Comprendre la stratégie identité de Microsoft
-
Upload
microsoft-technet-france -
Category
Technology
-
view
93 -
download
4
Transcript of Comprendre la stratégie identité de Microsoft
N° 1
N° 2
Philippe Beraud@philberd
Jean-Yves Grasset@jyvesgrasset
N° 3
Comprendre la stratégie Identité de
Microsoft
N° 4
Rester en phase avec le cours des évènementsComment la technologie numérique va-t-elle changer le monde d’aujourd'hui ?
Le monde change à un rythme rapideParmi les vagues de changements :
1. Rationalisez votre informatique2. Devenez Numérique grâce à l’économie
des API3. Accompagnez la consumérisation de l’IT4. Entrez dans le monde de l’Internet des
Objets
- BERTOLT BRECHT -
Parce que les choses sont ce qu’elles sont, les choses ne resteront pas ce qu’elles sont. VOTRE
ENVIRONMENT IT
N° 5
Les entreprises doivent connaître les noms et les caractéristiques des entités numériques et physiques avec lesquelles elles interagissent – lorsque séparées dans le cyberespace
Tout doit être en mesure d'avoir une relation numérique dans le monde d'aujourd'hui… …Il n'y a PAS d’économie numérique sans identité• Ceci propulse l’identité au premier rang
d'importance en connaissant et en reconnaissant les personnes, les applications, les appareils, etc. afin qu'ils puissent être autorisés à accéder à l'information à l’intérieur de l’entreprise et entre entreprises
Le business nécessite des relations entre entités
B2E B2B B2C
N° 6
Comment les personnes interagiront-elles avec les services d’identité au travail ?
N° 7
Comment les personnes interagiront-elles avec les services d’identité au travail ?Elles continueront à utiliser des identités internes pour accéder à beaucoup des applications actuelles validées par l’IT…
…Mais vont progressivement utiliser plus d'applications SaaS dans le nuage et au-delà
La plupart des entreprises sont déjà « hybride" qu‘elles le
veuillent ou non.
10xplus d’applications cloud utilisées
que les estimations de
l’IT
Source: Help Net Security 2014
• En fait, beaucoup d’applications SaaS dans le nuage ont été installées sans passer par l’IT interne (« Shadow IT »)
Ce qui signifie que, la clé du succès est de protéger votre entreprise avec une plate-forme d'identité hybride
N° 8
Qu’en est-il des modèles d’identité ?Le modèle IAM traditionnel attaché à un unique domaine de sécurité ne s'applique plus…Le premier modèle de fédération d'identité a atteint ses propres limites
ANNUAIRES INTERNES
ACTIVE DIRECTORY
IDP INTEGRANT LA FEDERATION
CONCUR
“VOS" APPLICATIONS & APIS
VOTRE ANNUAIRE/
FOURNISSEUR D’IDENTITES
INTERNE
Dans des clouds
OFFICE 365
ADP
SALESFORCE
BYOA
…
…
SSO sortant (c.à.d. fédération)
“VOS" APPAREILSAndroid, iOS, Windows, etc.COBO, COPE/BYOD
N° 9
Qu’en est-il des modèles d’identité ? (suite)
ANNUAIRES INTERNES
ACTIVE DIRECTORY
IDP INTEGRANT LA FEDERATION
ANNUAIRES CLOUD /IDaaS
CONCUR
“VOS" APPLICATIONS & APIS+
YOURAZURE AD TENANT
Dans des clouds
OFFICE 365
ADP
SALESFORCE
BYOADans Azure, quelque part…
…
“VOS" APPAREILSAndroid, iOS, Windows, etc.COBO, COPE/BYOD
VOTRE ANNUAIRE/
FOURNISSEUR D’IDENTITES
INTERNE
Un système de gestion d'identité moderne couvrant le cloud et l’interne, offrant le SSO, la gestion de l'identité, l'enregistrement des appareils, l’approvisionnement des utilisateurs, le contrôle d'accès aux applications, la protection des données, etc. pour vos employés
Votre pont d’identité vers le Cloud et ailleurs
Les systèmes internes et cloud forment un continuum
• Devrait permettre le passage de l’interne vers le Cloud ou vice-versa, sans frottement, duplication d’efforts de gestion, et à tout moment
"l’Identité en tant que Service (IDaaS) pour les employés"
• Le sujet est de fournir toutes les fonctions IAM pour permettre aux employés d'accéder en toute sécurité et de façon transparente à toutes leurs applications et leurs ressources là où elles sont
• Des API web unifiées, un panneau de contrôle, un graphe avancé, sécurité et audit, et plus pour en faire une réalité
