL par                                      Portail FIM          Outlook   ...
Chapitre 2         GESTION DES RÔLESDesign
Gestion des rôles dans FIM      Structure organisationnelle de l’entreprise      Assignation de rôles, par UO      Rôle...
Création de la structure d’UO                                13
L’unité organisationnelleVision organisationnelle de l’entreprise, UO France                                    •   Struct...
Création et assignation de « rôles »Lier un Rôle à une unité organisationnelle EMEA                                       ...
Vision unité organisationnelle EMEARésultat dans UO EMEA•    Rôle positionné sur EMEA•    Rôle « Proposé                  ...
Vision unité organisationnelle FRANCE•   UO France• Rôle « Proposé », « hérité » ouobligatoire                            ...
BilanUO et Rôles• Description de votre structure d’entreprise via des Unités  organisationnelles (différentes des UO Activ...
Applications, Permissions et RôlesDonner des habilitations aux utilisateurs via les rôles         Définition des applicat...
Schéma de démonstrationUtilisateurs, OU, .. Rôles et permissions .. .SOD                France           Inde             ...
Création d’une application   ApplicationApplication Finance                                           22
P      PApplication et permissions                          ApplicationApp Finance, permission sur « seuils » de facture
R   RRôles, et permissions           P   P     Créer Rôle auditeur, et      assigner permission      « auditeur « + »fact...
France Assigner un rôle à une OU (France)                                 R     R• Les rôles sont  maintenant proposés  vi...
Assignation utilisateur à UO France             FranceUn utilisateur peut appartenir à plusieurs UO                       ...
Assignation Rôle (proposé)Rôles hérités de l’OU, récupération des permissions                                             ...
Créer la règle d’incompatibilité (SOD)    P         P                                              SOD                    ...
SOD overridable                  30
SOD mandatory                31
Chapitre 3         ATTESTATIONDesign
ATTESTATIONDéfinitions • Attestation : certifier un fait par vive voix ou par écrit • Dans l’IAM, on parle de certificatio...
ATTESTATIONBesoins• D’un point de vue sécurité, il est indispensable de pouvoir  contrôler les habilitations des collabora...
ATTESTATIONObjectifs• Assurer le niveau d’habilitations des collaborateurs    –   Ont-ils assez de droit pour travailler e...
ATTESTATION                                                        Responsable                                            ...
ATTESTATIONPortail d’attestation• Le portail Attestation est module à part entière• L’accès à ce portail est réservé aux s...
ATTESTATIONCréation d’une campagne• Date de validité de la campagne• Configuration de la récursivité• Configuration des ra...
ATTESTATIONCréation d’une campagne - Périmètre• Par application :                   • Par organisation :
ATTESTATIONCréation d’une campagne – Périmètre• Deux possibilités :    –   Soit sur les comptes    –   Soit sur les permis...
ATTESTATIONCréation d’une campagne – Les stewards• Deux possibilités :    –   Soit par rapport à l’organisation        en ...
ATTESTATIONAttestation des droits par les Stewards• Le steward voit la liste des instances de campagne qui lui sont  affec...
ATTESTATIONAttestation des droits par les Stewards • Les utilisateurs sont    listés avec leurs    comptes • OU : Les util...
ATTESTATIONAttestation des droits par les Stewards• Pour les utilisateurs dont il est responsable, le steward accepte ou  ...
ATTESTATIONAttestation des droits par les Stewards – les utilisateurs refusés• Les utilisateurs refusés sont visualisés pa...
ATTESTATIONLes résultats• Tant que l’instance de campagne est en cours, il est possible pour  le steward de modifier les a...
ATTESTATIONExemple        OU 1                          Moteur FIM        R        R                     P1               ...
Chapitre 4         PERSPECTIVESDesign
PERSPECTIVES      • Pourquoi la gestion des identités ?      • Impact sur le SI      • Gérer son projet ? Classique ou Qui...
victorj@exakis.comfesnouf@microsoft.com
FIM 2010 R2 : Gestion des identités, automatisation des traitements, et gestion avancée
FIM 2010 R2 : Gestion des identités, automatisation des traitements, et gestion avancée
FIM 2010 R2 : Gestion des identités, automatisation des traitements, et gestion avancée
FIM 2010 R2 : Gestion des identités, automatisation des traitements, et gestion avancée
FIM 2010 R2 : Gestion des identités, automatisation des traitements, et gestion avancée
Prochain SlideShare
Chargement dans... 5
×

