Philippe BERAUD Consultant Architecte Microsoft France [email protected].
Gestion des identités Philippe Beraud Consultant Principal Microsoft France Christophe Dubos...
-
Upload
claudia-ruiz -
Category
Documents
-
view
115 -
download
1
Transcript of Gestion des identités Philippe Beraud Consultant Principal Microsoft France Christophe Dubos...
Gestion des identitésGestion des identités
Philippe Beraud
Consultant Principal
Microsoft France
Christophe Dubos
Architecte Infrastructure
Microsoft France
Sommaire
IntroductionIntroductionA quelles problématiques répond la gestion des identités A quelles problématiques répond la gestion des identités et des accès (IAM) ?et des accès (IAM) ?
Quels bénéfices peut-on attendre d’une solution d’IAM ?Quels bénéfices peut-on attendre d’une solution d’IAM ?
Active Directory & AD/Application Mode - Pourquoi 2 Active Directory & AD/Application Mode - Pourquoi 2 versions et pour quels usages ?versions et pour quels usages ?
Gestion du cycle de vie des données d’identitéGestion du cycle de vie des données d’identitéMicrosoft Identity Integration Server (MIIS)Microsoft Identity Integration Server (MIIS)
Fédération des données d’identitéFédération des données d’identitéActive Directory Federation Services (ADFS)Active Directory Federation Services (ADFS)
Notion de méta-système d’identité et InfoCardNotion de méta-système d’identité et InfoCard
Questions / RéponsesQuestions / Réponses
Contexte
ClientsClientsUsagersUsagers
PartenairesPartenairesFournisseursFournisseurs
RessourcesRessources
AdministrateursAdministrateurs
EmployésEmployésCollaborateursCollaborateurs
ApplicationsApplications
Support utilisateursSupport utilisateurs
e-Commercee-CommercePortail collaborateursPortail collaborateurs
ERPERPRessources humainesRessources humaines
MessagerieMessagerie
Annuaire entrepriseAnnuaire entreprise
TélédistributionTélédistribution
IngénerieIngénerie
CRMCRM
Self-Service WebSelf-Service Web
CollaborationCollaboration
Gestion de la chaine logistiqueGestion de la chaine logistique
Portail partenairesPortail partenaires
Comment optimiser Comment optimiser les coûts de gestion les coûts de gestion des arrivées, départs des arrivées, départs
et autres et autres mouvements ? mouvements ?
Comment donner à Comment donner à mes partenaires un mes partenaires un accès contrôlé aux accès contrôlé aux ressources de mon ressources de mon
entreprise ?entreprise ?
Les problèmes de mots Les problèmes de mots de passe représentent de passe représentent
50% des incidents traités 50% des incidents traités par la hotline !par la hotline !
Comment améliorer le Comment améliorer le niveau de sécurité en niveau de sécurité en réduisant le nombre réduisant le nombre de mots de passe ?de mots de passe ?
Comment savoir Comment savoir qui a accès à qui a accès à
quelles quelles applications ?applications ?
L’audit sécurité a L’audit sécurité a révélé que des révélé que des
personnes ayant personnes ayant quitté l’organisation quitté l’organisation depuis 1 an avaient depuis 1 an avaient encore des accèsencore des accès
Comment avoir une Comment avoir une vision consolidée de vision consolidée de
l’ensemble des l’ensemble des collaborateurs ?collaborateurs ?
Problématiques
Qu’est ce qu’une identité numérique ?
Une définition de la gestion de l’identité numériqueUne définition de la gestion de l’identité numérique
Un ensemble de procédures et de stratégies utilisant des Un ensemble de procédures et de stratégies utilisant des
composants logiciels permettant de gérer le cycle de vie et les composants logiciels permettant de gérer le cycle de vie et les
habilitations des habilitations des crédentiels numériquescrédentiels numériques
Adresse IPAdresse IP
User/mot de passeUser/mot de passe
BiométrieBiométrie
Cartes à puceCartes à puce
Nom, Adresse, Téléphone, Mobile, Fax, Bâtiment, Numéro Sécu, … Nom, Adresse, Téléphone, Mobile, Fax, Bâtiment, Numéro Sécu, …
PhotosPhotos
PasseportPasseport
Le processus d’authentification des Le processus d’authentification des crédentiels et de contrôle d’accès aux crédentiels et de contrôle d’accès aux ressources basé sur la confiance et ressources basé sur la confiance et l’identitél’identité
Référentiels permettant le stockage et Référentiels permettant le stockage et l’administration des comptes, informations l’administration des comptes, informations d’identité et crédentiels (mots de passe, d’identité et crédentiels (mots de passe, certificats)certificats)
Technologies et processus utilisés pour créer, Technologies et processus utilisés pour créer, supprimer et gérer les modifications relatives supprimer et gérer les modifications relatives aux comptes et profils, ainsi que pour vérifier la aux comptes et profils, ainsi que pour vérifier la conformité aux stratégies et réglementationsconformité aux stratégies et réglementations
Servicesd’annuaire
Services degestion des
accès
Services de gestion ducycle de vie
Gestion des identitésComposants clé
Gestion des identités numériquesQuelle stratégie pour Microsoft ?
