e-si@m

Active Directory, Applications dgazin@microsoft.com

STIME/Groupement des Mousquetaires

03 Novembre 2003

Active Directory et Applications : Agenda

1. Qu’est ce que l’AD

2. Exemples d’utilisation1. Microsoft et autres editeurs

1. Annuaire: Exchange2. Sécurité: MS SQL-server, ISA server3. SAP, Korean Telecom

2. Exemple de développement d’Entreprise1. Identification Extranet2. Profil metier et construction d’IHM

3. Profil metier et validation de transaction.4. Interaction avec d’autres annuaires

3. Questions, réponses ?

Qu’est ce que l’AD

AD et Applications : Qu’est ce que l’Active Directory ?

Active Directory peut être assimilé en première approximation à tout autre annuaire LDAP

Un annuaire LDAP V2, V3:> Des objets Microsoft: user> Des objets RFC: inetOrgPerson> Possibilité de FastBind

Une base de sécurité> Authentification des Utilisateurs> Droits sur les objets de l’annuaire

Des mécanismes de transport et de localisation

Active Directory N’est PAS un SGBDR

La frontière de l’annuaire est la forêt

Un ensemble d’arbres de domaines qui :Un ensemble d’arbres de domaines qui : Utilisent le même schéma Utilisent le même schéma Partagent le même Catalogue GlobalPartagent le même Catalogue Global Reliés par les relations de confiance Reliés par les relations de confiance

KerberosKerberos

AD et Applications : Qu’est ce qu’une forêt ?

Active Directory peut alimenter ou être alimenté par tout autre annuaire (LDAP)

L’ arbre est un ensemble de domaines dans un même espace de nommage (contiguë)

Ensemble de domaines regroupés Ensemble de domaines regroupés hiérarchiquement par relation parent-enfanthiérarchiquement par relation parent-enfant

Les utilisateurs peuvent accéder à toute Les utilisateurs peuvent accéder à toute information à l’intérieur de l’arbre des information à l’intérieur de l’arbre des domainesdomaines

Le Schéma est identique à l’intérieur de l’arbre Le Schéma est identique à l’intérieur de l’arbre des domainesdes domaines

AD et Applications : Qu’est ce qu’un Arbre ?

Le domaine est la limite « naturelle » de sécurité de l’Active Directory.

Constitue une frontière pour la réplicationConstitue une frontière pour la réplication Représenté par un triangle sur les diagrammes Active Représenté par un triangle sur les diagrammes Active

Directory Directory Peut être subdivisé en OU (administration)Peut être subdivisé en OU (administration) Les propriétés d’OU sont héritées à l’intérieur de leur Les propriétés d’OU sont héritées à l’intérieur de leur

domaine uniquement (pas entre domaines)domaine uniquement (pas entre domaines) Les OU sont représentées par un rond sur les Les OU sont représentées par un rond sur les

diagrammesdiagrammes

AD et Applications : Qu’est ce qu’un Domaine, une OU ?

+ =

2 types de Contrôleur> serveur DC, LDAP port 389> serveur GC, LDAP port 3268

Sur le Domaine> Requête un DC ou un GC du domaine sur port 389

Sur un Arbre> Requête un GC d’un des domaine de la forêt sur port

3268

Sur la Forêt> Faire un requête par Arbre

AD et Applications : Portée d’une requête LDAP ?

AD et Applications : Qu’y a-t-il dans un GC ?

Le GC de chaque domaine pointe sur les informations de son propre domaine (qui sont

complètes)

Il possède en plus des informations partielles de tous les autres domaines de

l’arbre (ou de la forêt)

AD et Applications : Qu’y a-t-il dans un GC ?

Domain Schema

User Account> Name> Title> Manager> Office Location> Phone> Division> Cost Center Code> Certification Expires

…

Printer> Name> Mfr> Model> Color> Duplex> Asset #> Paper Size

Global Catalog

User AccountNameTitleManagerOffice LocationPhone

PrinterNameMfrModelColorDuplex

Exemples d’utilisation de l’AD

Exemples d’utilisation de AD: Editeurs de Logiciels

Microsoft> Annuaire: Le carnet d’adresses Exchange> Identification: Base MS-SQL en sécurité Windows> Identification et droits: ISA server