FIM 2010 R2 : Gestion des identités, automatisation des traitements, et gestion avancée

1,286

Published on

Au cours de cette session vous aller découvrir la solution Forefront Identity Manager sur la base de scénarios que tous les clients rencontrent. Vous verrez comment il sera possible d’automatiser sur la base de « vos règles » (et des recommandations Microsoft) toutes les tâches classiques autour des utilisateurs, les groupes, les applications.. et les habilitations au sens large. Vous saurez alors comment la gestion des identité peut avoir rapidement un impact significatif sur le service aux utilisateurs, la sécurité, le coût d’exploitation de l’infrastructure... Nous profiterons de cette session pour décrire les nouveautés de la version R2 arrivée il y a quelques mois

0 commentaires
0 mentions J'aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Be the first to like this

Aucun téléchargement
Vues
Total des vues
1,286
Sur Slideshare
0
À partir des ajouts
0
Nombre d'ajouts
0
Actions
Partages
0
Téléchargements
78
Commentaires
0
J'aime
0
Ajouts 0
No embeds

No notes for slide

FIM 2010 R2 : Gestion des identités, automatisation des traitements, et gestion avancée

  1. 1. FIM 2010 R2 : Gestion des identités, automatisation des traitements, et gestion avancée Frédéric Esnouf, Microsoft Victor Joatton, ExakisInfrastructure et Gestion des identités
  2. 2. Agenda• Présentation de FIM – Démonstrations• Gestion des rôles – SOD• Attestation – Présentation
  3. 3. Chapitre 1 PRÉSENTATION DE FIMDesign
  4. 4. La gestion des identités• Vision IT/Infrastructure – Souhait des équipes technique de se dégager du temps, de réduire les tâches administratives• Vision Sécurité – Qui a accès à quoi ? Bonnes pratiques & Audit/compliance• Vision Financière – Réduction des coût, ou dégager du temps pour de nouveaux projets.
  5. 5. Historique de FIM R2 Common Platform Workflow User Management Connectors Group Logging Management Web Service API Synchronization Credential Policy User Common Platform Group Management Management Management Workflow Management Connectors Logging Web Service API Synchronization Credential Policy Management Management Identity Synchronization Office Integration for Self-Service User Provisioning Declarative Provisioning Certificate and Smartcard Management Group & DL Management Workflow and Policy Support for 3rd Party CAs 1997 1999 2003 2007 2010 2013 Acquired LinkAge Acquired Identity Integration Identity Lifecycle FIM 2010 FIM 2010 & Directory Exchange Zoomit VIA Server 2003 Manager 2007 AD FS 2.0 BHOLD SP1 1999 1999 2005 2009 Active Metadirectory Acquired Identity Lifecycle 2012 Directory Services Alacris Manager 2007 FP1 FIM 2010 R2 BHOLD
  6. 6. Quel est votre projet de gestion des identités ? Gestion des Sans gestion Gestion des Méta annuaire identités des identités identités … avancée Portail … utilisateur Réception des Gestion de Délégation demandes: Méta annuaire rôle avancée d’administrati téléphone, Synchro de DataMining on email, outil données Segregation Gestion des Qualité des of duty rôles Traitement : données Attestation Automatisatio manuel ou via n des scripts traitements Reporting Sécurité Gestion des Méta annuaire identités… bien catégoriser son projet pour le réussir
  7. 7. Composants de FIM Interfaces 1 CAL par Portail FIM Outlook Windows Custom Reporting Powershell utilisateur Services Vos règles de gestion Reset de mot Gestion des Rôles, Approbation Synchronisation Automatisation de passe cartes attestation, … Moteur de synchronisation Moteur de synchronisation Meta Directory Applications et annuaires Applications et Cloud1 licence par serveur ACTIVE SMART .. Autre FINANCE RH MAIL PABX DIRECTORY CARD
