Expert sécurité, réseau et services informatiques
Version :
Date :
Diffusion :
Simplifiez et automatisez la gestion de vot...
Expert sécurité, réseau et services informatiques
Agenda
Expert sécurité, réseau et services informatiques
Agenda
Comprend...
Kyos SARL
Contexte – Active Directory « incontournable » dans nos SI
22.04.2015
Simplifiez et automatisez la gestion de vo...
Kyos SARL
Problématiques adressées par Adaxes
• Pas de solution IAM
• L’IAM ne couvre pas nécessairement
tous les cas de g...
Kyos SARL
Softerra Adaxes – A propos de la solution
22.04.2015
Simplifiez et automatisez la gestion de votre Active Direct...
Kyos SARL
Softerra Adaxes – Architecture et composants
22.04.2015
Simplifiez et automatisez la gestion de votre Active Dir...
Kyos SARL
Problématique AD – Hiérarchie « unique »
• Les objets de l’AD (compte, ordinateur, groupes…)
sont « rangés » dan...
Kyos SARL
Fonctionnalité Adaxes – Business Unit
• Créer de regroupement d’objet sur base de règles.
• Gérer des collection...
Kyos SARL
Problématique AD – Permissions sur les objets de l’annuaire
• Système discrétionnaire, multiples ACL*
par objet,...
Kyos SARL
Fonctionnalité Adaxes – Security Role
• Contrôle d’accès basé sur les rôles (RBAC)
‒ Différent des permissions r...
Kyos SARL
Fonctionnalité Adaxes – Security Role
• Composition d’un rôle
‒ permissions sur des type d’objets AD
‒ assigné à...
Kyos SARL
Problématique AD – Normalisation
• Règle de nommage des objets
‒ Clarté, permet des traitements automatisés, aid...
Kyos SARL
Fonctionnalité Adaxes – Property Pattern
• Définir des règles (valeur par défaut, contraintes) pour les attribut...
Kyos SARL
Problématique AD – Automatisation
• Les outils natifs obligent les administrateurs à effectuer « manuellement »
...
Kyos SARL
Fonctionnalité Adaxes – Business Rule
• Automatiser des opérations grâce à des règles avec des conditions, des a...
Kyos SARL
Fonctionnalité Adaxes – Approbations
• Renforcer la sécurité : approbations avant l’exécution des actions.
22.04...
Kyos SARL
Démonstration – Interfaces web & console Adaxes
• Portail GDA : Donner accès à un
partage réseau
• Traçabilité e...
Expert sécurité, réseau et services informatiques
Agenda
Expert sécurité, réseau et services informatiques
Agenda
Témoigna...
Kyos SARL
Le contexte – Service Informatique du Canton du Jura
• 85 services internes
et parapublics
• 1800 utilisateurs
•...
Kyos SARL
Gestion d’Identité interne – Services fournis
• Autorisation d'accès à l'utilisateur
• Messagerie pour l'utilisa...
Kyos SARL
République et Canton du Jura – Projet Sillage
• Une approche
« tactique » à une
problématique IAM
• Existant :
‒...
Kyos SARL
Processus GDA – Constats négatifs
Constat 1
Processus lourd avec beaucoup d’intervenants (CIs, SDI DIR, SDI secr...
Kyos SARL
Objectif de la nouvelle solution
• Dans le contexte actuel, la solution basée sur Excel ne donne plus entière
sa...
Kyos SARL
Migration vers une solution cible pérenne et évolutive
22/04/2015
Simplifiez et automatisez la gestion de votre ...
Kyos SARL
Exigences initiales
• Donner la responsabilité au Service (CI et Approbateur)
• Impliquer le SDI que lorsque c’e...
Kyos SARL
Nouvelle solution – Portail web GDA (Adaxes)
• Les demandes d’accès et de création (ou
modification) d’identité ...
Kyos SARL
Plusieurs interfaces Web
Interface CI
Accessible uniquement par les CI, pour :
• Effectuer des demandes
• Approu...
