simplifiez et automatisez la gestion de votre active directory avec adaxes

Expert sécurité, réseau et services informatiques

Version :

Date :

Diffusion : Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes

Simplifiez et automatisez la gestion de votre Active Directory avec AdaxesBruno Kerouanton – République et Canton du JuraMaxime Feroul - Kyos

Public

3.0

22.04.2015


Agenda


Agenda

Comprendre la solution Adaxes…à travers l’implémentation effectuéepour la République et Canton du Jura.

‐ Comprendre la solution Adaxes

‐ Témoignage Client : Mr B. Kerouanton (Chef du Groupe de Compétences Sécurité) de la République et Canton du Jura

‐ Au-delà de la gestion des identités et des accès : Administration Active Directory

‐ Discussions ouvertes

Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes

Kyos SARL Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes

3

Contexte – Active Directory « incontournable » dans nos SI22.04.2015

• 3 perspectives :

‒Gestion des identités

et des accès (IAM)

‒Administration

‒Traçabilité, Audit

Utilisateurs, Approbateurs, Helpdesk Administrateurs

Contrôle, Audit

Solution de gestion des identités et des accès

Console native(Active Directory Users and Computers).

Développeur, Intégrateur,…

Kyos SARL

4

Problématiques adressées par Adaxes

• Pas de solution IAM• L’IAM ne couvre pas nécessairement

tous les cas de gestion‒ i.e. comptes techniques

• Console Native AD‒ Délégation « difficile », Non-Web‒ Pas d’enchainement des opérations, ni de

« workflow » d’approbation‒ Traçabilité possible mais « reporting » difficile

22.04.2015


IAM


5

Softerra Adaxes – A propos de la solution22.04.2015

Simplifier et automatiser la gestion des annuaires Active Directory

Améliorer la sécurité

Réduire la charge de travail des administrateurs

Standardiser l’environnement AD

Traçabilité, rapport

Coûts de licence et de maintenance « raisonnables »


6

Softerra Adaxes – Architecture et composants22.04.2015

• Fonctionne comme un «Proxy»‒ les clients se

connectent au serveur Adaxes via un canal chiffré

‒ le service Adaxes se connecte à l’Active Directory via un compte technique «privilégié»


7

Problématique AD – Hiérarchie « unique »

• Les objets de l’AD (compte, ordinateur, groupes…) sont « rangés » dans une et une seule OU (Organisational Unit)• Cette hiérarchie est construite en fonction de

différentes dimensions (géographique, organisationnelle, type d’objet).

22.04.2015

Comment appliquer des règles de gestion sur les admins de manière générale et d’autres spécifiques aux admins du siège (HQ) ?


8

Fonctionnalité Adaxes – Business Unit

• Créer de regroupement d’objet sur base de règles.• Gérer des collections d’objets indépendamment de leur emplacement

dans la hiérarchie de l’AD.

22.04.2015

Kyos SARL

9

Problématique AD – Permissions sur les objets de l’annuaire

• Système discrétionnaire, multiples ACL* par objet, Héritage en fonction de la hiérarchie des OU‒ Gestion « fastidieuse »‒ Source d’erreur (manque d’accès ou trop

d’accès)• Scénario de délégation par «rôle» pour

la création, mais ensuite navigation par objet et «vision» par permission‒ Audit plus complexe. ‒ Difficile d’avoir une vision «agrégée» par

rôle.

22.04.2015


*ACL : Access Control List

Kyos SARL

10

Fonctionnalité Adaxes – Security Role

• Contrôle d’accès basé sur les rôles (RBAC)‒ Différent des permissions réelles AD‒ Uniquement via les clients Adaxes

22.04.2015


Accès aux objets limité en fonction de «Security Role».

Service Adaxes

Le service Adaxes se connecte avec un compte disposant de plus de privilèges.

Utilisateur, Administrateur,...

