Gestion des identités avec interLDAP
19
1 Gestion des identités avec Clément OUDOT Responsable du pôle Annuaires
description
Transcript of Gestion des identités avec interLDAP
1
Gestion des identités avec
Clément OUDOTResponsable du pôle Annuaires
2
● Problématiques de gestion des identités
● De l'utilité des annuaires LDAP
● Présentation du logiciel InterLDAP
Sommaire
3
Problématiques
● Multiplication d'applications nécessitant une authentification (sessions de travail, intranet, mail, applications métier, proxy, ...)
● Nombreuses identifications à retenir (identifiant, mot de passe)
● Redondance des informations des différentes bases utilisateur
● Redondance de gestion (création, mise à jour d'un utilisateur et suppression !)
4
Objectifs d'un projet d'annuaires
● Centralisation des informations utilisateurs● Gestion centralisée de l'authentification● Sécurisation du système d'information● Centralisation d'autres données du système
d'information (groupes, serveurs, services, postes de travail, ...)
● Organisation de l'approvisionnement des données (« provisionning »)
● Publication des informations soumise à autorisation
5
● Problématiques de gestion des identités
● De l'utilité des annuaires LDAP
● Présentation du logiciel InterLDAP
Sommaire
6
Le protocole LDAP
● LDAPv3, standard publié en 1998 :– Un modèle d'information définissant le type de
données contenues– Un modèle de nommage définissant
l'organisation des données– Un modèle fonctionnel définissant comment
s'effectue l'accès aux données– Un modèle de sécurité définissant la protection
des données et accès– Un modèle de duplication
7
Offres Annuaires LDAP
● Propriétaires :– Microsoft Active Directory– Novell, SUN, Oracle, ...
● Libres :– OpenLDAP– Apache Directory Server– OpenDS (SUN)– Fedora/RedHat Directory Server
8
Utilisation du service d'annuaire
9
Déploiement d'un service LDAP
● Généralités– Phase de conception importante– Architecture à étudier (méta annuaire,
réplications)– Problématiques d'import de données et
d'intégration primordiales : « provisionning »– Impact sur le système d'information, ressources
humaines– Validation de la part de la DSI, voire DG
10
Déploiement d'un service LDAP
● Détermination du périmètre– Détermination des besoins en annuaire– Anticiper les évolutions futures– Quel services pourraient s'intégrer
● Détermination du contenu– Liste exhaustive des données souhaitées– Caractéristiques des données (format, source,
confidentialité,..)– Alimentation des données (imports, scripts,...)
11
Déploiement d'un service LDAP
● Choix du Schéma– Classes d'objet et types d'attributs / données– Schémas standards sont une bonne base– Modifier un schéma existant ou en hériter ?– Chaque application interfacée à la base LDAP
ajoute des contraintes● Détermination du Nommage
– Nommage Internet, Nommage traditionnel– Détermination du suffixe
12
Déploiement d'un service LDAP
● Alimentation de l'annuaire– Déterminer les sources de données– Import de données
● Alimentations successives– Déterminer les flux– Élaborer les méthodes de synchronisation– Construire les routines d'importation– Application d'administration LDAP
13
● Problématiques de gestion des identités
● De l'utilité des annuaires LDAP
● Présentation du logiciel InterLDAP
Sommaire
14
InterLDAP
● InterLDAP est une suite d'outils évolués destinés à la gestion des identités référencées dans un annuaire LDAP
● Développements en majorité J2EE basé sur des composants Open Source de qualité :– Maven– Spring– Tapestry 5
● InterLDAP est un projet entièrement libre
15
Objectifs fonctionnels
● Consulter : fiche de personnes, structures, affectations, comptes, profils, …
● Rechercher : pages blanches, jaunes et vertes (recherche par compétences)
● Déléguer : processus hiérarchique accessible simplement
● Extraire : extraction CSV, LDIF et DSML sur demande ou automatisé
● Contacter : génération d’alias temporaires ou permanents de messagerie sur des recherches
16
Les modules
● InterLDAP est en réalité composé des plusieurs modules indépendants :– LSC : synchronisation des référentiels– WUI : gestion de contenu et publication– LAAP : partage d'attributs en Web Service
● L'accès à l'annuaire est protégé par une gestion des autorisations et un schéma enrichi
● La politique des mots de passe est paramétrée directement dans l'annuaire
17
Annuaire LDAPd'entreprise
Gestion des autorisationet du schéma enrichi
WUIInterface Web
LSCSynchronisationdes référentiels
Utilisateurs
Administrateurs
Service RH
Données del'entreprise
Applications del'entreprise
Consultation
Gestiondes accès
Gestiondes
données
Flux LDAP
Flux HTTP
LAAPFournisseur d'attributs
Autres flux
Flux XML/SOAP
18
19
Merci de votre attention
http://annuaire.linagora.comhttp://www.interldap.org
