FIM 2010 R2 : Gestion des identités, automatisation des traitements, et gestion avancée
Upcoming SlideShare
Loading in...5
×
 

FIM 2010 R2 : Gestion des identités, automatisation des traitements, et gestion avancée

on

  • 1,161 vues

Au cours de cette session vous aller découvrir la solution Forefront Identity Manager sur la base de scénarios que tous les clients rencontrent. Vous verrez comment il sera possible d’automatiser ...

Au cours de cette session vous aller découvrir la solution Forefront Identity Manager sur la base de scénarios que tous les clients rencontrent. Vous verrez comment il sera possible d’automatiser sur la base de « vos règles » (et des recommandations Microsoft) toutes les tâches classiques autour des utilisateurs, les groupes, les applications.. et les habilitations au sens large. Vous saurez alors comment la gestion des identité peut avoir rapidement un impact significatif sur le service aux utilisateurs, la sécurité, le coût d’exploitation de l’infrastructure... Nous profiterons de cette session pour décrire les nouveautés de la version R2 arrivée il y a quelques mois

Statistics

Vues

Total Views
1,161
Views on SlideShare
1,161
Embed Views
0

Actions

Likes
0
Downloads
38
Comments
0

0 Ajouts 0

No embeds

Accessibilité

Catégories

Détails de l'import

Uploaded via as Microsoft PowerPoint

Droits d'utilisation

© Tous droits réservés

Report content

Signalé comme inapproprié Signaler comme inapproprié
Signaler comme inapproprié

Indiquez la raison pour laquelle vous avez signalé cette présentation comme n'étant pas appropriée.

Annuler
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Votre message apparaîtra ici
    Processing...
Poster un commentaire
Modifier votre commentaire

FIM 2010 R2 : Gestion des identités, automatisation des traitements, et gestion avancée FIM 2010 R2 : Gestion des identités, automatisation des traitements, et gestion avancée Presentation Transcript