Kyos SARL
Fonctionnalités proposées aux CI
22/04/2015
Simplifiez et automatisez la gestion de votre Active Directory avec ...
Kyos SARL
Exemple de principe avec la création d’un compte
• Processus : Une
demande de création
d’un compte nécessite
une...
Kyos SARL
Plusieurs rôles d’approbation
• Les demandes d’approbations
sont envoyés à des rôles
(groupes)
‒ Chaque membre d...
Kyos SARL
Conclusion
Un projet IAM Réussi
• Budget d’investissement
respecté : < 100k
• Budget de fonctionnement
très rais...
Kyos SARL
De la sécurité vers la confiance numérique !
22/04/2015
Simplifiez et automatisez la gestion de votre Active Dir...
Expert sécurité, réseau et services informatiques
Agenda
Expert sécurité, réseau et services informatiques
Agenda
Au-delà ...
Kyos SARL
IAM – Comprendre le périmètre d’Adaxes
• Alimente uniquement l’Active Directory.
‒ Alimenter d’autres référentie...
Kyos SARL
IAM – Comprendre le périmètre d’Adaxes
22.04.2015
Simplifiez et automatisez la gestion de votre Active Directory...
Kyos SARL
Administration Adaxes - Scheduled Tasks
• Execution récurrente (ou non) d’actions
‒Désactiver des comptes inacti...
Kyos SARL
Basket – Opérations sur un ensemble d’objet
• Grouper des objets dans un panier
• Exécuter des actions sur l’ens...
Kyos SARL
Office 365 - Automatisation
• Office 365 : pas de solution pour
automatiquement assigner ou révoquer
les licence...
Kyos SARL
Besoins spécifiques – API, SPML*,…
22.04.2015
Simplifiez et automatisez la gestion de votre Active Directory ave...
Kyos SARL
A RETENIR - Simplifier et automatiser la gestion Active Directory avec
22.04.2015
Simplifiez et automatisez la g...
Expert sécurité, réseau et services informatiques
Agenda
Expert sécurité, réseau et services informatiques
Agenda
Discussi...
Expert sécurité, réseau et services informatiques
Contact us
Kyos SARL
Avenue Rosemont, 12 bis
1208 Genève
Tel. : +41 22 5...
Prochain SlideShare
Chargement dans…5
×

Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes

1 137 vues

Publié le

Le 22.04.2015, Kyos a organisé un petit déjeuner sur Genève autour du thème "Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes"

Introduction :
L’Active Directory est aujourd’hui au cœur des projets de la gestion des identités et des accès. Ce référentiel reconnu nécessite, la plupart du temps, l’intervention des équipes IT pour réaliser des tâches parfois administratives.
Adaxes, de l’éditeur Softerra, propose une solution permettant de créer des workflows et des portails self-services. Ainsi, l’IT peut se recentrer sur des missions à forte valeur ajoutée.

Publié dans : Technologie
0 commentaire
3 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
1 137
Sur SlideShare
0
Issues des intégrations
0
Intégrations
41
Actions
Partages
0
Téléchargements
12
Commentaires
0
J’aime
3
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive
  • Même avec IAM en place, l’administration « manuelle » reste nécessaire pour :
    Les cas non-traité par IAM (urgence, compte technique,…)
    Les activités de « nettoyage »
    Le « debug » en cas de problème (droits mal positionné, exception ! )
  • L’IAM est un processus continu… qui peut être long à mettre en place car liée aux processus et à l’organisation. Adaxes peut être une réponse tactique pour effectuer une première itération et offrir un premier niveau de service IAM.
  • Softerra est fournisseur de solution présent depuis 1999. En plus de fournir des services de développement de logiciels personnalisés dans les domaines du web et de base de données, Softerra propose également des solutions packagées notamment pour la gestion des annuaires telle qu’Adaxes.
