LDAP & LDAP & Unified User Management SuiteUnified User Management Suite

LDAP LDAP -- la nouvelle technologie la nouvelle technologie dd ’annuaire sécurisé’annuaire sécurisé

La Net La Net EconomyEconomy

• Croissance explosive du nombre d’applications basées sur Internet non administrables avec l’approche traditionnelle

• Ouverture potentielle de ces applications à l’extérieur qui nécessitent :– Evolutivité vers un nombre très important d’utilisateurs– Niveau de sécurité très élevé

Quelles conséquences ?

Net Net EconomyEconomy : quelles conséquences pour : quelles conséquences pour les annuaires d’entrepriseles annuaires d’entreprise

• Proposer des services à un grand nombre de partenaires, fournisseurs and clients

• Ouverture du système d’information au e-business avec les partenaires

• Se différencier pour conserver ses clients

• Chaque application dispose d’un annuaire et d’une administration propre

• Acceptable pour administrer un nombre limité d’applications monolithiques

• Fonctionnalité limité aux réseaux internes

Le modèle ancienLe modèle ancien

Oracle E-mail Mainframe SAP

Approche traditionnelle des annuaires et de la Securité

Défi #1 : Administration redondanteDéfi #1 : Administration redondante

Unix, NT, desktops,Email, SGBD, Applications

• Actuellement : Chaque application dispose de sa propre gestion des utilisateurs

Chaque grand compte dispose au minimum Chaque grand compte dispose au minimum de 30 annuaires utilisateurs différents !de 30 annuaires utilisateurs différents !

Défi #2 : Administrer les Défi #2 : Administrer les ExtranetsExtranets

• Les solutions traditionnelles ne conviennent pas aux Extranets

• Les Extranets nécessitent :– Sécurité inter-entreprises– administration inter-entreprises– Montée en charge & performance

La solution :La solution :Annuaire Centralisé LDAP v3Annuaire Centralisé LDAP v3

• Format d’annuaire dérivé du standard X500• Standardisé par l’IETF • Supporté par les principaux acteurs du marché :

– Editeurs de logiciels : iPlanet, IBM, Microsoft, Oracle,Peoplesoft, Check Point, Novell, ...

– Constructeurs : HP, Nortel Networks, Cabletron, Cisco, 3Com, ...

• Centralise dans un seul annuaire toutes les configurations utilisateurs nécessaires aux différentes applications

Avant LDAP

Après LDAP

iPlanetDirectory Server

PréPré--requis techniques pour un Annuaire requis techniques pour un Annuaire CentraliséCentralisé• Performances très élevées

– Indispensable pour permettre l’utilisation d’un annuaire centralisé pour des applications multiples

– Fiabilité et évolutivité maximales

• Intégration à l’existant de l’entreprise– Outils de développement disponibles– Indépendance vis-à-vis du système d’exploitation– Possibilité de synchronisation avec les annuaires

existants

• Sécurisation totale– Authentification par mots de passe, cartes à puce,– Fonctionne à travers les firewalls

Unified Unified User Management Suite User Management Suite

LesLes défisdéfis de la de la gestiongestion desdes utilisateursutilisateursdansdans la Net Economyla Net Economy• Infrastructure actuelle de gestion des utilisateurs complexe et

fragmentée• Nécessité d’une sécurité forte pour certains services • Possibilité de gérer jusqu’à plusieurs millions d’utilisateurs et des

centaines de services• La rapidité de mise en place des nouveaux services de dépend de

l’infrastructure de gestion des utilisateurs • Ad hoc security policies

Solution: Solution: Unified User ManagementUnified User Management

GérerGérer le cycle de vie de le cycle de vie de l’utilisateurl’utilisateur

Créer l’utilisa-

teur

Gérer l’utilisa-

teur

Supprimerl’utilisateur

1

2

3

1. 1. CréerCréer l’utilisateurl’utilisateur

• Automatisation via la récupération des profils utilisateurs des systèmes existants– Connexion avec des applications et des annuaires

existants

• Administration déléguée– Self-registration– Sécurité forte en option

Point clé : L’automatisation et la délégation aident à diminuer les coûts d’administration