Services d’annuaireServices d’annuaireUnification complète des annuaires…Unification complète des annuaires…UtopiqueUtopique
Annuaire technique d’entreprise : Annuaire technique d’entreprise : Active Directory Active Directory (AD)(AD)
Annuaire applicatif d’entreprise : Annuaire applicatif d’entreprise : Active Directory/Application Mode Active Directory/Application Mode (AD/AM)(AD/AM)
Services de gestion du cycle de vie des données d’identitéServices de gestion du cycle de vie des données d’identitéIdentity Integration Feature PackIdentity Integration Feature Pack (IIFP)(IIFP)
Microsoft Identity Integration Server Microsoft Identity Integration Server (MIIS)(MIIS)
Services de gestion des accèsServices de gestion des accèsAuthentification et autorisation :Authentification et autorisation : Kerberos et PKI Kerberos et PKI
Protection de l’information (ERM) : Right Management Services Protection de l’information (ERM) : Right Management Services (RMS)(RMS)
Contrôle d’accès basé sur les rôles (RBAC) :Contrôle d’accès basé sur les rôles (RBAC) : Authorization Manager Authorization Manager (AzMan)(AzMan)
Fédération des données d’identitéFédération des données d’identité
Active Directory Federation Services Active Directory Federation Services (ADFS)(ADFS), méta-système , méta-système d’identité et InfoCardd’identité et InfoCard
Au sein d’un périmètre maîtriséSynchronisation et « provisioning » des données d’identité
Périmètre Périmètre interneinterne
Périmètre Périmètre externeexterne
Périmètre Périmètre étenduétendu
Entre des périmètres maîtrisésFédération des données d’identité
Données d’identitéPérimètre d’usage
Données de 2 types en fonction de leur périmètreDonnées de 2 types en fonction de leur périmètreDonnées globalesDonnées globales
Peu de données mais partagées par de nombreuses applications, Peu de données mais partagées par de nombreuses applications, schéma commun géré de façon centraliséeschéma commun géré de façon centralisée
Données spécifique à une applicationDonnées spécifique à une applicationSchéma spécifique à l’applicationSchéma spécifique à l’application
Stockage des données applicatives dans un référentiel Stockage des données applicatives dans un référentiel spécifiquespécifique
Besoin spécifiquesBesoin spécifiquesEx. : mode de mise à jour transactionnel, modèle relationnel plus Ex. : mode de mise à jour transactionnel, modèle relationnel plus adaptéadapté
Ne pas « polluer » le schéma de l’annuaire d’entreprise et réduire Ne pas « polluer » le schéma de l’annuaire d’entreprise et réduire l’impact d’un dysfonctionnement applicatifl’impact d’un dysfonctionnement applicatif
Gestion des données d’identité entre référentielsGestion des données d’identité entre référentielsMicrosoft Identity Integration Server (MIIS)Microsoft Identity Integration Server (MIIS)
Outils Topologie AdminOutils Topologie AdminOutils Topologie AdminOutils Topologie Admin
AD et ADAMIntégration
DSADSA
LDAPLDAP REPLREPL
SecureSecureAuthNAuthN
MAPIMAPI AuthNAuthN SSOSSO
DNSDNS PolicyPolicy
DSADSA
LDAPLDAP REPLREPL
SecureSecureAuthZAuthZ
Sécu
rité
Sécu
rité
inté
gré
ein
tégré
eSécu
rité
Sécu
rité
inté
gré
ein
tégré
eSingle Single Sign-OnSign-On
Common Common Sign-OnSign-OnTopologies de réplication Topologies de réplication cohérentescohérentes
Mutualisation de l’infrastructureMutualisation de l’infrastructure
Optimisation de l’administrationOptimisation de l’administration
AD et ADAMCommon et Single Sign-On
ADADADADAnnuaireAnnuaire
LDAPLDAPexistantexistant
AnnuaireAnnuaireLDAPLDAP
existantexistant
ApplicationApplicationexistanteexistante
ApplicationApplicationexistanteexistante
AuthentificatioAuthentificationnWindows Windows Kerberos Kerberos IntégréeIntégrée
Authentification Authentification applicativeapplicativeexistanteexistante
Couples Utilisateurs/Mots de passe différents…Couples Utilisateurs/Mots de passe différents…
Couples Utilisateurs/Mots de passe cohérents…Couples Utilisateurs/Mots de passe cohérents…
Intégration applicativeIntégration applicative
AD/AMAD/AMAD/AMAD/AM
Common Common Sign-OnSign-OnSingle Single Sign-OnSign-On
Windows Server 2003 Windows Server 2003 R2R2
Windows Longhorn ServerWindows Longhorn Server22ièmeième trimestre 2007 trimestre 2007
AD et ADAMEvolutions
Intégration d’AD/AMIntégration d’AD/AM
AD/AM disponible comme AD/AM disponible comme composants de R2composants de R2
Nouvelles fonctionnalitésNouvelles fonctionnalitésBind Digest/MD5Bind Digest/MD5
Password change ProxyPassword change Proxy
Nouveaux outilsNouveaux outilsSchema AnalyzerSchema Analyzer
LDP (ACL Editor)LDP (ACL Editor)
Active DirectoryActive DirectoryDC en lecture seuleDC en lecture seule
DC en mode cacheDC en mode cache
Security Token ServiceSecurity Token Service (AD-STS)(AD-STS)
AD en temps que serviceAD en temps que service
Nouvelle interface Nouvelle interface d’administrationd’administration
AD/AMAD/AMDisponibilité simultanéeDisponibilité simultanée
Sommaire
IntroductionIntroductionA quelles problématiques répond la gestion des identités et des A quelles problématiques répond la gestion des identités et des accès (IAM) ?accès (IAM) ?
