Copyright © 2006 Quest Software

Anthony Moillic

Directeur Technique

Quest Software

Les solutions Quest pour l’optimisation du SI

Quest Software fournit des solutions conçues pour accroître les performances et la productivité des applications, des bases de données et des infrastructures Windows.

Optimisez vos infrastructures Windows

Les solutions Quest simplifient, automatisent et sécurisent la gestion des infrastructures Windows.

Elles facilitent également la migration et l’administration intégrée des plateformes hétérogènes.

Gestion des Identités

Quest Software aide les

entreprises à simplifier la

gestion des identités en

étendant les fonctions natives

d’Active Directory aux

environnements non-Windows

et en ajoutant des fonctions

d’administration avancées tels

que l’habilitation par fonction

ou rôle, l’accès aux

ressources, la gestion des

mots de passe et l’audit pour

les systèmes Windows et non

Windows

5

La Gestion des identitésEn utilisant l’expertise de la gestion de Active Directory

SIMPLIFIER

Simplification de la gestion des identités en administrant les identités Unix/Linux/Java au travers d’Active Directory

AUTOMATISER

Automatiser l’administration des identités sur les environnements cross-platform: provisionnement/de-provisionnement, gestion des mots de passe, audit

SECURISER

Securiser l’accès des utilisateurs Unix/Linux/Javaau travers d’Active Directory

6

Les défis des environnements hétérogènes

• Mise en conformité• Securité• IDs/Logins Multiples• Complexité

– Trop d’annuaires– Trop de mécanismes d’authentification

• Cher à maintenir• Difficile à gérer• Inefficace

7

Situation:Votre environnement est un mix de systèmes divers disposant d’annuaires multiples, d’environnements de stockage d’identités et de mécanismes d’authentification

8

Active Directory simplifie la situation pour les systèmes WindowsMais pour les environnements non-Windows, les annuaires et authentifications doivent être administrés de manière séparée

-Annuaires Multiples-Identités Multiples-Logins Multiples-Non-sécurisé

9

Quest permet l’intégration des identités disparates Unix/Linux/Java en un seul environnement Active Directory sécurisé

10

Puis, Quest aide à l’administrationdes environnements intégrés et augmente l’efficacité de la gestion via le provisionnement et déprovisionnement des utilisateurs

11

Renforcement des sécuritésGrâce à une gestion forte des mots de passe pour tous les systèmes

12

Et, adresser les besoins de mise en conformitéen offrant l’audit et la génération de rapports pour toutes les activités relatives aux identités sur l’enrivonnement intégré

13

14

15

Vu de l’utilisateur final …

16

Le point de vue de l’utilisateur final

HR System Solution de

provisioning? MIIS

• Délégation de l’audit

• Suivi des changements et des processus

• Audit des événements

• Analyse des anomalies

• Rapport sur les identités

17

• Accès aux systèmes, applicationset données

• Changements sur les applicationsen production et les configurationssystèmes

• Disponibilité des systèmes etapplications critiques

• Rétention des communicationset données importantes

Disponibilité des systèmes• Foglight• Management Xtensions for

MOM• Recovery Manager• Availability Manager• SharePlex• LiteSpeed

La vision Quest

L’”Identity and Access Management” est un facteur majeur des projets de mise en conformité

Change management• Stat• Group Policy Manager• Vintela Authentication Services• Management Xtensions for SMS• InTrust

Rétention des données• Archive Manager• Recovery Manager• InTrust• LiteSpeed

Gestion des accès• Vintela Authentication Services• Vintela Single Sign-on for Java• ActiveRoles Server• InTrust• Reporter• Toad

Copyright © 2006 Quest Software

Une approche pragmatique, par étapes

18

Provisionner AD à partir de sources extérieures

• Un utilisateur est créé d’abord sur un système externe à Active Directory– RH– Pages Blanches– …

• Créer son identité dans le SI le plus efficacement possible est primordial

• Eviter les interventions manuelles

19

20

Provisioning Manuel

Compte

utilisateur

Appartenance

aux groupes

Localisation, Login Unique, Mot de passe, Accès distant …

Applications &

Bases de

données

Unix/Linux &

Java

Localisation, permissions NTFS, permissions Partage

Choix de la banque d’information, Génération d’Alias

Contrôle d’accès, Liste de distribution Email

Cross-Platform pour les applications non-intégrée à AD

Bàl Exchange

Messagerie

Instantanée

Répertoire

personnel

Notifications

Linux/Unix “Enabled”

Réconciliation ADLDS (ADAM)

Mgrs, IT et RH

Administrateurs AD Séniors

Administrateurs Exchange Seniors

Help DeskSupport

AdministrateursSécuriré

Admins ADLDS Admins des Applications

Création

Configuration

Inform

Coûteux / Erreurs humainesNécessite des heures …

ADAM/

ADLDS

21Policy

Policy

Policy

Policy

Policy

Policy

Policy

Policy

Provisioning automatique

Compte

utilisateur C

reateC

onfigure

Appartenance

aux groupes

de sécurité

Localisation, Génération de login unique, Génération de mot de passe complexeAccès distant

Applications &

Bases de

données

Unix/Linux &

Java

Localisation, permissions NTFS, permissions sur les partages

Sélection contrôlée de la banque d’information,Génération des Alias

Contrôle des accès, appartenance aux listes de distributions

Cross-Platform pour les applications non-intégrée à AD

Bàl Exchange

&

Messagerie

Instantanée

Répertoire

personnel et

accès aux

partages

Notifications

Linux/Unix/Java “Enabled”

Réconciliation ADLDS(ADAM)

