Par : André Adam et André Forget
Secteur Développement & Technologies Société GRICS
Gestion de l
Gestion de l’’identitidentitéé numnuméérique rique et des acc
et des accèès, pour bien se faire connas, pour bien se faire connaîître!tre!
Plan de la pr
Plan de la pr é é sentation sentation
• Présentation générale de la GIN
• Contexte des CS
• Travaux réalisés et en cours
• Pour conclure
Nous en faisons déjà mais…
La GIN, c
La GIN, c ’ ’ est: est: … …
• le processus et la technologie employés pour contrôler des identités numériques aussi bien que les politiques qui régissent comment les identités peuvent être
employées pour accéder des ressources informatiques.
La GIN
La GIN … …
• Un dossier très actuel :
Une préoccupation pour un grand
nombre d’entreprises qui ont à cœur la sécurité des informations qu’ils gèrent et dont ils ont la charge
• La gestion de l’identité est le processus par lequel :
– Les référentiels sont alimentés pour les applications – Les rôles et permissions applicatives des utilisateurs
sont gérés
– Les utilisateurs gèrent leurs informations personnelles telles que les préférences applicatives et les mots
de passe
– Les applications telles que les portails sont
La GIN
La GIN … …
La GIN
La GIN … …
• Une saine GIN devrait permettre de :
– Conserver des traces
– Simplifier les authentifications – Accélérer les changements
– Réduire les brèches de sécurité
– Mieux contrôler les accès/autorisations – Se conformer aux législations
Intégration SSO d’identités
Modules de base de la
Gestion d’Identité
Applications de Provisioning/
De-provisioning Individuelle Déléguée Administration
Inscription et enregistrement
d'identité
Applications de gestion
Applications et Services
Authentification Autorisation Audit
Fédération Workflow Gestion des accès
La GIN
La GIN - - Les composantes Les composantes
• De plus en plus d’utilisateurs et d’applications
– Émergence des services en ligne
– Clientèle diversifiée (expérimentée et non expérimentée, sans risque et dangereuse)
• Multiplication des référentiels (fiabilité)
• Cette croissance crée un essoufflement! Ouf!
La GIN
La GIN – – Les d Les d é é clencheurs clencheurs
La GIN
La GIN – – Les d Les d é é clencheurs clencheurs
• Synchronisation difficile entre la gestion des dossiers et des droits :
– Nouvel employé
– Départ, changement de poste, …
• Plusieurs login/mots de passe
• Brèches de sécurité
Applications Applications
Portail Portail
RéRéseauseau
•Authentification
•Autorisations
•Données identité
•Authentification
•Autorisations
•Données identité
* Selon Novell, MS
Annuaire d’entreprise (parfois plusieurs)
• Active Directory
• Novell NDS/eDirectory
•Authentification
•Autorisations
•Données identité
•Données identité
Situation
Situation « « actuelle actuelle » » * *
La GIN
La GIN - - concr concr è è tement tement
Situation
Situation « « id id é é ale ale » » * *
Annuaire d’entreprise (parfois plusieurs)
• Active Directory
• Novell NDS/eDirectory
Applications Applications
Portail Portail
RéRéseauseau
•Authentification
•Autorisations
•Données identité
La GIN
La GIN - - concr concr è è tement tement
* Selon Novell, MS
Contexte des CS Contexte des CS
Similaire à celui des grandes entreprises
Contexte des CS Contexte des CS
• L’implantation du portail a accentué les problématiques
– Un référentiel de plus
• Élèves, employés, parents, invités
– Arrimage avec les applications de gestion et l’infrastructure de courrier et de réseau