Quels bénéfices peut-on attendre d’une solution d’IAM ?Quels bénéfices peut-on attendre d’une solution d’IAM ?
Active Directory & AD/Application Mode - Pourquoi 2 versions et Active Directory & AD/Application Mode - Pourquoi 2 versions et pour quels usages ?pour quels usages ?
Gestion du cycle de vie des données d’identitéGestion du cycle de vie des données d’identitéMicrosoft Identity Integration Server (MIIS)Microsoft Identity Integration Server (MIIS)
Fédération des données d’identitéFédération des données d’identitéActive Directory Federation Services (ADFS)Active Directory Federation Services (ADFS)
Notion de méta-système d’identité et InfoCardNotion de méta-système d’identité et InfoCard
Questions / RéponsesQuestions / Réponses
Cycle de vie des identités
RôleRôleinitialinitial
DépartDépart
ArrivéeArrivée
Changement de Changement de fonction ou d’équipefonction ou d’équipe
Gestion des droits Gestion des droits d’accèsd’accès
Gestion des mots de Gestion des mots de passepasse
Les besoins
Créer le schéma détaillé de l'organisation Créer le schéma détaillé de l'organisation Référencer et définir la « carte d’identité » des élémentsRéférencer et définir la « carte d’identité » des élémentsDéfinir la cartographie des éléments entre euxDéfinir la cartographie des éléments entre eux
Consolider les informations d'identité dans un référentiel global Consolider les informations d'identité dans un référentiel global ou fédérer différents référentielsou fédérer différents référentiels
Mettre en place le « Mettre en place le « provisioningprovisioning » des informations d'identité » des informations d'identité entre les référentielsentre les référentiels
Gérer les règles d’autorité sur chaque information d'identitéGérer les règles d’autorité sur chaque information d'identitéDétecter et propager les modifications entre les référentielsDétecter et propager les modifications entre les référentielsGérer l’intégrité des informations entre les référentielsGérer l’intégrité des informations entre les référentiels
Gérer les informations d'identitéGérer les informations d'identitéOffrir un point d’accès et d’administration uniqueOffrir un point d’accès et d’administration uniqueDisposer d'une vue unifiée des droits et habilitationDisposer d'une vue unifiée des droits et habilitation
MIIS 2003Fonctionnalités
Moteur souple et puissant de synchronisation des données Moteur souple et puissant de synchronisation des données d’identité en environnement hétérogèned’identité en environnement hétérogène
Bases de donnéesBases de données
AnnuairesAnnuaires
Systèmes d’exploitationSystèmes d’exploitation
MessageriesMessageries
Fichiers texteFichiers texte
ProgicielsProgiciels
Plate-forme de gestionPlate-forme de gestionDes circuits de modification des données d’identitéDes circuits de modification des données d’identité
Des groupes et des listes de distributionDes groupes et des listes de distribution
Des mots de passeDes mots de passe
Importation des entrées depuis le référentiel maîtreImportation des entrées depuis le référentiel maîtreEnrichissement à partir des autres sourcesEnrichissement à partir des autres sourcesConsolidation dans un annuaire cibleConsolidation dans un annuaire cibleMise à disposition d’une interface deMise à disposition d’une interface de
ConsultationConsultationGestion des donnéesGestion des données
ApplicationsApplicationsPages Jaunes/BlanchesPages Jaunes/Blanches
PortailPortail
Application métierApplication métier
Extranet ClientExtranet Client
Single Sign-OnSingle Sign-OnPABXPABX
MIIS 2003Scénario d’utilisation – Meta-annuaire traditionnel
AnnuaireAnnuaire
Importation des entrées de la base RHImportation des entrées de la base RH
Création, suppression et mouvementsCréation, suppression et mouvements Des comptes Active DirectoryDes comptes Active Directory
Des comptes messagerieDes comptes messagerie
Des coordonnées téléphoniquesDes coordonnées téléphoniques
Des certificats X.509Des certificats X.509
Initialisation des attributs, y compris les Initialisation des attributs, y compris les mots de passemots de passe
Ajout aisé d’un workflow pour la gestion Ajout aisé d’un workflow pour la gestion des approbations et le self-servicedes approbations et le self-service
Circuit d’approbationCircuit d’approbation
Notification des changementsNotification des changements
MIIS 2003Scénario d’utilisation – « Provisioning »
PABXPABX
NovellNovelleDirectoryeDirectory
MIIS 2003Scénario d’utilisation - Gestion des mots de passe
Deux modes de fonctionnement sont possiblesDeux modes de fonctionnement sont possiblesVia interception lors du changement dans Active Directory et Via interception lors du changement dans Active Directory et propagation synchronepropagation synchrone