Kyos SARL

11

Fonctionnalité Adaxes – Security Role

• Composition d’un rôle‒ permissions sur des type d’objets AD‒ assigné à des comptes (ou groupes) AD sur 1 à N sous-ensemble d’objets (OU,

Groupe, Business Unit,…) • Rôles «dynamiques» en combinant avec les Business Unit

22.04.2015


Un utilisateur « authentifié » peut lire (donc voir le nom) des groupes dont il est membre.

Kyos SARL

12

Problématique AD – Normalisation

• Règle de nommage des objets‒ Clarté, permet des traitements automatisés, aide à éviter les doublons, etc.

• Difficile à appliquer dans un mode de gestion «manuelle»‒ Attributs non obligatoires oubliés, saisie «inutile» pour les attributs pouvant

être composés automatiquement, etc.

22.04.2015


Kyos SARL

13

Fonctionnalité Adaxes – Property Pattern

• Définir des règles (valeur par défaut, contraintes) pour les attributs des objets

22.04.2015


L’attribut Department est initialisé avec la valeur de l’OU dans laquelle est créé l’objet.

L’attribut Full Name est composé du prénom et du nom.

Ces règles ne s’appliquent que sur les objets de l’OU HQ\Users.

Kyos SARL

14

Problématique AD – Automatisation

• Les outils natifs obligent les administrateurs à effectuer « manuellement » de multiples opérations.‒ créer un compte, l’ajouter à des groupes (10 groupes = 10 actions), créer une

boite aux lettres, Attribuer une licence office 365, etc.

• L’automatisation permet de ‒ diminuer l’effort et le temps de maintenance‒ standardiser la création de comptes, groupes, …‒ réduire les sources d’erreurs (facteur humain) et donc améliorer :• la conformité avec les politiques de sécurité,• l’intégrité et la consistance des données de l’AD.

22.04.2015


Kyos SARL

15

Fonctionnalité Adaxes – Business Rule

• Automatiser des opérations grâce à des règles avec des conditions, des actions.• Applicable sur une collection d’objets (Scope).

22.04.2015


Kyos SARL

16

Fonctionnalité Adaxes – Approbations

• Renforcer la sécurité : approbations avant l’exécution des actions.

22.04.2015


Approbation via les interfaces web ou via la console

Kyos SARL

17

Démonstration – Interfaces web & console Adaxes

• Portail GDA : Donner accès à un partage réseau

• Traçabilité et rapports

22.04.2015



Agenda


Agenda

Témoignage ClientMr B. Kerouanton (Chef du Groupe de Compétences Sécurité)de la République et Canton du Jura.







Le contexte – Service Informatique du Canton du Jura

• 85 services internes et parapublics• 1800 utilisateurs

• 3500 groupes de sécurité• 3000 dossiers partagés• 500 applications

• 100 demandes deGestion Des Accès (GDA)par mois.


20

Gestion d’Identité interne – Services fournis

• Autorisation d'accès à l'utilisateur • Messagerie pour l'utilisateur • Volumes système de fichiers• Accès à des ressources applicatives • Accès à l'impression papier• Autres besoins spécifiques

En place depuis <2000, évolutions successives (Novell => AD)

22/04/2015


21

République et Canton du Jura – Projet Sillage

• Une approche « tactique » à une problématique IAM

• Existant :‒Demande circulant via

un fichier Excel.‒Moteur de « digestion »

du fichier pour alimenter l’AD

22.04.2015


22

Processus GDA – Constats négatifs

Constat 1Processus lourd avec beaucoup d’intervenants (CIs, SDI DIR, SDI secrétariat, Admin systèmes, etc.)

Constat 2Support (fiche plan et droits) compliqué à comprendre et à maintenir. Risque élevé.

Constat 3Traçabilité des modifications non assurées

Constat 4Charge importante au SDI pour gérer les accès

22/04/2015

Kyos SARL

15/04/2023 23

Objectif de la nouvelle solution

• Dans le contexte actuel, la solution basée sur Excel ne donne plus entière satisfaction.