N° 10
Quid des applications ?Accéder à toutes "VOS" applications et les API quelque soit l’endroit où elles résident
• Intégration avec des applications SaaS dans des clouds et rationalisation du peuplement des applications
• Intégration avec vos propres applications où qu’elles soient
APP NATIVE
APP SERVEUR OU DAEMON
API WEB
SAML 2.0, WS-Fed, OpenID Connect
OAuth 2.0 (OBO)
OAuth 2.0
OAuth 2.0
BROWSER
SPA
CLIENTS UTILISANT UNE GRANDE VARIÉTÉ D’APPAREILS/LANGAGES/PLATEFORMES
APPLICATIONS SERVEURS UTILISANT UNE LARGE VARIÉTÉ DE PLATEFORMES/LANGAGES
Peut invoquer de multiples APIs Web
Peut invoquer bien d’autres APIS web
VOTRE APPLICATI
ON WEB
API WEBOAuth 2.0
(OBO)API WEB
OAuth 2.0 (OBO)
N° 11
Quid des applications? (suite)
Fournir un contrôle d’accès conditionnel à « VOS » applications et API+
• Intégration de l'analyse des menaces basées sur le comportement, au moyen de politiques fondées sur les risques contre les connexions suspectes et les identifiants compromis
APPAREIL ENREGISTRÉ
APPAREILEnregistrement (état)
Etat de santé et respect de la politique
Type de plateformePerdu ou volé
ATTRIBUTS UTILISATEURIdentité Utilisateur
Roles et appartenances groupesForce de l’authentification
/contexte
APPLICATIONPolitique Application
Type de Client (natif, web)
EMPLACEMENTPérimètre IP
AUTRESProfil de risque
Temps
CONDITIONS
ACCÈS REFUSÉ
ACCÈS AUTORISÉ
IMPOSE AUTHENTIFICATION MULTIFACTEUR
ACTIONS"VOS" APPLICATIONS & APISDans des clouds
NOTIFICATIONS, ANALYSE , ET RECTIFICATION
GESTION D’IDENTITÉ BASÉE SUR PRIVILÈGES, SUIVI, ET REVUES DE SÉCURITÉ
PROTECTION DE L’IDENTITÉ
N° 12
Allons au-delà des employé(e)s ! Considérons à présent les dimensions B2B et le B2C.
N° 13
Regardons comment faire du B2BLes 2 modèles actuels sont imparfaits• Relations de fédération d’identité inter-
entreprises• Identités partenaires gérées en interne
… et ajoutent de la complexité et induisent des coûts additionnels
ANNUAIRES INTERNES
ACTIVE DIRECTORY
IDP INTEGRANT LA FEDERATION
CONCUR
“VOS" APPLICATIONS & APIs
VOTRE ANNUAIRE/
FOURNISSEUR D’IDENTITES
INTERNE
Dans des clouds
OFFICE 365
ADP
SALESFORCE
BYOA
…
…
SSO sortant (c.à.d. fédération)
“VOS" APPAREILSAndroid, iOS, Windows, etc.COBO, COPE/BYOD
SSO entrant (c.à.d. fédération)
VOTRE PARTENAIRE
A
VOTRE PARTENAIRE
N
…
VOS PARTENAIRES BUSINESS
COMPTES LOCAUX POUR PARTENAIRES
N° 14
Regardons comment faire du B2B (suite)
"IDaaS pour Partenaires & Chaine Logistique"• Il s’agit de fournir toutes les fonctions IAM dont
une application a besoin pour gérer les partenaires et la chaîne d'approvisionnement:• Les partenaires gèrent leurs propres informations
d'identification quelle que soit leur taille• Les entreprises gèrent elles-mêmes leurs accès
CONCUR
“VOS" APPLICATIONS & APIs+
VOTRELOCATAIRE AZURE AD
Dans des clouds
OFFICE 365
ADP
SALESFORCE
BYOA
…
…
“VOS" APPAREILSAndroid, iOS, Windows, etc.COBO, COPE/BYOD
VOTRE ANNUAIRE/ FOURNISSEUR D’IDENTITES
INTERNE
VOTRE PARTENAIRE
A
VOTRE PARTENAIRE
N
…
VOS PARTENAIRES BUSINESS
N° 15
DémoUne illustration avec Azure AD B2B Invitez simplement vos partenaires !
N° 16
Et le B2C ?
SOCIAL IDPs SOCIAUX ETABLIS
IDPs OPENID CONNECT
IDPsEMERGEANTS
COMPTES LOCAUX …
VOS IDP SOCIAUX SUPPORTÉS
VOS APPLICATIONS & APIs
VOTRE LOCATAIREAZURE AD B2C
Dans des clouds
APP B
APP A
…
…SSO
sortant (c.à.d..
fédération)IDP
SOCIAL A
IDP SOCIAL
M
IDP SOCIAL
X
…
API N
API N
Méga-locataire et Framework adaptable pour les parcours utilisateur avec un moteur de gestion de l’expérience d’identité piloté à 100% par des politiques
100% PILOTÉ PAR POLITIQUES, SANS CODE"IDaaS pour les Clients et les
Citoyens"• Il s’agit de fournir toutes les fonctions IAM dont
une application a besoin pour gérer une audience de clients ou de citoyens :• Gérer l’identité à l’échelle
• Offrir un ou plusieurs parcours utilisateur attractifs
N° 17
DémoUne illustration avec Azure AD B2C Donnez vie à vos différents parcours utilisateur !