Via une interface WEB permettant de modifier ou de réinitialiser Via une interface WEB permettant de modifier ou de réinitialiser le mot de passele mot de passe
Gestion des mots de passeProblématiques
MIIS 2003Scénario d’utilisation - Gestion des mots de passe
MIIS 2003Composants techniques
SQL ServerSQL Server(Aire de (Aire de
stockage)stockage)
ServiceServiceMIIS 2003MIIS 2003
ManagemManagement Agentent Agent
iPlanetiPlanet
Fichiers, Fichiers, DSMLDSML
ManagemManagement Agentent AgentFichiersFichiers
ADAD
ManagemManagement Agentent Agent
ADAD
RèglesRèglesétenduesétendues
Visual Visual Studio.NETStudio.NETNotesNotes
ManagemManagement Agentent Agent
NotesNotes
OracleOracleManagemManagement Agentent Agent
Oracle Oracle
WMIWMI
MIIS Admin MIIS Admin ClientClient
……
iPlanetiPlanet
Serveur MIISServeur MIIS
Sources de données MIIS 2203Management Agents (MA)
FichierFichiertextetexte
DSML V 2.0DSML V 2.0
LDIFLDIFWindowsWindows NT 4NT 4
ActiveActiveDirectoryDirectory
2000 & 20032000 & 2003
NovellNovelleDirectoryeDirectory
8.6.2 & 8.7.x 8.6.2 & 8.7.x
MSMSExchangeExchange
5.5, 2000 & 20035.5, 2000 & 2003
IBMIBMNotesNotes
4.6, 5 & 6.x4.6, 5 & 6.x
SunONESunONEDirectory ServerDirectory Server
4.x & 5.x4.x & 5.x
AD/AMAD/AM
IBMIBMDirectory ServerDirectory Server
4.1 & 5.x4.1 & 5.x
MSMSSQL ServerSQL Server7 & 20007 & 2000
OracleOracleServerServer8i & 9i8i & 9i
IBMIBM DB2 UDBDB2 UDB 5 7 & 8.15 7 & 8.1
CACAACF/2 &ACF/2 &
TopSecretTopSecret
GénériqueGénérique SDK:SDK:
OleDB & LDAPOleDB & LDAP
IBMIBMRACFRACF
SAP R3 & RHSAP R3 & RH4.6d + &4.6d + &
Peoplesoft Peoplesoft
MIIS 2003 SP2MIIS 2003 SP222ièmeième trimestre 2006 trimestre 2006
MIIS « Gemini »MIIS « Gemini »22ièmeième trimestre 2007 trimestre 2007
MIIS 2003Evolutions
Nouveaux agentsNouveaux agentsSAPSAP
PeopleSoftPeopleSoft
CA ACF/2CA ACF/2
CA TopSecretCA TopSecret
Portail de gestion des mots Portail de gestion des mots de passede passe
« « self-reset self-reset »»
« « Helpdesk resetHelpdesk reset » »
Gestion de l’historique des Gestion de l’historique des mots de passemots de passe
Provisioning déclaratifProvisioning déclaratif
Workflow d’approbation basé Workflow d’approbation basé sur Windows Workflow sur Windows Workflow Foundation (WF)Foundation (WF)
Attributs calculésAttributs calculés
Self-service étenduSelf-service étendu
Ex. : Gestion des groupesEx. : Gestion des groupes
Audit et « Audit et « reportingreporting » »
Sommaire
IntroductionIntroductionA quelles problématiques répond la gestion des identités et des A quelles problématiques répond la gestion des identités et des accès (IAM) ?accès (IAM) ?
Quels bénéfices peut-on attendre d’une solution d’IAM ?Quels bénéfices peut-on attendre d’une solution d’IAM ?
Active Directory & AD/Application Mode - Pourquoi 2 versions et Active Directory & AD/Application Mode - Pourquoi 2 versions et pour quels usages ?pour quels usages ?
Gestion du cycle de vie des données d’identitéGestion du cycle de vie des données d’identitéMicrosoft Identity Integration Server (MIIS)Microsoft Identity Integration Server (MIIS)
Fédération des données d’identitéFédération des données d’identitéActive Directory Federation Services (ADFS)Active Directory Federation Services (ADFS)
Notion de méta-système d’identité et InfoCardNotion de méta-système d’identité et InfoCard
Questions / RéponsesQuestions / Réponses
Active Directory Federation Services (ADFS)
Composant de Windows Server 2003 R2Composant de Windows Server 2003 R2N’est pas le nouveau nom de Microsoft Passport, un nouveau N’est pas le nouveau nom de Microsoft Passport, un nouveau référentiel d’identités, un nouveau type de relation d’approbation ou référentiel d’identités, un nouveau type de relation d’approbation ou de forêtde forêtNe nécessite pas une extension du schéma Active DirectoryNe nécessite pas une extension du schéma Active DirectoryS’appuie sur un certain nombre de composants de l’offre MicrosoftS’appuie sur un certain nombre de composants de l’offre Microsoft
AD et AD/AM en temps que référentiel(s) utilisateurAD et AD/AM en temps que référentiel(s) utilisateur
ASP.Net 2.0ASP.Net 2.0
Certificate Services (optionnel)Certificate Services (optionnel)
Authorization Manager (optionnel)Authorization Manager (optionnel)
ObjectifsObjectifsPermettre la mise en place de solutions de Web SSO ainsi qu’une Permettre la mise en place de solutions de Web SSO ainsi qu’une gestion simplifiée des identitésgestion simplifiée des identités
Etendre l’infrastructure Active Directory au-delà de la forêtEtendre l’infrastructure Active Directory au-delà de la forêtPermettre aux clients, partenaires, fournisseurs, collaborateurs un accès Permettre aux clients, partenaires, fournisseurs, collaborateurs un accès sécurisé et contrôlé aux applications web situées hors de leur forêt Active sécurisé et contrôlé aux applications web situées hors de leur forêt Active DirectoryDirectory
