Gestion de l identitl et des accès, pour bien se faire connaître!

(1)

Par : André Adam et André Forget

Secteur Développement & Technologies Société GRICS

Gestion de l

Gestion de l’’identitidentitéé numnuméérique rique et des acc

et des accèès, pour bien se faire connas, pour bien se faire connaîître!tre!

(2)

Plan de la pr

Plan de la pr é é sentation sentation

• Présentation générale de la GIN

• Contexte des CS

• Travaux réalisés et en cours

• Pour conclure

(3)

Nous en faisons déjà mais…

La GIN, c

La GIN, c ’ ’ est: est: … …

• le processus et la technologie employés pour contrôler des identités numériques aussi bien que les politiques qui régissent comment les identités peuvent être

employées pour accéder des ressources informatiques.

(4)

La GIN

La GIN … …

• Un dossier très actuel :

Une préoccupation pour un grand

nombre d’entreprises qui ont à cœur la sécurité des informations qu’ils gèrent et dont ils ont la charge

(5)

• La gestion de l’identité est le processus par lequel :

– Les référentiels sont alimentés pour les applications – Les rôles et permissions applicatives des utilisateurs

sont gérés

– Les utilisateurs gèrent leurs informations personnelles telles que les préférences applicatives et les mots

de passe

– Les applications telles que les portails sont

La GIN

La GIN … …

(6)

La GIN

La GIN … …

• Une saine GIN devrait permettre de :

– Conserver des traces

– Simplifier les authentifications – Accélérer les changements

– Réduire les brèches de sécurité

– Mieux contrôler les accès/autorisations – Se conformer aux législations

(7)

Intégration SSO d’identités

Modules de base de la

Gestion d’Identité

Applications de Provisioning/

De-provisioning Individuelle Déléguée Administration

Inscription et enregistrement

d'identité

Applications de gestion

Applications et Services

Authentification Autorisation Audit

Fédération Workflow Gestion des accès

La GIN

La GIN - - Les composantes Les composantes

(8)

• De plus en plus d’utilisateurs et d’applications

– Émergence des services en ligne

– Clientèle diversifiée (expérimentée et non expérimentée, sans risque et dangereuse)

• Multiplication des référentiels (fiabilité)

• Cette croissance crée un essoufflement! Ouf!

La GIN

La GIN – – Les d Les d é é clencheurs clencheurs

(9)

La GIN

La GIN – – Les d Les d é é clencheurs clencheurs

• Synchronisation difficile entre la gestion des dossiers et des droits :

– Nouvel employé

– Départ, changement de poste, …

• Plusieurs login/mots de passe

• Brèches de sécurité

(10)

Applications Applications

Portail Portail

RéRéseauseau

•Authentification

•Autorisations

•Données identité

•Authentification

•Autorisations

* Selon Novell, MS

Annuaire d’entreprise (parfois plusieurs)

• Active Directory

• Novell NDS/eDirectory

•Authentification

•Autorisations

Situation

Situation « « actuelle actuelle » » * *

La GIN

La GIN - - concr concr è è tement tement

(11)

Situation

Situation « « id id é é ale ale » » * *

Annuaire d’entreprise (parfois plusieurs)

• Active Directory

• Novell NDS/eDirectory

Applications Applications

Portail Portail

RéRéseauseau

•Authentification

•Autorisations

La GIN

La GIN - - concr concr è è tement tement

* Selon Novell, MS

(12)

Contexte des CS Contexte des CS

Similaire à celui des grandes entreprises

(13)

Contexte des CS Contexte des CS

• L’implantation du portail a accentué les problématiques

– Un référentiel de plus

• Élèves, employés, parents, invités

– Arrimage avec les applications de gestion et l’infrastructure de courrier et de réseau

• Courrier électronique et accès pour tous

• Gestion de fichiers

(14)

Contexte des CS Contexte des CS

• Implantation généralisée des annuaires (sondage récent), mais des configurations très différentes dans les CS