2. 2. GérerGérer l’utilisateurl’utilisateur

• Upgrade facile vers une sécurité forte• Self-service sécurisé• Administration centralisée de la politique

de sécurité• Contenu personnalisé selon le profil• Conserver les bases utilisateurs des

systèmes existants à jour

Point clé : La politique de sécurité et le contenu web doivent correspondre à la fonction de l’utilisateur

3. 3. Supprimer l’utilisateurSupprimer l’utilisateur

• Déléguer l’administration pour diminuer les coûts

• “One button delete” pour réduire les risques de sécurité– Supprime ou suspend tous les comptes

concernés dans les systèmes existants, via une console unique, grâce à une solution meta-annuaire

Point clé : “One button delete” diminue les coûts et réduit les risques de securité

Les AvantagesLes Avantages de Unified User de Unified User Management SuiteManagement Suite• Déploiement rapide grâce à l’exploitation des

annuaires utilisateurs existants• Excellente montée en charge pour supporter les

futurs besoins en matière d’e-commerce– Utilisation d’une techno. LDAP multi-

plateformes• Sécurité forte grâce aux certificats numériques• Administration simplifiée

• Gestion centralisée• Création & suppression des comptes utilisateurs via un

clic de souris dans toutes les applications concernées– Application legacy (ERP, e-mail, Oracle RDBMs, …)– Création & révocation de certificats– Applications Web

• Propagation automatique des comptes mis-à-joursC t lf i

Les Produits d’infrastructure inclusLes Produits d’infrastructure inclus

DelegatedAdmin

DelegatedAdmin

CertificateMgmt. System

CertificateMgmt. System Web

ServerWebServer

DirectoryDirectory

Meta-DirectoryMeta-Directory

MessagingConnectorsMessagingConnectors

NOSConnectors

NOSConnectors

DatabaseConnectorsDatabase

ConnectorsHR App

ConnectorsHR App

Connectors

SiteMinderPolicy ServerSiteMinder

Policy Server

Calendar Server

Calendar Server

Messaging Server

Messaging Server

…, etc.

iPlanetiPlanet Unified User Management SuiteUnified User Management Suite

iPlanet Directory 4.11iPlanet Directory 4.11La La Fondation Fondation • Performance et Scalabilité

– Plus de 50 Millions de comptes, 5200 requêtes / seconde (source PCWeek)

– Fast bulk load• Haute Disponibilité et fiabilité

– Replication, backup et restauration on-line, fail-over, data store transactionnel, changements de configuration online

• Securité– Authentification à base de certificats, SSL, contrôle d’accès

sur attributs, gestion pointue des ACL, authentification extensible

• Flexibilité et architecture extensible– Liste complète d’APIs, de plugins, et de SDKs– Modification des schémas en temps réel– IHM Java, commande en ligne

iPlanet Directory Server 4.11iPlanet Directory Server 4.11

• Outil d’administration– GUI en JAVA– Administration possible par ligne de commande– Fichiers de logs

• Plus de 150 millions de licences utilisateurs vendues

• 70% de part de marché – Source : IDC 99

Ford NetworkFord Network

iPlanetDirectoryServer

FournisseurRevendeur

X.500 Directory

• Objectif : Augmenter les profits• Comment : brancher les fournisseurs, revendeurs et filiales

sur le Net (total : 250.000 utilisateurs)• Résultats:

– Temps écoulé entre la commande et la livraison passe de 50 à 15 jours.

– Devenu N°1 de la profitabilité aux US.