• Un objectif tactique : permettre le remplacement des fonctions primordiales de l’outil Excel avant la fin de l’année.‒ A ce titre, le projet n’a pas pour objectif de redéfinir l’entièreté des processus de gestion

des identités et des accès, mais seulement d’adapter ceux existants qui s’appuient sur le moteur Excel.

• La solution retenue pour atteindre cet objectif, est une solution de gestion des annuaires Active Directory : Adaxes de l’éditeur Softerra.

SEC-14-0007 – Intégration Adaxes (Projet Sillage)


24

Migration vers une solution cible pérenne et évolutive22/04/2015

Console administration

Interfaces Web

CIApprobateursAdministrateurs

Service Adaxes

Active Directory


25

Exigences initiales

• Donner la responsabilité au Service (CI et Approbateur)

• Impliquer le SDI que lorsque c’est nécessaire (ex : licences, sécurité,…)

• Formaliser chaque processus‒ Exemple simple : création d’un compte.‒ Exemple complexe : demande d’accès à une application.

22/04/2015


26

Nouvelle solution – Portail web GDA (Adaxes)

• Les demandes d’accès et de création (ou modification) d’identité sont exprimées et approuvées via des interfaces web

• Le «serveur» alimente automatiquement l’AD et offre des fonctions comme :‒ des règles d’approbation, de notification‒ des règles de «création/ modification

automatique» : ajout à un groupe, modification d’un attribut, etc.

‒ la traçabilité des actions

22.04.2015

Console administration

Interfaces Web

CIApprobateursAdministrateurs

Service Adaxes

Active Directory

Kyos SARL

Plusieurs interfaces Web

Interface CIAccessible uniquement par les CI, pour :• Effectuer des demandes• Approuver des demandes• Consulter des informations sur les comptes

utilisateurs du (ou des) service(s) géré(s)

Interface GDAAccessible par tous, pour :• Approuver des demandes• Consulter des informations sur les comptes

utilisateurs, en fonction de nos permissions :– i.e un chef de service ou un CI ne verront que les

utilisateurs de leur service• Ne permet pas d’effectuer des demandes !



28

Fonctionnalités proposées aux CI22/04/2015

Kyos SARL

15/04/2023 29

Exemple de principe avec la création d’un compte

• Processus : Une demande de création d’un compte nécessite une approbation par les approbateurs du service.


Approbateurs du service

Notification d͛̀approbation

Approuve la demande via

https://gda.jura.ch

Demande de créationde compte depuishttps://gda.jura.ch/ci

Demande d͛̀approbation

CI du service

Nouveau compte

Nouveau compte

Active Directory

Kyos SARL

Plusieurs rôles d’approbation

• Les demandes d’approbations sont envoyés à des rôles (groupes)‒ Chaque membre du rôle reçoit la

demande par email‒ Le premier qui approuve

déclenche la suite du processus• Dans ce cas les autres approbateurs

verront que la demande est déjà approuvée.

• Rôles principaux :‒ Approbateurs de service : (i.e le

chef de service) approuvent les demandes concernant leur service.‒ Responsable applicatif‒ Responsable exploitation‒ Responsable sécurité



31

Conclusion

Un projet IAM Réussi

• Budget d’investissementrespecté : < 100k

• Budget de fonctionnementtrès raisonnable

• Délégation aux utilisateurs Gain de productivité, satisfaction !

22/04/2015


32

De la sécurité vers la confiance numérique !22/04/2015


Agenda


Agenda

Au-delà de la gestion des identités et des accèsAdministration Active Directory







34

IAM – Comprendre le périmètre d’Adaxes

• Alimente uniquement l’Active Directory.‒ Alimenter d’autres référentiels nécessite d’utiliser un tiers SPML et/ou un développement

spécifique.• N’étant pas un méta-annuaire, il n’offre pas de vue agrégée de tous les attributs

d’identité détenus par d’autres référentiels.• Les capacités de «workflow» et de personnalisation des interfaces web sont limitées.‒ Pas d’utilisation de source de données externes pour alimenter les différentes étapes des

«workflows».‒ Pas d’enchainements de plusieurs écrans de formulaires interactifs entre plusieurs acteurs.‒ Pas de champs autres que des attributs d’un objet Active Directory dans les interfaces

web.