Projeter l’identité utilisateur sur la base d’une première ouverture de Projeter l’identité utilisateur sur la base d’une première ouverture de session session
Fournir des mécanismes d’authentification et d’autorisation distribuésFournir des mécanismes d’authentification et d’autorisation distribués
Scénario « Web SSO »
Single Sign-OnSingle Sign-On pour les fermes d’applications Web pour les fermes d’applications WebAuthentification, autorisations et Web Authentification, autorisations et Web Single Sign-OnSingle Sign-On ExtranetExtranet
Crédentiels gérés dans AD et/ou AD/AM côté Crédentiels gérés dans AD et/ou AD/AM côté RessourcesRessources
Autorisations via Autorisations via AuthorizationAuthorization Manager, les rôles Manager, les rôles ASP.NASP.Net, let, l’impersonation’impersonation Windows et les Windows et les ACLsACLs
ClientsClients
Partenaires commerciauxPartenaires commerciaux
CollaborateursCollaborateurs
Scénario « Identité Fédérée »
Single Sign-OnSingle Sign-On au travers des frontières de sécurité au travers des frontières de sécurité (internes ou externes)(internes ou externes)
Collaboration et Commerce B2B/B2CCollaboration et Commerce B2B/B2C
Crédentiels et attributs utilisateurs gérés au niveau Crédentiels et attributs utilisateurs gérés au niveau de l’organisation partenaire (dans AD ou une autre de l’organisation partenaire (dans AD ou une autre solution)solution)
Autorisations via Autorisations via AuthorizationAuthorization Manager, les rôles Manager, les rôles ASP.NASP.Net, et, l’impersonationl’impersonation Windows et les Windows et les ACLsACLs
PartenairesPartenairescommerciauxcommerciaux
Active Directory Federation Services (ADFS)
Supporte de multiple jetons de sécurité (SAML 1.1, Kerberos, etc.)Supporte de multiple jetons de sécurité (SAML 1.1, Kerberos, etc.)
Basé sur une implémentation interopérable de la spécification Basé sur une implémentation interopérable de la spécification WS-Federation Passive Requestor Profile (WS-F PRP)WS-Federation Passive Requestor Profile (WS-F PRP)
Large support de l’industrie pour une interopérabilité entre Large support de l’industrie pour une interopérabilité entre organisations avecorganisations avec
Les solutions d’identitéLes solutions d’identitéBMC Federated Identity ManageBMC Federated Identity Managerr, IBM Tivoli Federated Identity , IBM Tivoli Federated Identity ManagerManagerEt prochainementEt prochainement : CA eTrust SiteMinder Federation Security : CA eTrust SiteMinder Federation Security Services, Citrix Access Suite, Internet2 Shibboleth 1.3 Shib-ADFS Services, Citrix Access Suite, Internet2 Shibboleth 1.3 Shib-ADFS et PingID PingFederate v3.1et PingID PingFederate v3.1
Les agents Web SSOLes agents Web SSOCentrify DirectControl for Microsoft ADFS, Quest Vintela Single Centrify DirectControl for Microsoft ADFS, Quest Vintela Single Sing-On for Java (VSJ) v3.1, PingID/SourceID WS-Federation for Sing-On for Java (VSJ) v3.1, PingID/SourceID WS-Federation for Apache 2.0 ToolkitApache 2.0 Toolkit
Première étape vers un méta-systèmes d’identité…Première étape vers un méta-systèmes d’identité…
Fédération d’identité
Fournisseurs Fournisseurs d’identitéd’identité
Emettent les identitésEmettent les identités
Consommateurs Consommateurs d’identitéd’identité
Ont besoin des Ont besoin des identitésidentités
SujetsSujets
Individus et autres entités à propos Individus et autres entités à propos desquels on fait des demandes de desquels on fait des demandes de claimsclaims
d’identitéd’identité
Consommateur d’identité (Consommateur d’identité (Relying PartyRelying Party ou RP) ou RP)
Fournisseur d’identité (Fournisseur d’identité (Identity ProviderIdentity Provider ou IP) ou IP)
Dans les modèles traditionnels, le fournisseur d’identité et Dans les modèles traditionnels, le fournisseur d’identité et le consommateur d’identité sont confinés dans le même le consommateur d’identité sont confinés dans le même domainedomaine
La fédération d’identité permet à une organisation de La fédération d’identité permet à une organisation de consommer des identités émises par d’autres consommer des identités émises par d’autres organisationsorganisations
Fédération d’identité
Nécessite de définir les termes de la relation de confiance entre Nécessite de définir les termes de la relation de confiance entre entitésentités
Relation « business », conditions et termes contractuels, gestion des Relation « business », conditions et termes contractuels, gestion des clés, assertions, partage de politique, assurances techniques, clés, assertions, partage de politique, assurances techniques, exigences d’audit, etc.exigences d’audit, etc.