  • FIM 2010 R2 : Gestion des identités, automatisation des traitements, et gestion avancée Frédéric Esnouf, Microsoft Victor Joatton, ExakisInfrastructure et Gestion des identités
  • Agenda• Présentation de FIM – Démonstrations• Gestion des rôles – SOD• Attestation – Présentation
  • Chapitre 1 PRÉSENTATION DE FIMDesign
  • La gestion des identités• Vision IT/Infrastructure – Souhait des équipes technique de se dégager du temps, de réduire les tâches administratives• Vision Sécurité – Qui a accès à quoi ? Bonnes pratiques & Audit/compliance• Vision Financière – Réduction des coût, ou dégager du temps pour de nouveaux projets.
  • Historique de FIM R2 Common Platform Workflow User Management Connectors Group Logging Management Web Service API Synchronization Credential Policy User Common Platform Group Management Management Management Workflow Management Connectors Logging Web Service API Synchronization Credential Policy Management Management Identity Synchronization Office Integration for Self-Service User Provisioning Declarative Provisioning Certificate and Smartcard Management Group & DL Management Workflow and Policy Support for 3rd Party CAs 1997 1999 2003 2007 2010 2013 Acquired LinkAge Acquired Identity Integration Identity Lifecycle FIM 2010 FIM 2010 & Directory Exchange Zoomit VIA Server 2003 Manager 2007 AD FS 2.0 BHOLD SP1 1999 1999 2005 2009 Active Metadirectory Acquired Identity Lifecycle 2012 Directory Services Alacris Manager 2007 FP1 FIM 2010 R2 BHOLD
  • Quel est votre projet de gestion des identités ? Gestion des Sans gestion Gestion des Méta annuaire identités des identités identités … avancée Portail … utilisateur Réception des Gestion de Délégation demandes: Méta annuaire rôle avancée d’administrati téléphone, Synchro de DataMining on email, outil données Segregation Gestion des Qualité des of duty rôles Traitement : données Attestation Automatisatio manuel ou via n des scripts traitements Reporting Sécurité Gestion des Méta annuaire identités… bien catégoriser son projet pour le réussir
  • Composants de FIM Interfaces 1 CAL par Portail FIM Outlook Windows Custom Reporting Powershell utilisateur Services Vos règles de gestion Reset de mot Gestion des Rôles, Approbation Synchronisation Automatisation de passe cartes attestation, … Moteur de synchronisation Moteur de synchronisation Meta Directory Applications et annuaires Applications et Cloud1 licence par serveur ACTIVE SMART .. Autre FINANCE RH MAIL PABX DIRECTORY CARD
  • Chapitre 2 GESTION DES RÔLESDesign
  • Gestion des rôles dans FIM  Structure organisationnelle de l’entreprise  Assignation de rôles, par UO  Rôles imposés ou proposés  Héritage UO UO UO R R R P P
  • Création de la structure d’UO 13
  • L’unité organisationnelleVision organisationnelle de l’entreprise, UO France • Structure hiérarchique de l’entreprise • Utilisateurs • Rôles hérités • Rôles de l’UO • … 14
  • Création et assignation de « rôles »Lier un Rôle à une unité organisationnelle EMEA Rôle proposé ou imposé 15
  • Vision unité organisationnelle EMEARésultat dans UO EMEA• Rôle positionné sur EMEA• Rôle « Proposé 16
  • Vision unité organisationnelle FRANCE• UO France• Rôle « Proposé », « hérité » ouobligatoire 17
  • BilanUO et Rôles• Description de votre structure d’entreprise via des Unités organisationnelles (différentes des UO Active Directory)• Création de Rôles d’entreprise• Assignation de ces rôles par UO• Un rôle est « proposé » ou « obligatoire »• Un OU peut hériter des rôles de son UO parent (EMEA->France) 18
  • Applications, Permissions et RôlesDonner des habilitations aux utilisateurs via les rôles  Définition des applications d’entreprise  Les applications ont des « permissions »  On assigne des permissions aux rôles  SOD possible entre permissions. UO UO UO R R R P P SOD
  • Schéma de démonstrationUtilisateurs, OU, .. Rôles et permissions .. .SOD France Inde R R R SOD P P P SOD Applications 21  Auditeur peut valider facture à 10K  Au-delà, incompatible
  • Création d’une application ApplicationApplication Finance 22
  • P PApplication et permissions ApplicationApp Finance, permission sur « seuils » de facture
  • R RRôles, et permissions P P  Créer Rôle auditeur, et assigner permission « auditeur « + »facture 10K » … 24
  • France Assigner un rôle à une OU (France) R R• Les rôles sont maintenant proposés via les UO, ils seront donc hérités 25
  • Assignation utilisateur à UO France FranceUn utilisateur peut appartenir à plusieurs UO 26
  • Assignation Rôle (proposé)Rôles hérités de l’OU, récupération des permissions France R R R P P P SOD Application 27
  • Créer la règle d’incompatibilité (SOD) P P SOD Mandatory Overridable SOD 29
  • SOD overridable 30
  • SOD mandatory 31
  • Chapitre 3 ATTESTATIONDesign
  • ATTESTATIONDéfinitions • Attestation : certifier un fait par vive voix ou par écrit • Dans l’IAM, on parle de certification : certifier les accès et les habilitations d’une personne • Il s’agit de valider ou non les relations entre : – Les identités et leur compte – Les identités et leur niveau d’habilitations
  • ATTESTATIONBesoins• D’un point de vue sécurité, il est indispensable de pouvoir contrôler les habilitations des collaborateurs – Eviter les accumulations de droits – Sur les applications sensibles – Permettre de donner des droits fins selon les besoins des collaborateurs• De répondre aux exigences des réglementations pour être conforme – Par exemple, sur les applications qui ont besoin d’être SOX-compliant – Dans SOX, il est stipulé qu’il faut pouvoir évaluer les contrôles d’accès aux applications sur une base annuelle.
  • ATTESTATIONObjectifs• Assurer le niveau d’habilitations des collaborateurs – Ont-ils assez de droit pour travailler et accomplir leur fonction ? – Ont-ils des droits en trop ?• Assurer le granularité des droits – Au niveau des permissions dans les applications du périmètre – Au niveau des comptes dans les applications du périmètre• Déléguer l’attestation aux fonctionnels – Basé sur la hiérarchie de l’organisation – Basé sur les responsables d’application – Basé sur une liste de personnes (cellule habilitation par exemple)  L’objectif est surtout d’attester les habilitations sur les applications sensibles.
  • ATTESTATION Responsable de campagneFonctionnement d’une campagne Steward • Deux types de population Création d’une campagne • Création d’une campagne • Si le Steward n’est pas Maintien de la responsable de l’un des campagne utilisateurs, il le refuse et le Revue des responsable de campagne doit utilisateurs qui réaffecter l’utilisateur à un autre doivent être attestés steward Attestation des • Le Steward accepte ou refuse utilisateurs les droits / Comptes des utilisateurs Fin de la campagne • Si la campagne d’attestation est périodique, une nouvelle instance sera créée selon le timing choisi
  • ATTESTATIONPortail d’attestation• Le portail Attestation est module à part entière• L’accès à ce portail est réservé aux superviseurs et aux stewards
  • ATTESTATIONCréation d’une campagne• Date de validité de la campagne• Configuration de la récursivité• Configuration des rappels
  • ATTESTATIONCréation d’une campagne - Périmètre• Par application : • Par organisation :
  • ATTESTATIONCréation d’une campagne – Périmètre• Deux possibilités : – Soit sur les comptes – Soit sur les permissions
  • ATTESTATIONCréation d’une campagne – Les stewards• Deux possibilités : – Soit par rapport à l’organisation en place – Soit en ajoutant pour la campagne en cours des stewards directement• A la fin de la création de la campagne, les stewards sont notifiés
  • ATTESTATIONAttestation des droits par les Stewards• Le steward voit la liste des instances de campagne qui lui sont affectés• Dans l’instance, les utilisateurs sont listés : le steward choisit quels sont les utilisateurs dont il est responsable
  • ATTESTATIONAttestation des droits par les Stewards • Les utilisateurs sont listés avec leurs comptes • OU : Les utilisateurs sont listés avec leurs permissions
  • ATTESTATIONAttestation des droits par les Stewards• Pour les utilisateurs dont il est responsable, le steward accepte ou refuse les comptes ou les droits• Dans les deux cas, une vérification est faite par rapport à l’action d’un autre steward sur ces droits
  • ATTESTATIONAttestation des droits par les Stewards – les utilisateurs refusés• Les utilisateurs refusés sont visualisés par le responsable de campagne• Ils peuvent être affectés à d’autres stewards
  • ATTESTATIONLes résultats• Tant que l’instance de campagne est en cours, il est possible pour le steward de modifier les attestations• Le responsable de campagne peut visualiser à tout moment les résultats de la campagne• Après la date de fin, même si tous les utilisateurs n’ont pas été attestés, la campagne est fermée et complétée
  • ATTESTATIONExemple OU 1 Moteur FIM R R P1 P1 P2 P2 P3X P3 Application A P1 P2 P3 Application A
  • Chapitre 4 PERSPECTIVESDesign
  • PERSPECTIVES • Pourquoi la gestion des identités ? • Impact sur le SI • Gérer son projet ? Classique ou Quick Win ?Merci !
  • victorj@exakis.comfesnouf@microsoft.com