    La solution Adaxes de Softerra est aujourd’hui installée chez plus de 50'000 entreprises et organisations dans le monde.

    Softerra Adaxes is a comprehensive solution for Active Directory management, administration and monitoring.
    Softerra Adaxes enables you to automate, streamline, and secure Active Directory provisioning.
    Softerra Adaxes includes an Active Directory Web Interface that ensures access to Active Directory via web browser as well as enables user self-service and help-desk activities.
    The Password Self-Service feature of Adaxes eliminates the biggest source of help desk calls - forgotten passwords and locked out accounts.
    Softerra Adaxes guarantees high-performance Active Directory identity management for your enterprise due to:
    Role-based model for Active Directory delegation
    Active Directory automation
    Approval-based workflow
    Enterprise standards enforcement rules
  • Transition :
    Présentation des principaux concepts / objets de configuration
    Puis illustration dans l’outil au travers d’un cas d’utilisation
  • Souvent déterminé en fonction de l’application de GPO ou encore des lieu géographique (contrainte réseau, sécu, besoin d’être « proche » des workstations.
  • The native means for Active Directory delegation introduce a number of challenges and are often ineffective due to the following reasons:
    The process involves modification and maintenance of multiple Access Control Lists (ACLs) accross many objects in Active Directory, which is very error-prone and often results in users either not having access they need or having elevated administrative privileges they don't need.

    There is no central place to store and manage permissions, and, as a result, it is rather challenging to control who has what privileges and why.
    Permissions can be applied either at the domain or OU levels only. This significantly complicates the delegation process, because the Active Directory OU structure is often designed for effective application of Group Policy Objects, rather than for delegation of security rights.

    Native delegation model only allows you to delegate permissions with a scope limited to either entire AD domain or a specific organizational unit. The role-based delegation model implemented in Adaxes gives you much more flexibility by enabling a more granular and accurate assignment of rights by allowing you to delegate permissions over:
    - all objects located in one or several AD domains or forests,
    - objects located under an OU (all descendants or only immediate children),
    - members of AD groups (direct or indirect),
    - specific AD objects,
    - members of Business Units (virtual OUs).

  • Softerra Adaxes provides the role-based security model that allows granular management and distribution of permissions on Active Directory objects.
    Permissions are combined into Security Roles according to the powers the permissions grant .
    When Security Role permissions are modified, these changes affect all users or groups, to which the Role is assigned.
    In such a way, permissions can be managed centrally which makes Active Directory delegation more granular, accurate, and secure.
  • Les bénéfices d’une nomenclature peuvent se décliner de la façon suivante :
    - fournir une information supplémentaire (i.e. métadonnées) sur l'utilisation d'un identifiant ;
    - aider à formaliser les attentes et promouvoir la cohérence dans une équipe de développement/ administrateur ;
    - permettre l'utilisation de maintenance automatisée ou de recherche, et remplacer les outils avec des risques minimum d'erreur ;
    - améliorer la clarté dans les cas d'ambiguïtés ;
    - améliorer l'apparence esthétique et professionnelle du produit (par exemple, en interdisant les noms trop longs, comiques ou "cute", ou les abréviations) ;
    - aider à éviter les "doublons"
  • Grâce à des :
    Variables
    Des expressions régulières
    Des listes prédéfinies
  • The introduction of an automated approach to Active Directory management and administration allows you to:
    - standardize and streamline user provisioning and deprovisioning,
    - reduce the time and effort associated with Active Directory maintenance,
    - improve the compliance with security policies by minimizing the human factor,
    - ensure the integrity and consistency of Active Directory data.
  • Fonctionne même pour les actions d’une admin. via la console !
