View
109
Download
4
Category
Preview:
Citation preview
Copyright © 2006 Quest Software
Anthony Moillic
Directeur Technique
Quest Software
Les solutions Quest pour l’optimisation du SI
Quest Software fournit des solutions conçues pour accroître les performances et la productivité des applications, des bases de données et des infrastructures Windows.
Optimisez vos infrastructures Windows
Les solutions Quest simplifient, automatisent et sécurisent la gestion des infrastructures Windows.
Elles facilitent également la migration et l’administration intégrée des plateformes hétérogènes.
Gestion des Identités
Quest Software aide les
entreprises à simplifier la
gestion des identités en
étendant les fonctions natives
d’Active Directory aux
environnements non-Windows
et en ajoutant des fonctions
d’administration avancées tels
que l’habilitation par fonction
ou rôle, l’accès aux
ressources, la gestion des
mots de passe et l’audit pour
les systèmes Windows et non
Windows
5
La Gestion des identitésEn utilisant l’expertise de la gestion de Active Directory
SIMPLIFIER
Simplification de la gestion des identités en administrant les identités Unix/Linux/Java au travers d’Active Directory
AUTOMATISER
Automatiser l’administration des identités sur les environnements cross-platform: provisionnement/de-provisionnement, gestion des mots de passe, audit
SECURISER
Securiser l’accès des utilisateurs Unix/Linux/Javaau travers d’Active Directory
6
Les défis des environnements hétérogènes
• Mise en conformité• Securité• IDs/Logins Multiples• Complexité
– Trop d’annuaires– Trop de mécanismes d’authentification
• Cher à maintenir• Difficile à gérer• Inefficace
7
Situation:Votre environnement est un mix de systèmes divers disposant d’annuaires multiples, d’environnements de stockage d’identités et de mécanismes d’authentification
8
Active Directory simplifie la situation pour les systèmes WindowsMais pour les environnements non-Windows, les annuaires et authentifications doivent être administrés de manière séparée
-Annuaires Multiples-Identités Multiples-Logins Multiples-Non-sécurisé
9
Quest permet l’intégration des identités disparates Unix/Linux/Java en un seul environnement Active Directory sécurisé
10
Puis, Quest aide à l’administrationdes environnements intégrés et augmente l’efficacité de la gestion via le provisionnement et déprovisionnement des utilisateurs
11
Renforcement des sécuritésGrâce à une gestion forte des mots de passe pour tous les systèmes
12
Et, adresser les besoins de mise en conformitéen offrant l’audit et la génération de rapports pour toutes les activités relatives aux identités sur l’enrivonnement intégré
13
14
15
Vu de l’utilisateur final …
16
Le point de vue de l’utilisateur final
HR System Solution de
provisioning? MIIS
• Délégation de l’audit
• Suivi des changements et des processus
• Audit des événements
• Analyse des anomalies
• Rapport sur les identités
17
• Accès aux systèmes, applicationset données
• Changements sur les applicationsen production et les configurationssystèmes
• Disponibilité des systèmes etapplications critiques
• Rétention des communicationset données importantes
Disponibilité des systèmes• Foglight• Management Xtensions for
MOM• Recovery Manager• Availability Manager• SharePlex• LiteSpeed
La vision Quest
L’”Identity and Access Management” est un facteur majeur des projets de mise en conformité
Change management• Stat• Group Policy Manager• Vintela Authentication Services• Management Xtensions for SMS• InTrust
Rétention des données• Archive Manager• Recovery Manager• InTrust• LiteSpeed