110 Web Applications

iPlanet Certificate Management System 4.1iPlanet Certificate Management System 4.1

• Extensible et aisément administrable– Supporte des millions d’utilisateurs– Déploiement distribué dans les organisations les plus

importantes– Intégré avec iPlanet Directory Server pour faciliter

l’administration • Flexible

– Une logique personnalisable réalisée en java permet de colleraux process en place et de mettre en place une politique de sécurité sur mesure.

– “key recovery” en option en cas de perte de clé par l’utilisateur• Integration avec les systèmes existant

– Clients Internet, serveurs, VPNs...– Plugs-ins Kerberos, SecurID

Data Recovery Manager

Registration Manager

Certificate Manager

8

CertificatsCertificats : Pour : Pour quoi quoi faire ? faire ?

• Accès authentifié…– applications sensibles,

partenaires, “single signon”

• Signature ...– mails, formulaires

• Protéger la confidentialité– Echange de clés SSL,

S/Mime...

LesLes CertificatsCertificats permettent l’accèspermettent l’accès à de à de NouvellesNouvelles ApplicationsApplications

• Les Certificats peuvent être utilisé comme des cartes de membres– Les utilisateurs préfèrent de plus en plus utiliser

des certificats au lieu des userid/passwords

• Authentification forte pour le contrôle d’accès– Accès et paiement en

ligne de facture– Génération à la demande

• Signatures numériques – Formulaires à base Web– Non répudiation des mails

CMS ArchitectureCMS Architecture

CertificateRequesters

RegistrationManager

CertificateManager

Data RecoveryManager

Corporate orPublic

Directory

PKCS#10KEYGENCEPCMC

HTTP(S)

HTTPS

HTTPS

LDAP

HTTPS

• Objectif : offrir de meilleurs services (publication de données financières) au meilleurs clients

• Exigences : Authentification forte, extensibilité, haute disponibilité

• Solution : Serveurs Directory et Certificate pour contrôle d’accès par certificats X509v3 déployés en moins de 3 mois sur 9.000 utilisateurs

Navigateurs

InternetiPlanetDirectoryServer

iPlanet CertificateServer

Applications

Services financiers :Services financiers :

Pourquoi déléguer l’administrationPourquoi déléguer l’administration ??

• Combien d’utilisateurs sur l’extranet ?• Qui gère leurs comptes ?

– Ajouter, changer, supprimer des utilisateurs– Régénerer des mots de passe

• Possédez-vous les données utilisateur de vos clients, partenaires et fournisseurs ? – Données communes: nom, tél #, fax #, email – Données propres à la société: credit temps ou

ressource, conditions, prix, méchanisme d’autorisation

iPlanet Delegated Administrator 4.1iPlanet Delegated Administrator 4.1

• Permet de répondre aux besoins de vos clients et partenaires en temps réel

− Clients, partenaires et fournisseurs gèrent eux-même leur comptes

• Distribue la gestion des comptes tout en assurant une politique de sécurité homogène

− Des applications et un contenu plus sûrs (ACL, group)

− Moins d’administration

• Personnalisable et extensible− Templates HTML personnalisables− Peut créer et gérer tout attribut de

l’ annuaire− Extensible à des produits tierces

Déléguer l’administration Déléguer l’administration de de l’annuairel’annuaire

• Permet un vrai self-service en temps réel :− Clients, partenaires et fournisseurs gèrent leur propre

base utilisateurs

• Administration distribuée des utilisateurs tout en fournissant une politique de sécurité centralisée :

− Séparation de la gestion des utilisateurs − Utilisation des groupes dynamiques − Utilisation des ACLs

• Customizable et extensible :− Interface HTML modifiable− Création et modification de

tout attribut− Extensible vers des produits

partenaires

iPlanet DirectoryiPlanet Directoryfor Secure efor Secure e--Commerce 4.11Commerce 4.11• Avec le développement du commerce électronique un

annuaire à haute sécurité devient nécessaire

• Une solution à géométrie variable :– Authentification à base de login & mots de passe– Authentification à base de certificats– SSL pour sécuriser les communications

• Simplifie le déploiement et l’administration d’applications de commerce électronique sécurisées.