  • Portail GDA . Scénario à montrer

    Se connecter comme le CI sdi-citest sur l’interface
    Cliquer sur l’action Demande d’accès à un partage réseau standard
    Choisir le user sdi1test (rappeller que le liste des user visible est limitée grace a un security role)
    Donner le droit sur un partage (rappeller que le liste des groupes visible est limitée grâce a un security role et une business unit)
    Montrer qu’une demande d’approbation est en attente
    Se connecter comme CS (Approbateur) et approuver la demande (montrer en // que la demande pourrait être approuvée par la console d’admin)
    Montrer la trace des opérations, évoquer l’exportation DB MSSQL et/ou syslog.
    Survoler le reporting, montrer la vision des rôles depuis le user sdi-citest.
    Rappeler / montrer en fonction du temps, que l’interface web ne nécessite pas du développement mais du paramétrage.
  • Notes pour le formateur :
  • En plus de l’automatisation MS Exchange
  • Adaxes ADSI Provider
    Adaxes ADSI Provider est une API basée sur la technologie Microsoft COM. Elle peut être utilisée par VBScript, JScript, VB, VB.Net, C++, C# ou tout autre langage de programmation capable d’interagir avec COM. Ceci afin de développer des clients spécifiques pour consommer les services du Service Adaxes.
    Support SPML
    Softerra Adaxes supporte le protocole SPML (SPML 2.0 DSML profile). Softerra Adaxes peut envoyer des requêtes SPML à un tiers SPML lorsqu’une opération est effectuée sur l’Active Directory. Un provider SPML (fournit sous de forme de web service) est également disponible pour permettre à une application tierce d’accéder à des ressources Active Directory via SPML.
    A standard pour l’alimentation (provisioning) des identités et des accès entre différentes « service » (applications). Un moyen notamment d’intégrer Adaxes à une solution IAM existante disposant déjà de connecteurs SPML.
  • Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes

    1. 1. Expert sécurité, réseau et services informatiques Version : Date : Diffusion : Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes Bruno Kerouanton – République et Canton du Jura Maxime Feroul - Kyos Public 3.0 22.04.2015 Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes
    2. 2. Expert sécurité, réseau et services informatiques Agenda Expert sécurité, réseau et services informatiques Agenda Comprendre la solution Adaxes …à travers l’implémentation effectuée pour la République et Canton du Jura. ‐ Comprendre la solution Adaxes ‐ Témoignage Client : Mr B. Kerouanton (Chef du Groupe de Compétences Sécurité) de la République et Canton du Jura ‐ Au-delà de la gestion des identités et des accès : Administration Active Directory ‐ Discussions ouvertes Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes
    3. 3. Kyos SARL Contexte – Active Directory « incontournable » dans nos SI 22.04.2015 Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes 3 • 3 perspectives : ‒Gestion des identités et des accès (IAM) ‒Administration ‒Traçabilité, Audit Utilisateurs, Approbateurs, Helpdesk Administrateurs Contrôle, Audit Solution de gestion des identités et des accès Console native (Active Directory Users and Computers). Développeur, Intégrateur,…
    4. 4. Kyos SARL Problématiques adressées par Adaxes • Pas de solution IAM • L’IAM ne couvre pas nécessairement tous les cas de gestion ‒ i.e. comptes techniques • Console Native AD ‒ Délégation « difficile », Non-Web ‒ Pas d’enchainement des opérations, ni de « workflow » d’approbation ‒ Traçabilité possible mais « reporting » difficile 22.04.2015 Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes 4 IAM
    5. 5. Kyos SARL Softerra Adaxes – A propos de la solution 22.04.2015 Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes 5 Simplifier et automatiser la gestion des annuaires Active Directory Améliorer la sécurité Réduire la charge de travail des administrateurs Standardiser l’environnement AD Traçabilité, rapport Coûts de licence et de maintenance « raisonnables »
    6. 6. Kyos SARL Softerra Adaxes – Architecture et composants 22.04.2015 Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes 6 • Fonctionne comme un «Proxy» ‒ les clients se connectent au serveur Adaxes via un canal chiffré ‒ le service Adaxes se connecte à l’Active Directory via un compte technique «privilégié»
    7. 7. Kyos SARL Problématique AD – Hiérarchie « unique » • Les objets de l’AD (compte, ordinateur, groupes…) sont « rangés » dans une et une seule OU (Organisational Unit) • Cette hiérarchie est construite en fonction de différentes dimensions (géographique, organisationnelle, type d’objet). 22.04.2015 Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes 7 Comment appliquer des règles de gestion sur les admins de manière générale et d’autres spécifiques aux admins du siège (HQ) ?