  8. 8. Chapitre 2 GESTION DES RÔLESDesign
  9. 9. Gestion des rôles dans FIM  Structure organisationnelle de l’entreprise  Assignation de rôles, par UO  Rôles imposés ou proposés  Héritage UO UO UO R R R P P
  10. 10. Création de la structure d’UO 13
  11. 11. L’unité organisationnelleVision organisationnelle de l’entreprise, UO France • Structure hiérarchique de l’entreprise • Utilisateurs • Rôles hérités • Rôles de l’UO • … 14
  12. 12. Création et assignation de « rôles »Lier un Rôle à une unité organisationnelle EMEA Rôle proposé ou imposé 15
  13. 13. Vision unité organisationnelle EMEARésultat dans UO EMEA• Rôle positionné sur EMEA• Rôle « Proposé 16
  14. 14. Vision unité organisationnelle FRANCE• UO France• Rôle « Proposé », « hérité » ouobligatoire 17
  15. 15. BilanUO et Rôles• Description de votre structure d’entreprise via des Unités organisationnelles (différentes des UO Active Directory)• Création de Rôles d’entreprise• Assignation de ces rôles par UO• Un rôle est « proposé » ou « obligatoire »• Un OU peut hériter des rôles de son UO parent (EMEA->France) 18
  16. 16. Applications, Permissions et RôlesDonner des habilitations aux utilisateurs via les rôles  Définition des applications d’entreprise  Les applications ont des « permissions »  On assigne des permissions aux rôles  SOD possible entre permissions. UO UO UO R R R P P SOD
  17. 17. Schéma de démonstrationUtilisateurs, OU, .. Rôles et permissions .. .SOD France Inde R R R SOD P P P SOD Applications 21  Auditeur peut valider facture à 10K  Au-delà, incompatible
  18. 18. Création d’une application ApplicationApplication Finance 22
  19. 19. P PApplication et permissions ApplicationApp Finance, permission sur « seuils » de facture
  20. 20. R RRôles, et permissions P P  Créer Rôle auditeur, et assigner permission « auditeur « + »facture 10K » … 24
  21. 21. France Assigner un rôle à une OU (France) R R• Les rôles sont maintenant proposés via les UO, ils seront donc hérités 25
  22. 22. Assignation utilisateur à UO France FranceUn utilisateur peut appartenir à plusieurs UO 26
  23. 23. Assignation Rôle (proposé)Rôles hérités de l’OU, récupération des permissions France R R R P P P SOD Application 27
  24. 24. Créer la règle d’incompatibilité (SOD) P P SOD Mandatory Overridable SOD 29
  25. 25. SOD overridable 30
  26. 26. SOD mandatory 31
  27. 27. Chapitre 3 ATTESTATIONDesign
  28. 28. ATTESTATIONDéfinitions • Attestation : certifier un fait par vive voix ou par écrit • Dans l’IAM, on parle de certification : certifier les accès et les habilitations d’une personne • Il s’agit de valider ou non les relations entre : – Les identités et leur compte – Les identités et leur niveau d’habilitations
  29. 29. ATTESTATIONBesoins• D’un point de vue sécurité, il est indispensable de pouvoir contrôler les habilitations des collaborateurs – Eviter les accumulations de droits – Sur les applications sensibles – Permettre de donner des droits fins selon les besoins des collaborateurs• De répondre aux exigences des réglementations pour être conforme – Par exemple, sur les applications qui ont besoin d’être SOX-compliant – Dans SOX, il est stipulé qu’il faut pouvoir évaluer les contrôles d’accès aux applications sur une base annuelle.