– Types d’annuaires : AD, eDirectory, OpenLDAP – Nombre d’annuaires : Personnel enseignant, non

enseignant, élèves, FP, …

– Structure des annuaires et conventions de nomenclature

• Plusieurs CS construisent des parcelles de solutions

(15)

Travaux r

Travaux r é é alis alis é é s et en cours s et en cours

• Comité de travail

• Analyse d’une approche globale

• Expérimentation de CAS

• Un exemple de serveur d’intégration:

MIIS

(16)

Comit

Comit é é de travail de travail

• Projet plan de développement 2006-2007

• Comité de travail

– CS de Montréal

– CS Marguerite-Bourgeoys – CS des Navigateurs

– CS de la Seigneurie-des-Mille-Îles – CS des Draveurs

– GRICS

• Contexte : analyse, recherche et expérimentation

(17)

Comit

Comit é é de travail de travail

• Alimentation (« provisionning ») des annuaires

• Authentification (LDAP, SSO, CAS)

• À plus long terme, dossier unique

• Procédure de création du dossier employé

• Changement de mot de passe à l’annuaire

(18)

• Propositions pour raccourcir les délais basées sur des outils existants

(Générateur de dossier et d’emploi)

• Travaux en cours dans Édu-groupe sur le changement de mot de passe

• Expérimentation de CAS (Central Authentification Services)

• Tests d’un serveur d’intégration : MIIS

Comit

Comit é é de travail de travail

(19)

Comit

Comit é é de travail de travail

Et en parallèle :

Une réflexion sur une approche globale

(20)

Situation actuelle

Situation actuelle - - CS CS

GPIGPI

PAIE-PAIE-GRHGRH

Edu-Edu-GroupeGroupe

•Authentification

•Autorisations

•Authentification

•Autorisations

•Authentification

•Autorisations

Autres Autres……

•Authentification

•Autorisations

•Authentification

•Autorisations

RéRéseau etseau et infrastructure infrastructure

Annuaires réseau

(21)

GPIGPI

PAIE-PAIE-GRHGRH

Annuaires réseau

MS AD, Novell NDS/eDir, OpenLDAP

Autres Autres……

•Authentification

•Autorisations

RéRéseau etseau et

Situation

Situation « « id id é é ale ale » » * * – – CS CS

* Selon Novell, MS

(22)

Situation

Situation « « id id é é ale ale » » ? ?

• Résistance (légitime) des RI sur des changements de schéma

• Responsables des applications habitués à un contrôle total du référentiel (BD Identités)

• Différences entre les annuaires d’entreprise

• Mises à niveau fréquentes à craindre

• Dépendance au fournisseur d’annuaire

• Ne fournit qu’une partie de la solution : que fait-on des applications non-GRICS?

(23)

GPIGPI

PAIE-PAIE-GRHGRH

•Autorisations

•Annuaire principal

•Un seul mot de passe

•Alimentation automatique (via module GIN GRICS)

•Utilité axée sur le réseau

•Authentification LDAP

•Module commun GIN GRICS

•DOSSIER UNIQUE

IntInt

éégration des identitgration des identit

ééss

•Authentification

•Autorisations

•Données identité G

UID

GUID MESSAGERIE

•Authentification

•Autorisations

AUTRES

•Téléphonie

•Config poste de travail

•Demandes matérielles

Situation envisag

Situation envisag é é e e

(24)

(25)

C.A.S.

Central Authentification Services Central Authentification Services

• Serveur d’authentification

• SSO Web

• Sécuritaire

• Logiciel libre

(26)

C.A.S.