    8. 8. Kyos SARL Fonctionnalité Adaxes – Business Unit • Créer de regroupement d’objet sur base de règles. • Gérer des collections d’objets indépendamment de leur emplacement dans la hiérarchie de l’AD. 22.04.2015 Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes 8
    9. 9. Kyos SARL Problématique AD – Permissions sur les objets de l’annuaire • Système discrétionnaire, multiples ACL* par objet, Héritage en fonction de la hiérarchie des OU ‒ Gestion « fastidieuse » ‒ Source d’erreur (manque d’accès ou trop d’accès) • Scénario de délégation par «rôle» pour la création, mais ensuite navigation par objet et «vision» par permission ‒ Audit plus complexe. ‒ Difficile d’avoir une vision «agrégée» par rôle. 22.04.2015 Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes 9 *ACL : Access Control List
    10. 10. Kyos SARL Fonctionnalité Adaxes – Security Role • Contrôle d’accès basé sur les rôles (RBAC) ‒ Différent des permissions réelles AD ‒ Uniquement via les clients Adaxes 22.04.2015 Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes 10 Accès aux objets limité en fonction de «Security Role». Service Adaxes Le service Adaxes se connecte avec un compte disposant de plus de privilèges. Utilisateur, Administrateur, ...
    11. 11. Kyos SARL Fonctionnalité Adaxes – Security Role • Composition d’un rôle ‒ permissions sur des type d’objets AD ‒ assigné à des comptes (ou groupes) AD sur 1 à N sous-ensemble d’objets (OU, Groupe, Business Unit,…) • Rôles «dynamiques» en combinant avec les Business Unit 22.04.2015 Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes 11 Un utilisateur « authentifié » peut lire (donc voir le nom) des groupes dont il est membre.
    12. 12. Kyos SARL Problématique AD – Normalisation • Règle de nommage des objets ‒ Clarté, permet des traitements automatisés, aide à éviter les doublons, etc. • Difficile à appliquer dans un mode de gestion «manuelle» ‒ Attributs non obligatoires oubliés, saisie «inutile» pour les attributs pouvant être composés automatiquement, etc. 22.04.2015 Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes 12
    13. 13. Kyos SARL Fonctionnalité Adaxes – Property Pattern • Définir des règles (valeur par défaut, contraintes) pour les attributs des objets 22.04.2015 Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes 13 L’attribut Department est initialisé avec la valeur de l’OU dans laquelle est créé l’objet. L’attribut Full Name est composé du prénom et du nom. Ces règles ne s’appliquent que sur les objets de l’OU HQUsers.
