solution linux fr_janua_rex_i3

Introduc)on

Ludovic-Poitou,-Directeur-ForgeRock-FranceJuin-2012

1

ForgeRock

! Crée-en-Février-2010,-en-Norvège! Présente-en-France,-UK-et-USA! $7M,-en-premier-tour-d’inves)ssement! Maintenant-société-Américaine! Plus-de-100-clients-sous-contrat! 60+-employés-et-en-pleine-croissance! Un-état-d’esprit-Global:

! Des-employés-sur-tout-le-globe! Une-couverture-mondiale-avec-les-

partenaires

2

ForgeRock I3 Open Platform

3

Exis)ng-&-NewAuthen)ca)on

Systems

Exis)ng-&-New-Applica)ons

Exis)ng-&-NewUser-Directories

Coarse-&-FineEn)tlements

Authen)ca)on&

Authoriza)on

En)tlements-&-

Policy-managementCloud Federa)on

MonitoringIden)tyServices

SessionManagement

SingleSignWOn

CentralizedLogging

Secure-Token-Service

WebServices

High-availability-&

Maximal-scaling

GUI CLIJMX/SNMP

Audit-Log-&Debug-log

OpenAM : un aperçu des fonctions

4

OpenDJ : un aperçu des fonctions

Naming-ServicesExis)ng-&-New-Applica)ons

Ac)ve-Directory

Fine-Grain-Access -Control

Authen)ca)on&

Authoriza)onProfiles Cloud

Web-Services(DSMLv2)

MonitoringPassword-PolicyMul)WMaster-Replica)on LoggingSecurity

LDAPv3-Compliance

High-availability-&

Maximal-scaling

GUI CLIJMX/SNMP/LDAP

Audit-Log-&Debug-log

5

Local-resources Federated-resources Webservices

Provisioning

Lifecycle-Management-

Audit-&-Compliance Cloud Workflow

Discovery ApprovalsSynchroniza)on PoliciesPassword-

managementSelfWService

High-availability-&

Maximal-scaling

REST CLI

Audit-Log-&Debug-log

SelfWService-GUI Ac)vity-Designer-(eclipse-plugWin)

OpenIDM: Un aperçu des fonctions

6

(

Pascal FLAMAND

pflamand(at)janua.fr

Retour d'expérience « ForgeRock

I3 Open Identity Platform »

Gestion des identités et Open Source

En guise d'avant propos :

● La gestion des identités est un « métier » (au même titre que l'ERP par exemple).

● Les enjeux sont complexes et les difficultés multiformes (pas seulement techniques...).

● L'existant est très souvent propriétaire et obsolète mais il faut faire avec...(évolution vs révolution).

● Les intervenants doivent impérativement être des « seniors ».

État des lieux de l'offreDe nombreuses solutions :

-Annuaires : OpenLDAP, ApacheDS, RH DS, OpenDJ...-SSO/Fédération : OpenAM, CAS, OpenID, Oauth, Shibboleth....-Provisioning : LSC, LinID, OpenIA,...

Mais souvent :

hétérogènes et non inter-opérables, complexes à mettre en oeuvre, de qualité médiocre, mal documentées et mal supportées, peu industrialisées/industrialisables, peu robustes, de faible performance...

=> les sempiternels reproches faits au monde Open Source

La suite I3 : maturité des composants..●OpenDJ : produit mature, robuste, performant, industrialisation excellente, la « rolls » des annuaires open source (ou non...)...La possibilité de l'intégrer comme « boite noire » dans un produit...

●OpenAM : produit mature, robuste, performant, installeurs à peaufiner... OpenIG un peu jeune mais prometteur

●OpenIDM : produit jeune, conception moderne, workflows à compléter....

=> support éditeur de grande qualité, un plus évident pour remporter l'adhésion de nos clients grands comptes..

Quelques projets récents● Bank X : OpenAM, OpenDJ, OpenIG - 2,5 M users, architecture,

déploiement, audit de performance, assistance à la mise en production....

● Gouvernement : OpenAM, OpenDJ - consulting architecture, déploiement, développement (registration and management modules)

● Agence Gouvernementale : consulting, best practices d'implémentation, audit de performances

● Telecom : POC OpenAM pour provisionning de cartes SIM..

● Bank Y : OpenDJ – Formation et audit de performance

● Service : OpenAM – intégration, best pratices et formation des développeurs

● Éditeur de logiciel : OpenIG - POC

Projet Banque « X »● Migration de Sun Access Manager vers OpenAM. Plans

pour la fédération SAML et authentification OTP.

● Les utilisateurs sont les clients des banques régionales (plus de 20 unités)

● Réalisations (sur plus de 2 années à temps plein)

- Conception de l'architecture (système de gestion des accès, annuaires et approvisionnement)

- industrialisation

- déploiement et support

● La sécurité est primordiale : Plusieurs couches Hard & Soft

Projet Banque « X »

Gouvernement ● Plateforme de gestion des Accès pour les services en ligne

pour les citoyens (plus de 100 000 comptes)

● Module d'enregistrement développé spécifiquement pour les besoins du client :

- Auto enregistrement en 2 étapes avec confirmations

- Captcha audio et texte

- Annulation automatique en cas d'absence de confirmation

- Fourniture d'un Service Web pour les applications back-end

● H.A. : basculement de session, équilibrage de charge

Gouvernement

Gouvernement

Projets de Gestion des Identités : synthèse

● Les projets sont complexes, il faut arriver à faire travailler ensemble tous les « silos » étanches et concurrents d'une DSI...50 % du travail n'est pas technique mais relève du psychologue ou du casque bleu..

● Importance de l'existant (passif) souvent propriétaire mais immuable – il faut aux intervenants une grande « culture générale » informatique, un « vécu » important....

● Le « réseau » est une plaie, pas un projet ou nous n'ayons rencontré des problèmes liés.... très souvent, un « silo » à part (et mal maîtrisé) dans les DSI

=>Très souvent, un projet de gestion des identités met le doigt là où « ça fait mal » et met en avant les dysfonctionnements majeurs des organisations, les trous de sécurité, etc...

• Société de consulting et de services en logiciels libres (SS2L), éditeur fondée en 2004 à Sophia Antipolis

• Consulting, implémentations et déploiement de solutions de gestion d'identités (provisioning, workflows, synchronisation, SPML v2, audit et conformité), de contrôle d'accès et gestion des droits (SSO, CDSSO, eSSO, fédération, authentification forte, PKI, délégation d'administration).

• Expertise en annuaires LDAP (OpenLDAP, Sun DSEE, OpenDJ, Red Hat directory server) et besoins connexes comme la gestion de contenu ou les interfaces d'accès aux annuaires.

• Etudes d'opportunités et accompagnement à la migration Open Source, déploiement de solutions d'infrastructures.

• Editeur des logiciels LDAPTools, Jaguards, EZslony et CmakeBuilder.

Qui sommes nous ?

7

Avez%vous)des)ques,ons)?

Ludovic-PoitouLudovic.poitou@forgerock.com

7