– Permet aux clients de gérer eux-mêmes leurs comptes– PKI déployable

iPlanet Directory for Secure E-Commerce 4.1

• Certificate Management System 4.1• Directory Server 4.1• Delegated Administrator 4.1

Les avantages d’unLes avantages d’un MetaMeta--AnnuaireAnnuaire

• Centralise les informations nécessaires aux applications– Simplifie l’accès à différentes applications– Déploiement des applications plus rapide– Consolidation des informations relatives aux

utilisateurs ( --> facturation )

• Réduit les côuts d’administration– Un point unique ou trouver toutes les données de

l’utilisateur– Simplification de l’administration– Amélioration de la sécurité, un compte est créé ou

supprimé à l’aide d’un seul bouton !

iPlanet MetaiPlanet Meta--Directory 1.0Directory 1.0

iPlanet Meta-

DirectoryERPNOS

RDBMSMail

• Etend les fonctionnalités méta-annuaire de Netscape Directory Server 4.1

• Intègre les données des utilisateurs et de leurs comptes– Connecteurs bidirectionnels pour les principaux email, NOS,

ERP et SGBDR– Une technologie de “jointure” consolide les données

apparentées• Partenariat avec ISOCOR

– Développement de la technologie de “jointure” en commun

iPlanet Meta-

DirectoryERPNOS

RDBMSMail

• Divers annuaires externes sont “joins” en un seul et unique annuaire, la “MetaView”

– A single person with records in several External Directories will have only one entry in the MetaView

– The MetaView Entry contains attributes originating in different External Directories.

• iPlanet Meta-Directory permet– Publishing of a content rich directory– Consolidation of account data– Event driven dynamic account

creation and administration – Creation of a central

messaging directory

iPlanet MetaiPlanet Meta--DirectoryDirectory

MetaMeta--Directory ArchitectureDirectory Architecture

MetaViewManagementConsole

The Meta-Directory

DirectoryServersDatabases

NetscapeDirectoryServer

Join Engine

LDAP

SQL

LDAP

Connector

NOS & MessagingDirectories

ConnectorView

LDAP

LDAPConnector

HR Systems

ConnectorView

LDAP

MetaMeta--Directory ConnectorsDirectory Connectors• Universal Connector• Database Connectors

– Oracle– Sybase– SQL Server– DB2 (future)– Informix (future)

• NOS Connectors– NT Domain– NDS (in 4.0)– Active Directory (in 4.0)– Unix (future)

• Application Connectors– PeopleSoft– SAP

• Messaging Connectors– Exchange– Notes– cc:Mail– Fischer TAO– GroupWise (future)– PROFs (future)– All-in-One (future)

• Other Connectors– MVS (RACF, ACF2)

(future)– OS/400(future)– PABXs (future)– Building Security

Systems (future)

Netegrity SiteMinderNetegrity SiteMinder

• Centralisation du controle d’accès– Créer et administrer les règles et la politique de

contrôle d’accès • Intégration avec iPlanet Directory Server pour

une meilleure évolutivité et performance• Authentification basée sur la politique de

l’entreprise

RésuméRésumé

• iPlanet a déployé un annuaire chez de nombreux clients dans le cadre de projets de commerce électronique

• Une ligne de produits complète :– iPlanet Directory Server 4.11– iPlanet Unified User Management Suite (UUMS)

• iPlanet Directory Server 4.11• iPlanet Certificate Management System 4.1• Iplanet Delegated Administrator 4.1• iPlanet Meta-Directory 1.0• Netegrity SiteMinder 3.6

• Plus de 130 millions de postes vendus … avec une part de marché de 70%

EtEt quelques exemples quelques exemples de de succès avec succès avec iPlanetiPlanet

iPlanet Directory et Application Server sont les fondationsd’un grand nombre de sites Internet e-commerce majeurs

.comfr.