N° 18
Comment les criminels interagissent avec les services d’identité ?
N° 19
Comment les criminels interagissent avec les services d’identité ?
VOTREENVIRONNEMENT IT
N° 20
VERS UNE NOUVELLEPOSTURE DE SÉCURITÉ
!
DETECTERen utilisant des signaux ciblés, un suivi comportemental et du Machine Learning
REPONDREen comblant l'écart entre la découverte et
l'action
PROTEGERAu niveau de chaque point de
terminaison, depuis les capteurs jusqu’aux centres de données dans le
Cloud ou en interne
Durcir les opérations pour résister aux cyber menaces en évolution
N° 21
Utiliser les signaux cloud et le Machine Learning pour durcir et faire évoluer les systèmes sur site• Détecter toute activité anormale• Identifier les attaquants et leurs cibles• Augmenter dynamiquement le niveau de défense du
site attaqué• Notifier les clients qu’ils sont attaqués
Voir la session RSA 216 Machine Learning and the Cloud: Disrupting Threat Detection and Prevention
Durcir les opérations pour résister aux cybermenaces en évolution (suite)
N° 22
Pas de changement brutal, pas de mise à jour en blocUtilisation des services cloud pour résoudre les problèmes à l’ère du cloud Ne nécessite pas de bouleversement ou de duplication de l’effort de gestionPasser de l’interne vers le cloud et vice-versa sans frottementN’expose jamais la topologie interne/cloud aux utilisateursAPIs unifiées, panneaux de contrôle, Sécurité et audit
L’Identité 2020 : des interactions invisibles
Vous permettra de bénéficier des avantages bien établis du cloud, et des avantages inattendus pour les défis de l'ère du cloud pour tout gérer depuis les employés, partenaires et clients jusqu’à l’Internet des Objets
Vers une plateforme d’identité hybride
N° 23
Utiliser les signaux cloud et le Machine Learning pour durcir et faire évoluer les systèmes sur site
Investissements importants dans les systèmes sur site pour construire une plate-forme respectant les limites des données d'entreprise• Advanced Threat Analytics pour la détection des
menaces et l’investigation depuis les contrôleurs de domaines AD
• Microsoft Identity Manager• Microsoft Azure Stack
Vers une plateforme d’identité hybride (suite)
Avec un engagement sur un principe au-dessus de tout autre
Le cloud est VOTRE cloud. Le graphe est VOTRE graphe VOUS le définissez et vous le contrôlez.
N° 24
Gagner votre confiance avec une culture de la transparence• Nous opérons nos services avec des standards
éthiques élevées qui procurent la transparence sur la façon dont nous concevons nos solutions et protégeons vos données.
• Qui a accès à vos données ? Où sont-elles ? Que fait Microsoft pour les protéger ? Comment pouvez-vous vérifier que Microsoft respecte ses engagements ?• Autant de questions qui trouvent leur réponse
sur le Centre de confiance Microsoft
Sécurité - Confidentialité - Conformité - Transparence
Centre de confiance Microsoft
trust verbe |\ˈtrəst\
www.microsoft.com/fr-fr/trustcenter
N° 25
Pour aller au delàRetrouvez une version rédigée de la session ! ;-)Mais aussi une collection de livres blancs• aka.ms/aadpapers
N° 26
Pour aller au-delà (suite)
B2E• Démarrer avec Azure AD Domain Services• Quoi de neuf pour AD FS dans Windows Serve
r 2016• Comprendre l’authentification moderne• Qu’est-ce que le contrôle d’accès conditionne
l• Intune MAM (Mobile Application Management
) avec Azure• Azure AD Identity Protection• Introduction à Azure AD Privileged Identity
Protection• Advanced Threat Analytics
B2B• Démarrer avec Azure AD B2B Collaboration
B2C• Démarrer avec Azure AD B2C Basic
Mais aussi des webinaires à retrouver sur ;-)
N° 27
Pour aller au-delà dans un monde en évolution constante…Active AD sur Twitter• Les annonces Azure Active Directory en140 caractères voire moins ;-)• https://twitter.com/azuread
Blog d’équipe Enterprise Mobility + Security• Les derniers développements dans le monde des solutions Microsoft sur la mobilité d’entreprise et la
sécurité, et plus spécifiquement sur Azure Information Protection• https://blogs.technet.microsoft.com/enterprisemobility/
Blog d’équipe Azure AD Graph• L’information Azure Active Directory spécifique à l’API Graph• http://blogs.msdn.com/b/aadgraphteam
Documentation Azure AD• https://docs.microsoft.com/en-us/active-directory/active-directory-whatis• https://azure.microsoft.com/en-us/documentation/services/active-directory/
N° 28N° 28
N° 29
@microsoftfrance @Technet_France @msdev_fr@philberd | @jyvesgrasset
N° 29
N° 30N° 30