Difficile à mesurer et à calibrer aujourd’huiDifficile à mesurer et à calibrer aujourd’huiTrop ou pas assez de confiance placée dans l’autre entitéTrop ou pas assez de confiance placée dans l’autre entité
Nécessite des mécanismes techniques pour Nécessite des mécanismes techniques pour Matérialiser la relation de confiance entre entitésMatérialiser la relation de confiance entre entités
Partage de clés symétriques, confiance dans une chaîne de certificatsPartage de clés symétriques, confiance dans une chaîne de certificats
Valider que l’identité reçue (jetons de sécurité/assertions) provient Valider que l’identité reçue (jetons de sécurité/assertions) provient d’un fournisseur d’identité de confiance et donc pour attester de d’un fournisseur d’identité de confiance et donc pour attester de l’authenticité de l’identité fournie l’authenticité de l’identité fournie
Nécessite d’utiliser un protocole de sécurité et des jetons de Nécessite d’utiliser un protocole de sécurité et des jetons de sécurité communssécurité communs
Aujourd’hui SAML 1.x, Shibboleth 1.x, Liberty ID-FF 1.x, SAML 2.0, Aujourd’hui SAML 1.x, Shibboleth 1.x, Liberty ID-FF 1.x, SAML 2.0, WS-FederationWS-Federation, SXIP, LID, etc. , SXIP, LID, etc.
Qu’est-ce que l’identité numérique ?
Dans un contexte de fédération et sur Dans un contexte de fédération et sur l’Internetl’Internet
Un ensemble de déclarations, preuves (Un ensemble de déclarations, preuves (claims)claims) qui caractérise une personne ou une « chose » qui caractérise une personne ou une « chose » (sujet numérique) dans le monde numérique(sujet numérique) dans le monde numérique
Un Un claimclaim est une déclaration faite sur est une déclaration faite sur quelqu’un/quelque chose par quelqu’un/quelque chose par quelqu’un/quelque chose quelqu’un/quelque chose
Un Un claimclaim constitue une assertion de la vérité de constitue une assertion de la vérité de quelqu’un/quelque chosequelqu’un/quelque chose
Les Les claimsclaims sont exigés pour les transactions sont exigés pour les transactions dans le monde réel et en lignedans le monde réel et en ligne
Les Les claimsclaims sont véhiculés dans des jetons de sont véhiculés dans des jetons de sécurité qui transitent entre les frontières de sécurité qui transitent entre les frontières de processus et de machinesprocessus et de machines
Les leçons tirées de Passport
Passport a été conçu pour résoudre deux problèmesPassport a été conçu pour résoudre deux problèmesFournisseur d’identité sur MSNFournisseur d’identité sur MSN
+250 millions d’utilisateurs, 1 milliard de logons par jour+250 millions d’utilisateurs, 1 milliard de logons par jour
Fournisseur d’identité sur InternetFournisseur d’identité sur InternetUn échecUn échec
La leçon : la solution aux problèmes de la gestion des La leçon : la solution aux problèmes de la gestion des identités sur Internet doit être différente de Passportidentités sur Internet doit être différente de Passport
Quelques leçons du passé
Une technologie unique avec un fournisseur unique de solution Une technologie unique avec un fournisseur unique de solution ne constitue pas une approche que le marché est prêt à ne constitue pas une approche que le marché est prêt à accepteraccepter
Une technologie unique avec de multiples fournisseurs n’a pas, Une technologie unique avec de multiples fournisseurs n’a pas, à ce jour, été déployée de manière universelleà ce jour, été déployée de manière universelle
Plusieurs fournisseurs avec plusieurs technologies implique Plusieurs fournisseurs avec plusieurs technologies implique immanquablement peu d’interopérabilitéimmanquablement peu d’interopérabilité
N’y a-t-il aucune solution envisageable ?N’y a-t-il aucune solution envisageable ?
Notion de méta-système d’identité
Aujourd’hui : de multiples identités… et de multiples formatsAujourd’hui : de multiples identités… et de multiples formats
Un méta-système d’identité est un cadre de travail qui unifie le Un méta-système d’identité est un cadre de travail qui unifie le monde demonde de
Plusieurs technologies d’identitéPlusieurs technologies d’identité
Plusieurs opérateursPlusieurs opérateurs
Plusieurs implémentationsPlusieurs implémentations
Un méta-système d’identité permet aux utilisateurs de gérer et Un méta-système d’identité permet aux utilisateurs de gérer et de choisir leur(s) identité(s) dans un monde hétérogènede choisir leur(s) identité(s) dans un monde hétérogène
Choix de la technologie Choix de la technologie
Choix du fournisseur (soi-même, entreprise privée, état, etc.)Choix du fournisseur (soi-même, entreprise privée, état, etc.)
