Au cours de cette session vous aller découvrir la solution Forefront Identity Manager sur la base de scénarios que tous les clients rencontrent. Vous verrez comment il sera possible d’automatiser sur la base de « vos règles » (et des recommandations Microsoft) toutes les tâches classiques autour des utilisateurs, les groupes, les applications.. et les habilitations au sens large. Vous saurez alors comment la gestion des identité peut avoir rapidement un impact significatif sur le service aux utilisateurs, la sécurité, le coût d’exploitation de l’infrastructure... Nous profiterons de cette session pour décrire les nouveautés de la version R2 arrivée il y a quelques mois
FIM 2010 R2 : Gestion des identités, automatisation des traitements, et gestion avancée
1. FIM 2010 R2 : Gestion des identités,
automatisation des traitements, et
gestion avancée
Frédéric Esnouf, Microsoft
Victor Joatton, Exakis
Infrastructure et Gestion des identités
2. Agenda
• Présentation de FIM
– Démonstrations
• Gestion des rôles
– SOD
• Attestation
– Présentation
4. La gestion des identités
• Vision IT/Infrastructure
– Souhait des équipes technique de se dégager du
temps, de réduire les tâches administratives
• Vision Sécurité
– Qui a accès à quoi ? Bonnes pratiques &
Audit/compliance
• Vision Financière
– Réduction des coût, ou dégager du temps pour de
nouveaux projets.
5. Historique de FIM
R2
Common Platform
Workflow
User
Management Connectors Group
Logging Management
Web Service API
Synchronization
Credential Policy
User Common Platform Group Management Management
Management Workflow Management
Connectors
Logging
Web Service API
Synchronization
Credential Policy
Management Management
Identity Synchronization Office Integration for Self-Service
User Provisioning Declarative Provisioning
Certificate and Smartcard Management Group & DL Management
Workflow and Policy
Support for 3rd Party CAs
1997 1999 2003 2007 2010 2013
Acquired LinkAge Acquired Identity Integration Identity Lifecycle FIM 2010 FIM 2010 &
Directory Exchange Zoomit VIA Server 2003 Manager 2007 AD FS 2.0 BHOLD SP1
1999 1999 2005 2009
Active Metadirectory Acquired Identity Lifecycle 2012
Directory Services Alacris Manager 2007 FP1 FIM 2010 R2
BHOLD
6. Quel est votre projet de gestion des
identités ?
Gestion des
Sans gestion Gestion des
Méta annuaire identités
des identités identités
… avancée
Portail
…
utilisateur
Réception des Gestion de
Délégation
demandes: Méta annuaire rôle avancée
d’administrati
téléphone, Synchro de DataMining
on
email, outil données Segregation
Gestion des
Qualité des of duty
rôles
Traitement : données Attestation
Automatisatio
manuel ou via
n des
scripts
traitements
Reporting
Sécurité Gestion des
Méta annuaire
identités
… bien catégoriser son projet pour le réussir
7. Composants de FIM
Interfaces
1 CAL par
Portail FIM Outlook Windows Custom Reporting Powershell
utilisateur
Services
Vos règles de gestion
Reset de mot Gestion des Rôles,
Approbation Synchronisation Automatisation de passe cartes attestation, …
Moteur de synchronisation
Moteur de
synchronisation
Meta
Directory
Applications et annuaires Applications et Cloud
1 licence par
serveur ACTIVE SMART
.. Autre FINANCE RH MAIL PABX
DIRECTORY CARD
12. Gestion des rôles dans FIM
Structure organisationnelle de l’entreprise
Assignation de rôles, par UO
Rôles imposés ou proposés
Héritage
UO
UO UO
R R
R
P P
18. Bilan
UO et Rôles
• Description de votre structure d’entreprise via des Unités
organisationnelles (différentes des UO Active Directory)
• Création de Rôles d’entreprise
• Assignation de ces rôles par UO
• Un rôle est « proposé » ou « obligatoire »
• Un OU peut hériter des rôles de son UO parent (EMEA->France)
18
19.
20. Applications, Permissions et Rôles
Donner des habilitations aux utilisateurs via les rôles
Définition des applications d’entreprise
Les applications ont des « permissions »
On assigne des permissions aux rôles
SOD possible entre permissions.