Gestion des accès• Vintela Authentication Services• Vintela Single Sign-on for Java• ActiveRoles Server• InTrust• Reporter• Toad
Copyright © 2006 Quest Software
Une approche pragmatique, par étapes
18
Provisionner AD à partir de sources extérieures
• Un utilisateur est créé d’abord sur un système externe à Active Directory– RH– Pages Blanches– …
• Créer son identité dans le SI le plus efficacement possible est primordial
• Eviter les interventions manuelles
19
20
Provisioning Manuel
Compte
utilisateur
Appartenance
aux groupes
Localisation, Login Unique, Mot de passe, Accès distant …
Applications &
Bases de
données
Unix/Linux &
Java
Localisation, permissions NTFS, permissions Partage
Choix de la banque d’information, Génération d’Alias
Contrôle d’accès, Liste de distribution Email
Cross-Platform pour les applications non-intégrée à AD
Bàl Exchange
Messagerie
Instantanée
Répertoire
personnel
Notifications
Linux/Unix “Enabled”
Réconciliation ADLDS (ADAM)
Mgrs, IT et RH
Administrateurs AD Séniors
Administrateurs Exchange Seniors
Help DeskSupport
AdministrateursSécuriré
Admins ADLDS Admins des Applications
Création
Configuration
Inform
Coûteux / Erreurs humainesNécessite des heures …
ADAM/
ADLDS
21Policy
Policy
Policy
Policy
Policy
Policy
Policy
Policy
Provisioning automatique
Compte
utilisateur C
reateC
onfigure
Appartenance
aux groupes
de sécurité
Localisation, Génération de login unique, Génération de mot de passe complexeAccès distant
Applications &
Bases de
données
Unix/Linux &
Java
Localisation, permissions NTFS, permissions sur les partages
Sélection contrôlée de la banque d’information,Génération des Alias
Contrôle des accès, appartenance aux listes de distributions
Cross-Platform pour les applications non-intégrée à AD
Bàl Exchange
&
Messagerie
Instantanée
Répertoire
personnel et
accès aux
partages
Notifications
Linux/Unix/Java “Enabled”
Réconciliation ADLDS(ADAM)
Managers, HR et Support
Inform
ActiveRolesActiveRolesServerServer
Abordable/Efficace/Sans erreurRéalisé en quelques minutes
MIIS
Help Desk | Personnel moins qualifé| Directement des RH | MIIS, Tivoli, SUN, HP
ADAM/
ADLDS
Copyright © 2006 Quest Software
Démonstration n°1
Provisioning d’un compte
22
Scénario de la démonstration
• Un utilisateur est créé sur un annuaire LDAP externe
• Microsoft MIIS reconnaît cette création de compte
• Microsoft MIIS crée le compte sur Active Directory
• Quest ActiveRoles Server prend le relais pour la mise en œuvre de règles automatiques de gestion pour:– créer son répertoire personnel, – sa boite aux lettres, – son appartenance aux groupes « techniques »
23
Provisioning / Reprovisioning / Deprovisioning
• La même démarche s’applique dès qu’un employé change de fonction ou quitte la société
• Les mêmes règles s’applique que les actes administratifs proviennent de l’annuaire métier ou d’opérations faites par l’administrateur en direct
• La reconciliation des actes administratifs est possible
• La traçabilité est toujours assurée
24
25
ActiveRolesActiveRolesServerServer
Deprovisioning automatique
Verrouillage
Configuration
Désactivation du compte, Affecter/Effacer Attributs, Déplacer à la corbeille,Planifier pour suppression dans 60-90 jours
Revocation des accès, assigner les permissions aux responsables ou administrateurs
Assigner “Self”, Cacher dansla GAL, Assigner les permissions aux responsables ou administrateurs
Supprimer et Enregistrer les appartenances aux Groupes et Listes de distribution
Initialiser le deprovisioning Cross Platform
Désactiver Linux/Unix/Java
Deprovisioner ADLDS
Managers, RH et Support
Informer
Compte
utilisateur
Répertoire
personnel et accès