SAP > Identification> Publication des services SAP> Administration des instances

Korean Telecom : Pages Blanches, Pages Jaunes

D’autres Marimba (Vision64) , ChangePoint, Faxination, SecureID, FastLane…

Exemples d’applications d’entreprise

Internet

Active Directory

UtilisateurVia Internet

UtilisateurDe l’entreprise

Util 1

Util 2Serveur d’application

Frontal WEB IIS

AD & Applications d’Entreprise: Identification ExtraNet

1) Demande d’accès à l’application

2) Réception de la fenêtre de logon applicatif

3) Renvoi du nom/mot passe au frontal

4) Traitement par le serveur applicatif

5) Vérification dans l’AD du couple

6) Envoi de la fenêtre applicative

Mise de logon dans le navigateur WEB

Mise de logon dans le navigateur WEB

Internet

Active Directory

UtilisateurVia Internet

UtilisateurDe l’entreprise

Util 1

Util 2Serveur d’application

Frontal WEB IIS

AD & Applications d’Entreprise: Identification ExtraNet

1) Demande d’accès à l’application

2) Réception de la fenêtre de logon applicatif

3) Renvoi du nom/mot passe au frontal

4) Traitement par le serveur applicatif

5) Vérification dans l’AD du couple

6) Envoi de la fenêtre applicative

Device Device

AD & Applications d’Entreprise: Profil Metier et IHM

1) Recupération de l’identifiant utilisateur

2) Détermination du Profil métier de l’utilisateur

3) Détermination des points de fonction du profil Métier

4) Construction de l’IHM de l’application

Active Directory

Utiateur

Nom: LegrandPrénom: Pierre@SMTP: plegrand@foo.com…ProfilMetier: P04…Telephone: 01 02 03 45 67

Profil Métier

Nom: P04Description: Prêt aux entreprisesFonction-1: InstallationFonction-2: Investissement…Fonction-n: Recapitalisation

Menu

Installation

Investissement

Recapitalisation

Bureau des Prêts

Aide

Quittez

AD & Applications d’Entreprise: Validation de paramètres1) Recupération de l’identifiant utilisateur

2) Détermination du Profil métier de l’utilisateur + Récupération des paramètres

3) Détermination de l’OU de l’utilsateur

4) Détermination du Profil de l’OU + Récupération des paramètres

5) Détermination des règles de gestion

6) Vérification des règles avant tout accord de soumission

Règle R. Ledoux P. Legrand

Auto 150 000 30 000

Immo 1 500 000 150 000

Sante 0 1 000

Vie 8 000 000 0

Utiateur

Utiateur

Nom: LegrandPrénom: Pierre@SMTP: plegrand@foo.com…ProfilMetier: P04…Telephone: 01 02 03 45 67

Profil Métier

Nom: P04Description: Chargé portefeuille JuniorFonction-01: AutomobilePlafond F-01: 30 000Fonction-02: ImmobilierPlafond F-02: 150 000…Fonction-n: SantePlafond F-n: 1 000

Nom: LedouxPrénom: Robert@SMTP: rledoux@foo.com…ProfilMetier: P01…Telephone: 01 02 03 99 87

Profil Métier

Nom: P04Description: Multi-risque SeniorFonction-01: AutomobilePlafond F-01: 150 000Fonction-02: ImmobilierPlafond F-02: 2 000 000…Fonction-k: ViePlafond F-k: 10 000 000

Agence Pezenas

Nom: Agence PezenasAdresse: 10 grande rue@SMTP: pezenas@foo.com…ProfilAgence: A07…Telephone: 01 02 03 99 87

Profil Agence

Nom: A07Description: Ville moyenne, implantation < 3ansFonction-01: AutomobilePlafond F-01: 150 000Fonction-02: ImmobilierPlafond F-02: 1 500 000…Fonction-n: SantePlafond F-n: 2 000Fonction-k: ViePlafond F-k: 8 000 000

AD & Applications d’Entreprise: Interaction avec un autre Annuaire

Serveur NotesServeur AD

MainframeRACF

Injection Active Directory@SMTP == A_TRAITER

Base DRH

Nouvel Utilisateur

Utlisateur AD créé sans @SMTP

Agent NotesParcours de la base Active DirectoryPour Chaque Utilisateur tel que @SMTP == A_TRAITER Faire

créer dans Boîte NotesAffecter @SMTP dans Active Directory

FinFaire

Utlisateur AD créé avec @SMTP

Des questions ?