• Courrier électronique et accès pour tous
• Gestion de fichiers
Contexte des CS Contexte des CS
• Implantation généralisée des annuaires (sondage récent), mais des configurations très différentes dans les CS
– Types d’annuaires : AD, eDirectory, OpenLDAP – Nombre d’annuaires : Personnel enseignant, non
enseignant, élèves, FP, …
– Structure des annuaires et conventions de nomenclature
• Plusieurs CS construisent des parcelles de solutions
Travaux r
Travaux r é é alis alis é é s et en cours s et en cours
• Comité de travail
• Analyse d’une approche globale
• Expérimentation de CAS
• Un exemple de serveur d’intégration:
MIIS
Comit
Comit é é de travail de travail
• Projet plan de développement 2006-2007
• Comité de travail
– CS de Montréal
– CS Marguerite-Bourgeoys – CS des Navigateurs
– CS de la Seigneurie-des-Mille-Îles – CS des Draveurs
– GRICS
• Contexte : analyse, recherche et expérimentation
Comit
Comit é é de travail de travail
• Alimentation (« provisionning ») des annuaires
• Authentification (LDAP, SSO, CAS)
• À plus long terme, dossier unique
• Procédure de création du dossier employé
• Changement de mot de passe à l’annuaire
• Propositions pour raccourcir les délais basées sur des outils existants
(Générateur de dossier et d’emploi)
• Travaux en cours dans Édu-groupe sur le changement de mot de passe
• Expérimentation de CAS (Central Authentification Services)
• Tests d’un serveur d’intégration : MIIS
Comit
Comit é é de travail de travail
Comit
Comit é é de travail de travail
Et en parallèle :
Une réflexion sur une approche globale
Situation actuelle
Situation actuelle - - CS CS
GPIGPI
PAIE-PAIE-GRHGRH
Edu-Edu-GroupeGroupe
•Authentification
•Autorisations
•Données identité
•Authentification
•Autorisations
•Données identité
•Authentification
•Autorisations
•Données identité
Autres Autres……
•Authentification
•Autorisations
•Données identité
•Authentification
•Autorisations
•Données identité
RéRéseau etseau et infrastructure infrastructure
Annuaires réseau
GPIGPI
PAIE-PAIE-GRHGRH
Edu-Edu-GroupeGroupe
Annuaires réseau
MS AD, Novell NDS/eDir, OpenLDAP
Autres Autres……
•Authentification
•Autorisations
•Données identité
RéRéseau etseau et
Situation
Situation « « id id é é ale ale » » * * – – CS CS
* Selon Novell, MS
Situation
Situation « « id id é é ale ale » » ? ?
• Résistance (légitime) des RI sur des changements de schéma
• Responsables des applications habitués à un contrôle total du référentiel (BD Identités)
• Différences entre les annuaires d’entreprise
• Mises à niveau fréquentes à craindre
• Dépendance au fournisseur d’annuaire
• Ne fournit qu’une partie de la solution : que fait-on des applications non-GRICS?
GPIGPI
PAIE-PAIE-GRHGRH
Edu-Edu-GroupeGroupe
•Autorisations
•Autorisations
•Autorisations
•Données identité
•Annuaire principal
•Un seul mot de passe
•Alimentation automatique (via module GIN GRICS)
•Utilité axée sur le réseau
•Authentification LDAP
•Module commun GIN GRICS
•DOSSIER UNIQUE
IntInt
éégration des identitgration des identit
ééss
•Authentification
•Autorisations
•Données identité G
UID
GUID MESSAGERIE
•Authentification
•Autorisations
•Données identité
AUTRES
•Téléphonie
•Config poste de travail
•Demandes matérielles
Situation envisag
Situation envisag é é e e
C.A.S.
C.A.S.
Central Authentification Services Central Authentification Services
• Serveur d’authentification
• SSO Web
• Sécuritaire
• Logiciel libre
C.A.S.
C.A.S.