    14. 14. Kyos SARL Problématique AD – Automatisation • Les outils natifs obligent les administrateurs à effectuer « manuellement » de multiples opérations. ‒ créer un compte, l’ajouter à des groupes (10 groupes = 10 actions), créer une boite aux lettres, Attribuer une licence office 365, etc. • L’automatisation permet de ‒ diminuer l’effort et le temps de maintenance ‒ standardiser la création de comptes, groupes, … ‒ réduire les sources d’erreurs (facteur humain) et donc améliorer : • la conformité avec les politiques de sécurité, • l’intégrité et la consistance des données de l’AD. 22.04.2015 Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes 14
    15. 15. Kyos SARL Fonctionnalité Adaxes – Business Rule • Automatiser des opérations grâce à des règles avec des conditions, des actions. • Applicable sur une collection d’objets (Scope). 22.04.2015 Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes 15
    16. 16. Kyos SARL Fonctionnalité Adaxes – Approbations • Renforcer la sécurité : approbations avant l’exécution des actions. 22.04.2015 Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes 16 Approbation via les interfaces web ou via la console
    17. 17. Kyos SARL Démonstration – Interfaces web & console Adaxes • Portail GDA : Donner accès à un partage réseau • Traçabilité et rapports 22.04.2015 Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes 17
    18. 18. Expert sécurité, réseau et services informatiques Agenda Expert sécurité, réseau et services informatiques Agenda Témoignage Client Mr B. Kerouanton (Chef du Groupe de Compétences Sécurité) de la République et Canton du Jura. ‐ Comprendre la solution Adaxes ‐ Témoignage Client : Mr B. Kerouanton (Chef du Groupe de Compétences Sécurité) de la République et Canton du Jura ‐ Au-delà de la gestion des identités et des accès : Administration Active Directory ‐ Discussions ouvertes Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes
    19. 19. Kyos SARL Le contexte – Service Informatique du Canton du Jura • 85 services internes et parapublics • 1800 utilisateurs • 3500 groupes de sécurité • 3000 dossiers partagés • 500 applications • 100 demandes de Gestion Des Accès (GDA) par mois. Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes
    20. 20. Kyos SARL Gestion d’Identité interne – Services fournis • Autorisation d'accès à l'utilisateur • Messagerie pour l'utilisateur • Volumes système de fichiers • Accès à des ressources applicatives • Accès à l'impression papier • Autres besoins spécifiques En place depuis <2000, évolutions successives (Novell => AD) 22/04/2015 Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes 20
    21. 21. Kyos SARL République et Canton du Jura – Projet Sillage • Une approche « tactique » à une problématique IAM • Existant : ‒ Demande circulant via un fichier Excel. ‒ Moteur de « digestion » du fichier pour alimenter l’AD 22.04.2015 Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes 21
    22. 22. Kyos SARL Processus GDA – Constats négatifs Constat 1 Processus lourd avec beaucoup d’intervenants (CIs, SDI DIR, SDI secrétariat, Admin systèmes, etc.) Constat 2 Support (fiche plan et droits) compliqué à comprendre et à maintenir. Risque élevé. Constat 3 Traçabilité des modifications non assurées Constat 4 Charge importante au SDI pour gérer les accès 22/04/2015 Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes 22
    23. 23. Kyos SARL Objectif de la nouvelle solution • Dans le contexte actuel, la solution basée sur Excel ne donne plus entière satisfaction. • Un objectif tactique : permettre le remplacement des fonctions primordiales de l’outil Excel avant la fin de l’année. ‒ A ce titre, le projet n’a pas pour objectif de redéfinir l’entièreté des processus de gestion des identités et des accès, mais seulement d’adapter ceux existants qui s’appuient sur le moteur Excel. • La solution retenue pour atteindre cet objectif, est une solution de gestion des annuaires Active Directory : Adaxes de l’éditeur Softerra. 4/29/2015 SEC-14-0007 – Intégration Adaxes (Projet Sillage) 23
    24. 24. Kyos SARL Migration vers une solution cible pérenne et évolutive 22/04/2015 Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes 24 Console administration Interfaces Web CIApprobateursAdministrateurs Service Adaxes Active Directory
    25. 25. Kyos SARL Exigences initiales • Donner la responsabilité au Service (CI et Approbateur) • Impliquer le SDI que lorsque c’est nécessaire (ex : licences, sécurité,…) • Formaliser chaque processus ‒ Exemple simple : création d’un compte. ‒ Exemple complexe : demande d’accès à une application. 22/04/2015 Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes 25