22.04.2015


35

IAM – Comprendre le périmètre d’Adaxes22.04.2015

IAM

Adax

es O

K • L’AD come principal référentiel• Processus « adaptables » aux limites de

l’outil• IAM en cours de maturité, besoin d’une

première itération (tactique)• Opérations d’administration non couvertes

par la solution IAM en place.

IAM

Perti

nenc

e Ad

axes

à é

tudi

er • Nombreux référentiels à alimenter et/ou a utiliser pour supporter les opérations d’alimentation

• Processus et workflow complexes

Au-delà de l’IAM, Adaxes reste une solution pertinente pour les 2 autres perspectives : Administration et Traçabilité des opérations menées sur l’Active Directory.


36

Administration Adaxes - Scheduled Tasks

• Execution récurrente (ou non) d’actions‒Désactiver des comptes inactifs depuis plus d’une certaine période,‒Notifier de l’expiration prochaine d’un mot de passe ou d’un compte,‒Générer un rapport spécifique : i.e Approbations en attente,…

22.04.2015

Historique de l’activité


37

Basket – Opérations sur un ensemble d’objet

• Grouper des objets dans un panier• Exécuter des actions sur l’ensemble des objets‒Copier des groupes !‒Modifier un attribut

22.04.2015


38

Office 365 - Automatisation

• Office 365 : pas de solution pour automatiquement assigner ou révoquer les licences utilisateurs.Les administrateurs doivent changer d’outils.

• Adaxes permet :‒de n’utiliser qu’une interface, ‒d’offrir du self-service avec approbation,‒d’être “multi-tenant”.

22.04.2015

Kyos SARL

Besoins spécifiques – API, SPML*,…22.04.2015


39

Powershell, SDK (VBScript, JScript, VB, VB.Net, C++, C# )

• Implémenter des actions spécifiques dans les « business rules » et les « scheduled tasks ».

• Développer des clients spécifiques : consommer directement le moteur Adaxes depuis un script, une application « externe ».

Intégration SPML• Envoi de requêtes à un tiers SPML lorsqu’une opération est effectuée

sur l’AD.• Provider SPML (web service) permettant à une application tierce

d’accéder à des ressources AD.

*Service Provisioning Markup Language


40

A RETENIR - Simplifier et automatiser la gestion Active Directory avec22.04.2015

Améliorer la sécurité

Réduire la charge de travail des administrateurs

Standardiser l’environnement AD

Traçabilité, rapports

Coûts de licence et de maintenance « raisonnables »

• Accès basé sur les rôles• Approbation des actions

• 200 utilisateurs : ~2000 CHF(600 CHF)• 2000 utilisateurs : ~10600 CHF(3100 CHF)

• Modèles, Règles d’initialisation et de contrôle lors de la création / modification d’objets et d’attributs

• Délégation , « Self-Service »• Règles de gestion automatisées

(enchainement de multiples opérations, opérations groupées sur des collections d’objets, …)

• Taches récurrentes (contrôle, nettoyage)• Automatisation Ms Exchange, Office 365 et

Lync

• DB de traces de toutes les opérations, syslog• Multiples rapports (comptes inactifs, qui vont

bientôt expirer,…)


Agenda


Agenda

Discussions ouvertes







Contact us

Kyos SARL

Avenue Rosemont, 12 bis1208 Genève

Tel. : +41 22 566 76 30Fax : +41 22 734 79 03

www.kyos.ch

[email protected]



Contactez nous

Kyos SARL

Avenue Rosemont, 12 bis1208 Genève

Tel. : +41 22 566 76 30Fax : +41 22 734 79 03

www.kyos.ch

[email protected]

Merci

simplifiez et automatisez la gestion de votre active directory avec adaxes

Technology