Central Authentification Services Central Authentification Services

• Implantation en juin en collaboration avec la CSSMI (Bureau virtuel et

activités d’apprentissage)

• Produit intéressant mais difficile à

généraliser actuellement à cause de la multiplicité des référentiels

(27)

• Est un exemple, d’autres produits sont également disponibles

• Coordonne les infos d’identités provenant de plusieurs sources

• Utilise des connecteurs (vaste gamme livrée)

Service d

Service d ’ ’ int int é é gration MIIS gration MIIS

(28)

• Les gains en simplicité, cohérence des données, administration et

sécurité sont les objectifs principaux

• Pas d’équivalence dans le libre

(Open Metadirectory, Ganymede,…)

Service d

Service d ’ ’ int int é é gration MIIS gration MIIS

(29)

LDAPLDAP SQLSQL Exchange

Exchange

Web Service Web Service

Partage Partage fichiers fichiers

Active Active Directory Directory

• MA (agents de gestion)

assurent communication avec un référentiel central (SQL), le metaverse.

• Metaverse assure la traduction (mapping) des attributs entre les banques

• Infos peuvent être

manipulées (extensions personnalisées) durant leur migration

MIIS : sommaire fonctionnel

(30)

PAIE-GRH Méta-annuaire

Messagerie App 2 App 1

givenName sn

title

Klarek Cenntt Nom

Prénom Corps_emploi mail

ID Téléphone

givenName sn

title mail employeeID telephone

Clark Kennttt

007

givenName sn

Klarke Kent Superhero 007

Nom Prénom Titre mail ID_Emp

Téléphone 867-5309 Clark Kent

007 Reporter Clark

Kent

Reporter

Clark@contoso.com 007

Clark@contoso.com Clark

Kent Reporter

Clark@contoso.com 867-5309

Reporter

Clark@contoso.com 867-5309

Clark Kent

Clark@contoso.com Clark

Reporter

867-5309

Convergence données

d’identité

•Prénom

•Nom

•EmployeID

•Titre

•Téléphone

•Courriel

MIIS en action

(source: Site Microsoft S(source: Site Microsoft SéécuritcuritééFrance, J.Y. Grasset)France, J.Y. Grasset)

(31)

PAIE-GRH Méta-annuaire

App 2 App 1

Nom Prénom Corps_emploi mail

ID Téléphone

givenName sn

Clark

007

givenName sn

Kent

007

Nom Prénom Titre mail ID_Emp

Téléphone 867-5309 Clark Kent 007

Clark Kent

Reporter

Clark@contoso.com 007

Clark@contoso.com

867-5309 867-5309 Kent

Clark@contoso.com

Clark 867-5309

Intégrité données d’identité

Superhero 007

Superhero Superhero Superhero Reporter Superhero

•Prénom

•Nom

•EmployeID

•Titre

•Téléphone

MIIS en action

(source: Site Microsoft S(source: Site Microsoft SéécuritcuritééFrance, J.Y. Grasset)France, J.Y. Grasset)

Superhero

(32)

MIIS en r

MIIS en r é é sum sum é é

• Polyvalent

• Favorise les initiatives Web

• Réduit les coûts d’opération

• Intègre les processus d’entreprise (alimentation automatique)

• Démo au kiosque des services techniques

(33)

Pour conclure Pour conclure

• sur les processus administratifs et les politiques

• sur l’ensemble des applications de gestion et d’infrastructures

La Gestion des Identités Numériques, un dossier d’envergure et stratégique qui a des impacts :

(34)

Pour conclure Pour conclure

• Un contexte de recherche et d’expérimentation

• Une volonté d’y aller par étapes

• En tenant compte:

– des produits disponibles sur le marché

– des environnements technologiques des CS – des processus administratifs en place

• Un travail à poursuivre en collaboration avec les membres du comité de travail

(35)

Des questions ??????

(36)

Pour plus d’informations Pour plus d

Pour plus d ’ ’ informations informations

Internet : www.grics.qc.ca Téléphone : (514) 251-3730 Télécopieur : (514) 251-3920 Courriel : sac@grics.qc.ca

Internet : www.grics.qc.ca Internet : www.grics.qc.ca TTééllééphone : (514) 251phone : (514) 251--37303730 TTéélléécopieur : (514) 251copieur : (514) 251--39203920

Courriel :

Courriel : sac@grics.qc.casac@grics.qc.ca