    26. 26. Kyos SARL Nouvelle solution – Portail web GDA (Adaxes) • Les demandes d’accès et de création (ou modification) d’identité sont exprimées et approuvées via des interfaces web • Le «serveur» alimente automatiquement l’AD et offre des fonctions comme : ‒ des règles d’approbation, de notification ‒ des règles de «création/ modification automatique» : ajout à un groupe, modification d’un attribut, etc. ‒ la traçabilité des actions 22.04.2015 Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes 26 Console administration Interfaces Web CIApprobateursAdministrateurs Service Adaxes Active Directory
    27. 27. Kyos SARL Plusieurs interfaces Web Interface CI Accessible uniquement par les CI, pour : • Effectuer des demandes • Approuver des demandes • Consulter des informations sur les comptes utilisateurs du (ou des) service(s) géré(s) Interface GDA Accessible par tous, pour : • Approuver des demandes • Consulter des informations sur les comptes utilisateurs, en fonction de nos permissions : – i.e un chef de service ou un CI ne verront que les utilisateurs de leur service • Ne permet pas d’effectuer des demandes ! SEC-14-0007 – Intégration Adaxes (Projet Sillage)
    28. 28. Kyos SARL Fonctionnalités proposées aux CI 22/04/2015 Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes 28
    29. 29. Kyos SARL Exemple de principe avec la création d’un compte • Processus : Une demande de création d’un compte nécessite une approbation par les approbateurs du service. 4/29/2015 SEC-14-0007 – Intégration Adaxes (Projet Sillage) 29 Approbateurs du service Notification d approbation Approuve la demande via https://gda.jura.ch Demande de création de compte depuis https://gda.jura.ch/ci Demande d approbation CI du service Nouveau compte Nouveau compte Active Directory
    30. 30. Kyos SARL Plusieurs rôles d’approbation • Les demandes d’approbations sont envoyés à des rôles (groupes) ‒ Chaque membre du rôle reçoit la demande par email ‒ Le premier qui approuve déclenche la suite du processus • Dans ce cas les autres approbateurs verront que la demande est déjà approuvée. • Rôles principaux : ‒ Approbateurs de service : (i.e le chef de service) approuvent les demandes concernant leur service. ‒ Responsable applicatif ‒ Responsable exploitation ‒ Responsable sécurité SEC-14-0007 – Intégration Adaxes (Projet Sillage)
    31. 31. Kyos SARL Conclusion Un projet IAM Réussi • Budget d’investissement respecté : < 100k • Budget de fonctionnement très raisonnable • Délégation aux utilisateurs  Gain de productivité, satisfaction ! 22/04/2015 Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes 31
    32. 32. Kyos SARL De la sécurité vers la confiance numérique ! 22/04/2015 Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes 32
    33. 33. Expert sécurité, réseau et services informatiques Agenda Expert sécurité, réseau et services informatiques Agenda Au-delà de la gestion des identités et des accès Administration Active Directory ‐ Comprendre la solution Adaxes ‐ Témoignage Client : Mr B. Kerouanton (Chef du Groupe de Compétences Sécurité) de la République et Canton du Jura ‐ Au-delà de la gestion des identités et des accès : Administration Active Directory ‐ Discussions ouvertes Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes
    34. 34. Kyos SARL IAM – Comprendre le périmètre d’Adaxes • Alimente uniquement l’Active Directory. ‒ Alimenter d’autres référentiels nécessite d’utiliser un tiers SPML et/ou un développement spécifique. • N’étant pas un méta-annuaire, il n’offre pas de vue agrégée de tous les attributs d’identité détenus par d’autres référentiels. • Les capacités de «workflow» et de personnalisation des interfaces web sont limitées. ‒ Pas d’utilisation de source de données externes pour alimenter les différentes étapes des «workflows». ‒ Pas d’enchainements de plusieurs écrans de formulaires interactifs entre plusieurs acteurs. ‒ Pas de champs autres que des attributs d’un objet Active Directory dans les interfaces web. 22.04.2015 Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes 34
    35. 35. Kyos SARL IAM – Comprendre le périmètre d’Adaxes 22.04.2015 Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes 35 IAM AdaxesOK • L’AD come principal référentiel • Processus « adaptables » aux limites de l’outil • IAM en cours de maturité, besoin d’une première itération (tactique) • Opérations d’administration non couvertes par la solution IAM en place. IAM PertinenceAdaxesàétudier • Nombreux référentiels à alimenter et/ou a utiliser pour supporter les opérations d’alimentation • Processus et workflow complexes Au-delà de l’IAM, Adaxes reste une solution pertinente pour les 2 autres perspectives : Administration et Traçabilité des opérations menées sur l’Active Directory.
