fim 2010 r2 : gestion des identités, automatisation des traitements, et gestion avancée
DESCRIPTION
Au cours de cette session vous aller découvrir la solution Forefront Identity Manager sur la base de scénarios que tous les clients rencontrent. Vous verrez comment il sera possible d’automatiser sur la base de « vos règles » (et des recommandations Microsoft) toutes les tâches classiques autour des utilisateurs, les groupes, les applications.. et les habilitations au sens large. Vous saurez alors comment la gestion des identité peut avoir rapidement un impact significatif sur le service aux utilisateurs, la sécurité, le coût d’exploitation de l’infrastructure... Nous profiterons de cette session pour décrire les nouveautés de la version R2 arrivée il y a quelques moisTRANSCRIPT
FIM 2010 R2 : Gestion des identités, automatisation des
traitements, et gestion avancée
Frédéric Esnouf, MicrosoftVictor Joatton, Exakis
Infrastructure et Gestion des identités
• Présentation de FIM– Démonstrations
• Gestion des rôles– SOD
• Attestation– Présentation
Agenda
PRÉSENTATION DE FIMChapitre 1
Design
• Vision IT/Infrastructure– Souhait des équipes technique de se dégager du
temps, de réduire les tâches administratives
• Vision Sécurité– Qui a accès à quoi ? Bonnes pratiques &
Audit/compliance
• Vision Financière– Réduction des coût, ou dégager du temps pour
de nouveaux projets.
La gestion des identités
Historique de FIM
Office Integration for Self-ServiceDeclarative ProvisioningGroup & DL ManagementWorkflow and PolicySupport for 3rd Party CAs
User Management
GroupManagement
Credential Management
Common PlatformWorkflowConnectorsLoggingWeb Service APISynchronization
PolicyManagement
Identity SynchronizationUser Provisioning Certificate and Smartcard Management
Web based password resetReportingSimplified deployment and troubleshootingEnhanced performanceEnhanced MA connectivityAdded language support
User Management Group
Management
Credential Management
Common PlatformWorkflowConnectorsLoggingWeb Service APISynchronization
PolicyManagement
R2
1997Acquired LinkAge
Directory Exchange
1999Active
Directory
1999Acquired
Zoomit VIA
1999Metadirectory Services
2003Identity Integration
Server 2003
2005Acquire
d Alacris
2007Identity Lifecycle
Manager 2007
2009 Identity Lifecycle
Manager 2007 FP1
2010FIM 2010AD FS 2.0
2013FIM 2010 & BHOLD SP1
2012FIM 2010 R2
BHOLD
… bien catégoriser son projet pour le réussir
Quel est votre projet de gestion des identités ?
Méta annuaire
Gestion des identités
Gestion des identités avancée
Méta annuaire
Synchro de données
Qualité des données
…Portail
utilisateurDélégation d’administr
ationGestion des
rôlesAutomatisa
tion des traitementsReportingSécurité
…Gestion de
rôle avancée
DataMiningSegregation of duty
Attestation
Sans gestion des
identités
Réception des
demandes: téléphone, email, outil
Traitement : manuel ou via scripts
Méta annuaire
Gestion des identités
Composants de FIM
Applications et annuaires
.. Autre FINANCE RH MAIL ACTIVE DIRECTORY
PABXSMARTCARD
Moteur de synchronisation
MetaDirectory
Moteur de synchronisati
on
Applications et Cloud
Services
Interfaces
ApprobationSynchronisatio
nAutomatisati
on
Reset de mot
de passeGestion des
cartes
Portail FIM Outlook Windows Custom Reporting
Vos règles de gestionRôles,
attestation, …
Powershell
1 licence par serveur
1 CAL par utilisateur
demo
GESTION DES RÔLESChapitre 2
Design
Gestion des rôles dans FIM Structure organisationnelle de l’entreprise Assignation de rôles, par UO Rôles imposés ou proposés Héritage
UO
R
UO
R
R
UO
PP
13
Création de la structure d’UO
14
L’unité organisationnelleVision organisationnelle de l’entreprise, UO France
• Structure hiérarchique de l’entreprise• Utilisateurs• Rôles hérités• Rôles de l’UO• …
15
Création et assignation de « rôles »Lier un Rôle à une unité organisationnelle EMEA
Rôle proposé ou imposé
16
Vision unité organisationnelle EMEARésultat dans UO EMEA
• Rôle positionné sur EMEA
• Rôle « Proposé
17
Vision unité organisationnelle FRANCE• UO France
• Rôle « Proposé », « hérité » ou obligatoire
18
BilanUO et Rôles
• Description de votre structure d’entreprise via des Unités organisationnelles (différentes des UO Active Directory)
• Création de Rôles d’entreprise• Assignation de ces rôles par UO• Un rôle est « proposé » ou « obligatoire »• Un OU peut hériter des rôles de son UO parent (EMEA-
>France)
Click icon to add picture
Applications & Permissions
SOD
Applications, Permissions et RôlesDonner des habilitations aux utilisateurs via les rôles
Définition des applications d’entreprise Les applications ont des « permissions » On assigne des permissions aux rôles SOD possible entre permissions.