  30. 30. ATTESTATIONObjectifs• Assurer le niveau d’habilitations des collaborateurs – Ont-ils assez de droit pour travailler et accomplir leur fonction ? – Ont-ils des droits en trop ?• Assurer le granularité des droits – Au niveau des permissions dans les applications du périmètre – Au niveau des comptes dans les applications du périmètre• Déléguer l’attestation aux fonctionnels – Basé sur la hiérarchie de l’organisation – Basé sur les responsables d’application – Basé sur une liste de personnes (cellule habilitation par exemple)  L’objectif est surtout d’attester les habilitations sur les applications sensibles.
  31. 31. ATTESTATION Responsable de campagneFonctionnement d’une campagne Steward • Deux types de population Création d’une campagne • Création d’une campagne • Si le Steward n’est pas Maintien de la responsable de l’un des campagne utilisateurs, il le refuse et le Revue des responsable de campagne doit utilisateurs qui réaffecter l’utilisateur à un autre doivent être attestés steward Attestation des • Le Steward accepte ou refuse utilisateurs les droits / Comptes des utilisateurs Fin de la campagne • Si la campagne d’attestation est périodique, une nouvelle instance sera créée selon le timing choisi
  32. 32. ATTESTATIONPortail d’attestation• Le portail Attestation est module à part entière• L’accès à ce portail est réservé aux superviseurs et aux stewards
  33. 33. ATTESTATIONCréation d’une campagne• Date de validité de la campagne• Configuration de la récursivité• Configuration des rappels
  34. 34. ATTESTATIONCréation d’une campagne - Périmètre• Par application : • Par organisation :
  35. 35. ATTESTATIONCréation d’une campagne – Périmètre• Deux possibilités : – Soit sur les comptes – Soit sur les permissions
  36. 36. ATTESTATIONCréation d’une campagne – Les stewards• Deux possibilités : – Soit par rapport à l’organisation en place – Soit en ajoutant pour la campagne en cours des stewards directement• A la fin de la création de la campagne, les stewards sont notifiés
  37. 37. ATTESTATIONAttestation des droits par les Stewards• Le steward voit la liste des instances de campagne qui lui sont affectés• Dans l’instance, les utilisateurs sont listés : le steward choisit quels sont les utilisateurs dont il est responsable
  38. 38. ATTESTATIONAttestation des droits par les Stewards • Les utilisateurs sont listés avec leurs comptes • OU : Les utilisateurs sont listés avec leurs permissions
  39. 39. ATTESTATIONAttestation des droits par les Stewards• Pour les utilisateurs dont il est responsable, le steward accepte ou refuse les comptes ou les droits• Dans les deux cas, une vérification est faite par rapport à l’action d’un autre steward sur ces droits
  40. 40. ATTESTATIONAttestation des droits par les Stewards – les utilisateurs refusés• Les utilisateurs refusés sont visualisés par le responsable de campagne• Ils peuvent être affectés à d’autres stewards
  41. 41. ATTESTATIONLes résultats• Tant que l’instance de campagne est en cours, il est possible pour le steward de modifier les attestations• Le responsable de campagne peut visualiser à tout moment les résultats de la campagne• Après la date de fin, même si tous les utilisateurs n’ont pas été attestés, la campagne est fermée et complétée
  42. 42. ATTESTATIONExemple OU 1 Moteur FIM R R P1 P1 P2 P2 P3X P3 Application A P1 P2 P3 Application A
  43. 43. Chapitre 4 PERSPECTIVESDesign
  44. 44. PERSPECTIVES • Pourquoi la gestion des identités ? • Impact sur le SI • Gérer son projet ? Classique ou Quick Win ?Merci !
  45. 45. victorj@exakis.comfesnouf@microsoft.com
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×