    36. 36. Kyos SARL Administration Adaxes - Scheduled Tasks • Execution récurrente (ou non) d’actions ‒Désactiver des comptes inactifs depuis plus d’une certaine période, ‒Notifier de l’expiration prochaine d’un mot de passe ou d’un compte, ‒Générer un rapport spécifique : i.e Approbations en attente,… 22.04.2015 Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes 36 Historique de l’activité
    37. 37. Kyos SARL Basket – Opérations sur un ensemble d’objet • Grouper des objets dans un panier • Exécuter des actions sur l’ensemble des objets ‒Copier des groupes ! ‒Modifier un attribut 22.04.2015 Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes 37
    38. 38. Kyos SARL Office 365 - Automatisation • Office 365 : pas de solution pour automatiquement assigner ou révoquer les licences utilisateurs. Les administrateurs doivent changer d’outils. • Adaxes permet : ‒de n’utiliser qu’une interface, ‒d’offrir du self-service avec approbation, ‒d’être “multi-tenant”. 22.04.2015 Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes 38
    39. 39. Kyos SARL Besoins spécifiques – API, SPML*,… 22.04.2015 Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes 39 Powershell, SDK (VBScript, JScript, VB, VB.Net, C++, C# ) • Implémenter des actions spécifiques dans les « business rules » et les « scheduled tasks ». •Développer des clients spécifiques : consommer directement le moteur Adaxes depuis un script, une application « externe ». Intégration SPML •Envoi de requêtes à un tiers SPML lorsqu’une opération est effectuée sur l’AD. •Provider SPML (web service) permettant à une application tierce d’accéder à des ressources AD. *Service Provisioning Markup Language
    40. 40. Kyos SARL A RETENIR - Simplifier et automatiser la gestion Active Directory avec 22.04.2015 Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes 40 Améliorer la sécurité Réduire la charge de travail des administrateurs Standardiser l’environnement AD Traçabilité, rapports Coûts de licence et de maintenance « raisonnables » • Accès basé sur les rôles • Approbation des actions • 200 utilisateurs : ~2000 CHF(600 CHF) • 2000 utilisateurs : ~10600 CHF(3100 CHF) • Modèles, Règles d’initialisation et de contrôle lors de la création / modification d’objets et d’attributs • Délégation , « Self-Service » • Règles de gestion automatisées (enchainement de multiples opérations, opérations groupées sur des collections d’objets, …) • Taches récurrentes (contrôle, nettoyage) • Automatisation Ms Exchange, Office 365 et Lync • DB de traces de toutes les opérations, syslog • Multiples rapports (comptes inactifs, qui vont bientôt expirer,…)
    41. 41. Expert sécurité, réseau et services informatiques Agenda Expert sécurité, réseau et services informatiques Agenda Discussions ouvertes ‐ Comprendre la solution Adaxes ‐ Témoignage Client : Mr B. Kerouanton (Chef du Groupe de Compétences Sécurité) de la République et Canton du Jura ‐ Au-delà de la gestion des identités et des accès : Administration Active Directory ‐ Discussions ouvertes Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes
    42. 42. Expert sécurité, réseau et services informatiques Contact us Kyos SARL Avenue Rosemont, 12 bis 1208 Genève Tel. : +41 22 566 76 30 Fax : +41 22 734 79 03 www.kyos.ch info@kyos.ch Expert sécurité, réseau et services informatiques Contactez nous Kyos SARL Avenue Rosemont, 12 bis 1208 Genève Tel. : +41 22 566 76 30 Fax : +41 22 734 79 03 www.kyos.ch info@kyos.ch Merci Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes

    ×