Approche cohérente vis-à-vis de l’utilisation de multiples Approche cohérente vis-à-vis de l’utilisation de multiples systèmes d’identitésystèmes d’identité
Supprime les frictions sans pour autant requérir que tout le monde Supprime les frictions sans pour autant requérir que tout le monde s’accorde sur une unique technologie d’identité quelque soit s’accorde sur une unique technologie d’identité quelque soit l’usagel’usage
Capitalise sur les succès présentsCapitalise sur les succès présents
Offre un chemin de migration simple du passé au futurOffre un chemin de migration simple du passé au futur
Caractéristiques d’un méta-systèmeAccord de l’industrie sur les Accord de l’industrie sur les claimsclaims comme façon de représenter comme façon de représenter l’identitél’identité
Information cryptographiquement vérifiable sur un sujet numérique qu’un Information cryptographiquement vérifiable sur un sujet numérique qu’un autre sujet revendique comme étant vraieautre sujet revendique comme étant vraie
Véhiculée dans des jetons de sécurité du fournisseur d’identité au Véhiculée dans des jetons de sécurité du fournisseur d’identité au consommateur d’identitéconsommateur d’identité
Kerberos, SAML, X.509 s’appuient tous sur ce modèleKerberos, SAML, X.509 s’appuient tous sur ce modèle
Un méta-système d’identité doit s’appuyer sur ce modèle de Un méta-système d’identité doit s’appuyer sur ce modèle de claimsclaimsDoit être extensible de façon à supporter une variété de systèmes existants Doit être extensible de façon à supporter une variété de systèmes existants ou futurs basés sur les claimsou futurs basés sur les claims
Pour connecter des systèmes reposant sur différentes technologies, il Pour connecter des systèmes reposant sur différentes technologies, il doit être à même de transformer un jeu de claims dans un format en un doit être à même de transformer un jeu de claims dans un format en un autre jeu de claims dans un autre formatautre jeu de claims dans un autre format
ConsommateuConsommateur d’identitér d’identité
Obtient la politique du consommateur Obtient la politique du consommateur d’identitéd’identitéDécrit les claims exigéesDécrit les claims exigées
Fournisseur Fournisseur d’identitéd’identité
Utilise les jetons de sécuritéUtilise les jetons de sécuritéAssocie les claims avec les Associe les claims avec les messages applicatifsmessages applicatifs
Acquiert les jetons de Acquiert les jetons de sécuritésécuritéLes jetons contiennent les Les jetons contiennent les claimsclaims
ApplicatioApplicationn
Les 7 lois de l’identité
1.1. Contrôle et consentement de l’utilisateurContrôle et consentement de l’utilisateur
2.2. Divulgation minimale pour un usage définiDivulgation minimale pour un usage défini
3.3. Présence justifiée des parties en présencePrésence justifiée des parties en présence
4.4. Support d’identités publiques et privéesSupport d’identités publiques et privées
5.5. Pluralisme des opérateurs et des technologiesPluralisme des opérateurs et des technologies
6.6. Prise en compte de l’humainPrise en compte de l’humain
7.7. Expérience cohérente entre les contextesExpérience cohérente entre les contextes
Rejoindre les discussions surRejoindre les discussions sur
http://http://www.identityblog.com www.identityblog.com
Etablies au travers d’une dialogue avec l’industrieEtablies au travers d’une dialogue avec l’industrie
Donner les pleins pouvoirs à l’utilisateur…
EtatsEtats
IndividusIndividusEmployés et consommateursEmployés et consommateurs
Entreprises Entreprises privéesprivées
TechnologiesTechnologiesX.509, SAML, KerberosX.509, SAML, Kerberos
ApplicationsApplicationsExistantes & NouvellesExistantes & Nouvelles
OrganisationsOrganisationsPériphériquesPériphériquesPC, Mobile, PDAPC, Mobile, PDA Vous !Vous !
Rapprocher les technologies…
Cartes à pucesCartes à puces Identités auto-généréesIdentités auto-générées Identités d’entrepriseIdentités d’entreprise Identités publiquesIdentités publiques Identités PassportIdentités Passport Identités LibertyIdentités Liberty Applications clientes Applications clientes Systèmes d’exploitationSystèmes d’exploitation
Systèmes d’accès réseauSystèmes d’accès réseau EtatsEtats OrganisationsOrganisations EntreprisesEntreprises IndividusIndividus MobilesMobiles OrdinateursOrdinateurs Jetons d’accèsJetons d’accès … … et tout le resteet tout le reste
Caractéristiques d’un méta-système
Possibilité de Possibilité de négociationnégociation
EncapsulationEncapsulation
Transformation des Transformation des claims claims
ExpérienceExpérienceutilisateurutilisateur
Permet au consommateur d’identité, au sujet Permet au consommateur d’identité, au sujet et au fournisseur d’identité de négocier les et au fournisseur d’identité de négocier les exigences en termes de politiques techniquesexigences en termes de politiques techniques
Mécanisme Mécanisme agnostique agnostique d’échange des d’échange des politiques et des claims d’identités entre politiques et des claims d’identités entre fournisseur et consommateur d’identitéfournisseur et consommateur d’identité
Mécanisme de confiance pour Mécanisme de confiance pour échanger les claims d’identités quel échanger les claims d’identités quel que soit les formats des jetons que soit les formats des jetons d’identitéd’identité
Interface homme – machine cohérente Interface homme – machine cohérente quels que soient les systèmes et les quels que soient les systèmes et les technologiestechnologies
Besoins d’un méta-système d’identitéBesoins d’un méta-système d’identité
Négociation
Permet au consommateur d’identité, au sujet et au Permet au consommateur d’identité, au sujet et au fournisseur d’identité de négocierfournisseur d’identité de négocier
Quels Quels claimsclaims sont exigés sont exigés
Qui peut les fournirQui peut les fournir
Quel type de technologie est acceptableQuel type de technologie est acceptable
Sous quelles conditions les claims sont émisSous quelles conditions les claims sont émis
Quelles parties prouvent qui elles sontQuelles parties prouvent qui elles sont
Comment l’information sera utiliséeComment l’information sera utilisée
Protocole d’encapsulation
Mécanisme Mécanisme agnostique agnostique d’échange des politiques et des d’échange des politiques et des claimsclaims d’identité entre fournisseur et consommateur d’identitéd’identité entre fournisseur et consommateur d’identité
Le contenu et la signification de ce qui est échangé sont Le contenu et la signification de ce qui est échangé sont déterminés par les participants, et non par le méta-systèmedéterminés par les participants, et non par le méta-système
Transformation des claims
Mécanisme de confiance pour transformer un jeu de Mécanisme de confiance pour transformer un jeu de claimsclaims d’identités en un autred’identités en un autre
Serveur spécialisé + Framework de confiance et de politique pour Serveur spécialisé + Framework de confiance et de politique pour traduire les claims externes/étrangères en des claims localement traduire les claims externes/étrangères en des claims localement pertinentespertinentes
Pont entre les frontières techniques et organisationnellesPont entre les frontières techniques et organisationnellesTransformation des sémantiquesTransformation des sémantiques
« Collaborateur Contoso » « Collaborateur Contoso » « Achat de fourniture autorisé » « Achat de fourniture autorisé »
Transformation des formatsTransformation des formatsX.509, SAML1.0, SAML 2.0, SXIP, LID, etc.X.509, SAML1.0, SAML 2.0, SXIP, LID, etc.