aux partages
Bàl Exchange
Messagerie
Instantanée
Appartenance
aux groupes
de sécurité
Applications &
Base de
données
Unix/Linux &
Java
Notifications/
Génération de
rapports
Policy
Policy
Policy
Policy
Policy
Policy
Policy
Policy
MIIS
Mise en conformité simplifiéeAccomplie en quelques secondes
Help Desk | Personnel moins qualifé| Directement des RH | MIIS, Tivoli, SUN, HP
ADAM/
ADLDS
26
Initiateurs
Contrôle du changement et approbation
ActiveRolesActiveRolesServerServer
MIIS
Notification de demande
de changement
Notifications des Approbations
Notifications de Rejet
XXXX
Approuveurs
L’objet est géré parun utilisateur ou
un groupe
Tentative de changement
Attributs•Création•Modifier ou•Supprimer un objet
Help DeskPersonnel moins qualifié
Directement des RHou Platformes
Supervision IT
IT Administrator
Copyright © 2006 Quest Software
Une approche pragmatique, par étapes
27
Etendre le périmètre d’Active Directory et des GPOs
soit par l’établissement d’une communication forte
• Microsoft MIIS• Microsoft ILM 2007
soit par intégration
• Quest Vintela Authentication Services• Quest Vintela Single Sign-on for JAVA
28
Une seule infrastructure technique
2929
PasswordPasswordManagerManager
Active DirectoryActive Directory& ADAM& ADAM
Directories
Mid-Range & Main Frame
Applications & Databases
Microsoft MIISMicrosoft MIIS
SQL
InTrust &InTrust &ReporterReporter
SQL
ActiveRolesActiveRolesServerServer
SQL
Intra/Inter/Extranet
MMC/Browser
ActiveRoles providesADSI/SPML/PowerShell
VintelaVintela
Smart Cards
Users GroupsMicrosoft Exchange
Home Folders & Resource
Access
ApplicationsAccess
Computers
SSO
ADFSADFS
Une seule infrastructure technique, cela signifie• Une seule identité• Un seul mot de passe
– Reset– Complexité– Politiques différenciée par OU, par groupe*
• La Simplification
• de l’administration– Consoles– Sauvegarde / Restauration
• de la supervision– Microsoft Operation Manager 2007
• de la mise en conformité
• de la traçabilité
30
* Avec Quest Password Manager
Copyright © 2006 Quest Software
Démonstration n°2
Extension du périmètre d’Active Directory à UNIX/Linux
31
Scénario de la démonstration
• Création d’un compte sous Active Directory
• Activation de son identité sous UNIX/Linux
• Connexion sous Linux avec l’identifiant Active Directory
• Après 3 tentatives infructueuses de saisie de mot de passe sous Linux, le compte est verrouillé sous AD
• Le déverrouiller avec la MMC Utilisateurs et Ordinateurs permet de se connecter à nouveau sous Linux ou Windows
32
Copyright © 2006 Quest Software
Démonstration n°3
Provisionner les applications: Oracle
33
Scénario de la démonstration
• Les informations d’accès à Oracle sont intégrés à la console d’administration
• Mise en place de l’accès à une des bases Oracle
• Microsoft MIIS prend le relais pour provisionner les comptes Oracle
• Vintela Authentication Services assure le SSO
• Connexion à Oracle à partir de Windows sans aucune demande d’identification
34
Copyright © 2006 Quest Software
Démonstration n°4
Une seule infrastructure = des solutions uniques et simples !
35
Scénario de la démonstration
• Un utilisateur sous Windows se connecte en SSH sous UNIX
• Il essaie de se connecter sous Unix en compte ‘root’ plusieurs fois
• Quest Management eXtensions for MOM détecte le trop grand nombre de tentatives
• Microsoft Operation Manager signale l’alerte en temps réel
36
Copyright © 2006 Quest Software
Conclusion
37
38
En conclusionLes Solutions Quest et Microsoft pour La Gestion des Identités
Prochaines Etapes
• Session n°2
– Fédération d’identité– Authentification Forte– Traçabilité
39
Recommended