Managers, HR et Support

Inform

ActiveRolesActiveRolesServerServer

Abordable/Efficace/Sans erreurRéalisé en quelques minutes

MIIS

Help Desk | Personnel moins qualifé| Directement des RH | MIIS, Tivoli, SUN, HP

ADAM/

ADLDS

Copyright © 2006 Quest Software

Démonstration n°1

Provisioning d’un compte

22

Scénario de la démonstration

• Un utilisateur est créé sur un annuaire LDAP externe

• Microsoft MIIS reconnaît cette création de compte

• Microsoft MIIS crée le compte sur Active Directory

• Quest ActiveRoles Server prend le relais pour la mise en œuvre de règles automatiques de gestion pour:– créer son répertoire personnel, – sa boite aux lettres, – son appartenance aux groupes « techniques »

23

Provisioning / Reprovisioning / Deprovisioning

• La même démarche s’applique dès qu’un employé change de fonction ou quitte la société

• Les mêmes règles s’applique que les actes administratifs proviennent de l’annuaire métier ou d’opérations faites par l’administrateur en direct

• La reconciliation des actes administratifs est possible

• La traçabilité est toujours assurée

24

25

ActiveRolesActiveRolesServerServer

Deprovisioning automatique

Verrouillage

Configuration

Désactivation du compte, Affecter/Effacer Attributs, Déplacer à la corbeille,Planifier pour suppression dans 60-90 jours

Revocation des accès, assigner les permissions aux responsables ou administrateurs

Assigner “Self”, Cacher dansla GAL, Assigner les permissions aux responsables ou administrateurs

Supprimer et Enregistrer les appartenances aux Groupes et Listes de distribution

Initialiser le deprovisioning Cross Platform

Désactiver Linux/Unix/Java

Deprovisioner ADLDS

Managers, RH et Support

Informer

Compte

utilisateur

Répertoire

personnel et accès

aux partages

Bàl Exchange

Messagerie

Instantanée

Appartenance

aux groupes

de sécurité

Applications &

Base de

données

Unix/Linux &

Java

Notifications/

Génération de

rapports

Policy

Policy

Policy

Policy

Policy

Policy

Policy

Policy

MIIS

Mise en conformité simplifiéeAccomplie en quelques secondes

Help Desk | Personnel moins qualifé| Directement des RH | MIIS, Tivoli, SUN, HP

ADAM/

ADLDS

26

Initiateurs

Contrôle du changement et approbation

ActiveRolesActiveRolesServerServer

MIIS

Notification de demande

de changement

Notifications des Approbations

Notifications de Rejet

XXXX

Approuveurs

L’objet est géré parun utilisateur ou

un groupe

Tentative de changement

Attributs•Création•Modifier ou•Supprimer un objet

Help DeskPersonnel moins qualifié

Directement des RHou Platformes

Supervision IT

IT Administrator

Copyright © 2006 Quest Software

Une approche pragmatique, par étapes

27

Etendre le périmètre d’Active Directory et des GPOs

soit par l’établissement d’une communication forte

• Microsoft MIIS• Microsoft ILM 2007

soit par intégration

• Quest Vintela Authentication Services• Quest Vintela Single Sign-on for JAVA

28

Une seule infrastructure technique

2929

PasswordPasswordManagerManager

Active DirectoryActive Directory& ADAM& ADAM

Directories

Mid-Range & Main Frame

Applications & Databases

Microsoft MIISMicrosoft MIIS

SQL

InTrust &InTrust &ReporterReporter

SQL

ActiveRolesActiveRolesServerServer

SQL

Intra/Inter/Extranet

MMC/Browser

ActiveRoles providesADSI/SPML/PowerShell

VintelaVintela

Smart Cards

Users GroupsMicrosoft Exchange

Home Folders & Resource

Access

ApplicationsAccess

Computers

SSO

ADFSADFS

Une seule infrastructure technique, cela signifie• Une seule identité• Un seul mot de passe

– Reset– Complexité– Politiques différenciée par OU, par groupe*

• La Simplification

• de l’administration– Consoles– Sauvegarde / Restauration

• de la supervision– Microsoft Operation Manager 2007

• de la mise en conformité

• de la traçabilité

30

* Avec Quest Password Manager

Copyright © 2006 Quest Software

Démonstration n°2

Extension du périmètre d’Active Directory à UNIX/Linux

31

Scénario de la démonstration

• Création d’un compte sous Active Directory

• Activation de son identité sous UNIX/Linux

• Connexion sous Linux avec l’identifiant Active Directory

• Après 3 tentatives infructueuses de saisie de mot de passe sous Linux, le compte est verrouillé sous AD

• Le déverrouiller avec la MMC Utilisateurs et Ordinateurs permet de se connecter à nouveau sous Linux ou Windows

32

Copyright © 2006 Quest Software

Démonstration n°3

Provisionner les applications: Oracle

33

Scénario de la démonstration

• Les informations d’accès à Oracle sont intégrés à la console d’administration

• Mise en place de l’accès à une des bases Oracle

• Microsoft MIIS prend le relais pour provisionner les comptes Oracle

• Vintela Authentication Services assure le SSO

• Connexion à Oracle à partir de Windows sans aucune demande d’identification

34

Copyright © 2006 Quest Software

Démonstration n°4

Une seule infrastructure = des solutions uniques et simples !

35

Scénario de la démonstration

• Un utilisateur sous Windows se connecte en SSH sous UNIX

• Il essaie de se connecter sous Unix en compte ‘root’ plusieurs fois

• Quest Management eXtensions for MOM détecte le trop grand nombre de tentatives

• Microsoft Operation Manager signale l’alerte en temps réel

36

Copyright © 2006 Quest Software

Conclusion

37

38

En conclusionLes Solutions Quest et Microsoft pour La Gestion des Identités

Prochaines Etapes

• Session n°2

– Fédération d’identité– Authentification Forte– Traçabilité

39