UO
R
UO
R
R
UO
PP
Schéma de démonstrationUtilisateurs, OU, .. Rôles et permissions .. .SOD
21
France
R
Inde
R
R
PP SODPSO
D
Auditeur peut valider facture à 10K Au-delà, incompatible
Applications
22
Création d’une applicationApplication Finance
Application
Application et permissionsApp Finance, permission sur « seuils » de facture
23
P
Application
P
24
Rôles, et permissions
Créer Rôle auditeur, et assigner permission « auditeur « + »facture 10K »
…
R R
PP
25
Assigner un rôle à une OU (France)
• Les rôles sont maintenant proposés via les UO, ils seront donc hérités
France
R R
26
Assignation utilisateur à UO FranceUn utilisateur peut appartenir à plusieurs UO
France
27
Assignation Rôle (proposé)Rôles hérités de l’OU, récupération des permissions
France
R R
R
PPPSO
D
Application
Click icon to add picture
SOD
29
Créer la règle d’incompatibilité (SOD)
MandatoryOverridabl
e
PPSO
D
SOD
30
SOD overridable
31
SOD mandatory
ATTESTATIONChapitre 3
Design
ATTESTATIONDéfinitions
• Attestation : certifier un fait par vive voix ou par écrit
• Dans l’IAM, on parle de certification : certifier les accès et les habilitations d’une personne
• Il s’agit de valider ou non les relations entre :– Les identités et leur compte– Les identités et leur niveau d’habilitations
ATTESTATIONBesoins
• D’un point de vue sécurité, il est indispensable de pouvoir contrôler les habilitations des collaborateurs– Eviter les accumulations de droits– Sur les applications sensibles– Permettre de donner des droits fins selon les besoins des collaborateurs
• De répondre aux exigences des réglementations pour être conforme– Par exemple, sur les applications qui ont besoin d’être SOX-compliant– Dans SOX, il est stipulé qu’il faut pouvoir évaluer les contrôles d’accès aux applications sur
une base annuelle.
ATTESTATIONObjectifs
• Assurer le niveau d’habilitations des collaborateurs– Ont-ils assez de droit pour travailler et accomplir leur fonction ?– Ont-ils des droits en trop ?
• Assurer le granularité des droits– Au niveau des permissions dans les applications du périmètre– Au niveau des comptes dans les applications du périmètre
• Déléguer l’attestation aux fonctionnels– Basé sur la hiérarchie de l’organisation– Basé sur les responsables d’application– Basé sur une liste de personnes (cellule habilitation par exemple)
L’objectif est surtout d’attester les habilitations sur les applications sensibles.
ATTESTATIONFonctionnement d’une campagne• Deux types de population
Création d’une campagne
Responsable de campagne
Steward
Maintien de la campagne
Revue des utilisateurs qui
doivent être attestés
Attestation des utilisateurs
Fin de la campagne
• Création d’une campagne
• Si le Steward n’est pas responsable de l’un des utilisateurs, il le refuse et le responsable de campagne doit réaffecter l’utilisateur à un autre steward
• Le Steward accepte ou refuse les droits / Comptes des utilisateurs
• Si la campagne d’attestation est périodique, une nouvelle instance sera créée selon le timing choisi
ATTESTATIONPortail d’attestation
• Le portail Attestation est module à part entière• L’accès à ce portail est réservé aux superviseurs et aux
stewards
ATTESTATIONCréation d’une campagne
• Date de validité de la campagne• Configuration de la récursivité• Configuration des rappels
ATTESTATIONCréation d’une campagne - Périmètre
• Par application : • Par organisation :
ATTESTATIONCréation d’une campagne – Périmètre
• Deux possibilités :– Soit sur les comptes– Soit sur les permissions
ATTESTATIONCréation d’une campagne – Les stewards
• Deux possibilités :– Soit par rapport à
l’organisation en place– Soit en ajoutant pour la
campagne en cours des stewards directement
• A la fin de la création de la campagne, les stewards sont notifiés
ATTESTATIONAttestation des droits par les Stewards
• Le steward voit la liste des instances de campagne qui lui sont affectés
• Dans l’instance, les utilisateurs sont listés : le steward choisit quels sont les utilisateurs dont il est responsable
ATTESTATIONAttestation des droits par les Stewards• Les utilisateurs
sont listés avec leurs comptes
• OU : Les utilisateurs sont listés avec leurs permissions
ATTESTATIONAttestation des droits par les Stewards
• Pour les utilisateurs dont il est responsable, le steward accepte ou refuse les comptes ou les droits
• Dans les deux cas, une vérification est faite par rapport à l’action d’un autre steward sur ces droits
ATTESTATIONAttestation des droits par les Stewards – les utilisateurs refusés
• Les utilisateurs refusés sont visualisés par le responsable de campagne
• Ils peuvent être affectés à d’autres stewards
ATTESTATIONLes résultats
• Tant que l’instance de campagne est en cours, il est possible pour le steward de modifier les attestations
• Le responsable de campagne peut visualiser à tout moment les résultats de la campagne
• Après la date de fin, même si tous les utilisateurs n’ont pas été attestés, la campagne est fermée et complétée
Moteur FIM
ATTESTATIONExemple
OU 1
R R
P3P1
Application A
Application A
P2
P1P2
P3
P1P2
P3X
PERSPECTIVESChapitre 4
Design
Merci !
• Pourquoi la gestion des identités ?• Impact sur le SI• Gérer son projet ? Classique ou Quick
Win ?
PERSPECTIVES
Click icon to add picture