UO
UO UO
R R
R
P P
SOD
21. Schéma de démonstration
Utilisateurs, OU, .. Rôles et permissions .. .SOD
France Inde
R R
R
SOD
P P P
SOD
Applications
21
Auditeur peut valider facture à 10K
Au-delà, incompatible
33. ATTESTATION
Définitions
• Attestation : certifier un fait par vive voix ou par écrit
• Dans l’IAM, on parle de certification : certifier les accès et les
habilitations d’une personne
• Il s’agit de valider ou non les relations entre :
– Les identités et leur compte
– Les identités et leur niveau d’habilitations
34. ATTESTATION
Besoins
• D’un point de vue sécurité, il est indispensable de pouvoir
contrôler les habilitations des collaborateurs
– Eviter les accumulations de droits
– Sur les applications sensibles
– Permettre de donner des droits fins selon les besoins des collaborateurs
• De répondre aux exigences des réglementations pour être
conforme
– Par exemple, sur les applications qui ont besoin d’être SOX-compliant
– Dans SOX, il est stipulé qu’il faut pouvoir évaluer les contrôles d’accès aux applications sur une base
annuelle.
35. ATTESTATION
Objectifs
• Assurer le niveau d’habilitations des collaborateurs
– Ont-ils assez de droit pour travailler et accomplir leur fonction ?
– Ont-ils des droits en trop ?
• Assurer le granularité des droits
– Au niveau des permissions dans les applications du périmètre
– Au niveau des comptes dans les applications du périmètre
• Déléguer l’attestation aux fonctionnels
– Basé sur la hiérarchie de l’organisation
– Basé sur les responsables d’application
– Basé sur une liste de personnes (cellule habilitation par exemple)
L’objectif est surtout d’attester les habilitations sur
les applications sensibles.
36. ATTESTATION Responsable
de campagne
Fonctionnement d’une campagne
Steward
• Deux types de population
Création d’une
campagne
• Création d’une campagne
• Si le Steward n’est pas Maintien de la
responsable de l’un des campagne
utilisateurs, il le refuse et le
Revue des
responsable de campagne doit utilisateurs qui
réaffecter l’utilisateur à un autre doivent être attestés
steward
Attestation des
• Le Steward accepte ou refuse utilisateurs
les droits / Comptes des
utilisateurs Fin de la campagne
• Si la campagne d’attestation est
périodique, une nouvelle
instance sera créée selon le
timing choisi
37. ATTESTATION
Portail d’attestation
• Le portail Attestation est module à part entière
• L’accès à ce portail est réservé aux superviseurs et aux stewards
41. ATTESTATION
Création d’une campagne – Les stewards
• Deux possibilités :
– Soit par rapport à l’organisation
en place
– Soit en ajoutant pour la
campagne en cours des stewards
directement
• A la fin de la création
de la campagne, les
stewards sont notifiés
42. ATTESTATION
Attestation des droits par les Stewards
• Le steward voit la liste des instances de campagne qui lui sont
affectés
• Dans l’instance, les utilisateurs sont listés : le steward choisit
quels sont les utilisateurs dont il est responsable
43. ATTESTATION
Attestation des droits par les Stewards
• Les utilisateurs sont
listés avec leurs
comptes
• OU : Les utilisateurs
sont listés avec leurs
permissions
44. ATTESTATION
Attestation des droits par les Stewards
• Pour les utilisateurs dont il est responsable, le steward accepte ou
refuse les comptes ou les droits
• Dans les deux cas, une vérification est faite par rapport à l’action d’un
autre steward sur ces droits
45. ATTESTATION
Attestation des droits par les Stewards – les utilisateurs refusés
• Les utilisateurs refusés sont visualisés par le responsable de
campagne
• Ils peuvent être affectés à d’autres stewards
46. ATTESTATION
Les résultats
• Tant que l’instance de campagne est en cours, il est possible pour
le steward de modifier les attestations
• Le responsable de campagne peut visualiser à tout moment les
résultats de la campagne
• Après la date de fin, même si tous les utilisateurs n’ont pas été
attestés, la campagne est fermée et complétée
47. ATTESTATION
Exemple
OU 1
Moteur FIM
R R P1
P1
P2
P2
P3
X P3
Application A
P1 P2 P3
Application A