Fournit l’interopérabilité nécessaire aujourd’hui et la flexibilité Fournit l’interopérabilité nécessaire aujourd’hui et la flexibilité requise pour les évolutions futuresrequise pour les évolutions futures
Fonctionne avec les infrastructures et les technologies existantes Fonctionne avec les infrastructures et les technologies existantes (Kerberos, X509)(Kerberos, X509)
Permet l’utilisation de nouvelles infrastructures et technologies Permet l’utilisation de nouvelles infrastructures et technologies (Liberty, etc.)(Liberty, etc.)
Expérience utilisateur InfoCardSimplifie l’expérience Simplifie l’expérience utilisateurutilisateur
Gère de multiples identitésGère de multiples identités
Supporte de multiples Supporte de multiples fournisseurs d’identitéfournisseurs d’identité
Utilise un modèle basé sur les Utilise un modèle basé sur les claimsclaims
Intégré avec les browsers et les Intégré avec les browsers et les clients passifsclients passifs
Implémentation Microsoft d’un Implémentation Microsoft d’un sélecteur d’identité au sein sélecteur d’identité au sein d’un méta-système d’identitéd’un méta-système d’identité
Respecte les lois de l’identitéRespecte les lois de l’identité
Basé sur des protocoles Basé sur des protocoles standards et ouverts pour standards et ouverts pour l’interaction avec les l’interaction avec les fournisseurs et consommateurs fournisseurs et consommateurs d’identitésd’identités
Tout le monde peut construire Tout le monde peut construire des expériences similairesdes expériences similaires
Facilité d’intégration pour les Facilité d’intégration pour les sites Websites Web
En guise de synthèse
Les Lois de l’identité définissent un méta-système Les Lois de l’identité définissent un méta-système d’identitéd’identité
Le Le méta-système d’identité a le potentiel de supprimer les méta-système d’identité a le potentiel de supprimer les frictions et d’accélérer la croissance de la connectivitéfrictions et d’accélérer la croissance de la connectivité
Portée accruePortée accrueLa transformation de claims autorise de nouvelles relationsLa transformation de claims autorise de nouvelles relations
Flexibilité accrueFlexibilité accrueLes leviers des politique et transformation des claims Les leviers des politique et transformation des claims autorisent une large variété de relations autorisent une large variété de relations
Faciliter d’ajouter le support d’une nouvelle technologieFaciliter d’ajouter le support d’une nouvelle technologie
Que le bigbang de l’identité commence !Que le bigbang de l’identité commence !
Pour approfondir le sujet dans le cadre des JMS
Aujourd'hui Aujourd'hui
17:00-18h00 InfoCard, sélecteur d’identité dans un méta-17:00-18h00 InfoCard, sélecteur d’identité dans un méta-système d’identitésystème d’identité
DemainDemain
12h45:14h05 – ADFS, l’expérience Web SSO (fédéré) 1ère 12h45:14h05 – ADFS, l’expérience Web SSO (fédéré) 1ère partiepartie
14h05:15h15 – ADFS, l’expérience Web SSO (fédéré) 2nde 14h05:15h15 – ADFS, l’expérience Web SSO (fédéré) 2nde partiepartie
Pour plus d’informations
Site MIIS Microsoft FranceSite MIIS Microsoft Francehttp://www.microsoft.com/france/miishttp://www.microsoft.com/france/miis
« « The Laws of IdentityThe Laws of Identity » »http://msdn.microsoft.com/library/en-us/dnwebsrv/html/http://msdn.microsoft.com/library/en-us/dnwebsrv/html/lawsofidentity.asplawsofidentity.asp
« « Microsoft's Vision for an Identity MetasystemMicrosoft's Vision for an Identity Metasystem » »http://msdn.microsoft.com/library/en-us/dnwebsrv/html/http://msdn.microsoft.com/library/en-us/dnwebsrv/html/identitymetasystem.asp identitymetasystem.asp
Interview Interview Channel 9 Channel 9 dede Kim Cameron Kim Cameronhttp://channel9.msdn.com/showpost.aspx?postid=85004#85004 http://channel9.msdn.com/showpost.aspx?postid=85004#85004
Rejoignez les discussions surRejoignez les discussions sur http://www.identityblog.com http://www.identityblog.com
Microsoft FranceMicrosoft France18, avenue du Québec18, avenue du Québec
91 957 Courtaboeuf Cedex91 957 Courtaboeuf Cedex
www.microsoft.com/france
0 825 827 8290 825 827 829
[email protected]@microsoft.com