Central Authentification Services Central Authentification Services
• Implantation en juin en collaboration avec la CSSMI (Bureau virtuel et
activités d’apprentissage)
• Produit intéressant mais difficile à
généraliser actuellement à cause de la multiplicité des référentiels
• Est un exemple, d’autres produits sont également disponibles
• Coordonne les infos d’identités provenant de plusieurs sources
• Utilise des connecteurs (vaste gamme livrée)
Service d
Service d ’ ’ int int é é gration MIIS gration MIIS
• Les gains en simplicité, cohérence des données, administration et
sécurité sont les objectifs principaux
• Pas d’équivalence dans le libre
(Open Metadirectory, Ganymede,…)
Service d
Service d ’ ’ int int é é gration MIIS gration MIIS
LDAPLDAP SQLSQL Exchange
Exchange
Web Service Web Service
Partage Partage fichiers fichiers
Active Active Directory Directory
• MA (agents de gestion)
assurent communication avec un référentiel central (SQL), le metaverse.
• Metaverse assure la traduction (mapping) des attributs entre les banques
• Infos peuvent être
manipulées (extensions personnalisées) durant leur migration
MIIS : sommaire fonctionnel
MIIS : sommaire fonctionnel
PAIE-GRH Méta-annuaire
Messagerie App 2 App 1
givenName sn
title
Klarek Cenntt Nom
Prénom Corps_emploi mail
ID Téléphone
givenName sn
title mail employeeID telephone
Clark Kennttt
007
givenName sn
title mail employeeID telephone
Klarke Kent Superhero 007
Nom Prénom Titre mail ID_Emp
Téléphone 867-5309 Clark Kent
007 Reporter Clark
Kent
Reporter
Clark@contoso.com 007
Clark@contoso.com Clark
Kent Reporter
Clark@contoso.com 867-5309
Reporter
Clark@contoso.com 867-5309
Clark Kent
Clark@contoso.com Clark
Reporter
867-5309
Convergence données
d’identité
•Prénom
•Nom
•EmployeID
•Titre
•Téléphone
•Courriel
MIIS en action
MIIS en action
(source: Site Microsoft S(source: Site Microsoft SéécuritcuritééFrance, J.Y. Grasset)France, J.Y. Grasset)PAIE-GRH Méta-annuaire
App 2 App 1
Nom Prénom Corps_emploi mail
ID Téléphone
givenName sn
title mail employeeID telephone
Clark
007
givenName sn
title mail employeeID telephone
Kent
007
Nom Prénom Titre mail ID_Emp
Téléphone 867-5309 Clark Kent 007
Clark Kent
Reporter
Clark@contoso.com 007
Clark@contoso.com
867-5309 867-5309 Kent
Clark@contoso.com
Clark 867-5309
Intégrité données d’identité
Superhero 007
Superhero Superhero Superhero Reporter Superhero
•Prénom
•Nom
•EmployeID
•Titre
•Téléphone
MIIS en action
MIIS en action
(source: Site Microsoft S(source: Site Microsoft SéécuritcuritééFrance, J.Y. Grasset)France, J.Y. Grasset)Superhero
MIIS en r
MIIS en r é é sum sum é é
• Polyvalent
• Favorise les initiatives Web
• Réduit les coûts d’opération
• Intègre les processus d’entreprise (alimentation automatique)
• Démo au kiosque des services techniques
Pour conclure Pour conclure
• sur les processus administratifs et les politiques
• sur l’ensemble des applications de gestion et d’infrastructures
La Gestion des Identités Numériques, un dossier d’envergure et stratégique qui a des impacts :
Pour conclure Pour conclure
• Un contexte de recherche et d’expérimentation
• Une volonté d’y aller par étapes
• En tenant compte:
– des produits disponibles sur le marché
– des environnements technologiques des CS – des processus administratifs en place
• Un travail à poursuivre en collaboration avec les membres du comité de travail
Des questions ??????
Des questions ??????
Pour plus d’informations Pour plus d
Pour plus d ’ ’ informations informations
Internet : www.grics.qc.ca Téléphone : (514) 251-3730 Télécopieur : (514) 251-3920 Courriel : sac@grics.qc.ca
Internet : www.grics.qc.ca Internet : www.grics.qc.ca TTééllééphone : (514) 251phone : (514) 251--37303730 TTéélléécopieur : (514) 251copieur : (514) 251--39203920
Courriel :
Courriel : sac@grics.qc.casac@grics.qc.ca