Gestion des identitésGestion des identités

Philippe Beraud

Consultant Principal

Microsoft France

Christophe Dubos

Architecte Infrastructure

Microsoft France

Sommaire

IntroductionIntroductionA quelles problématiques répond la gestion des identités A quelles problématiques répond la gestion des identités et des accès (IAM) ?et des accès (IAM) ?

Quels bénéfices peut-on attendre d’une solution d’IAM ?Quels bénéfices peut-on attendre d’une solution d’IAM ?

Active Directory & AD/Application Mode - Pourquoi 2 Active Directory & AD/Application Mode - Pourquoi 2 versions et pour quels usages ?versions et pour quels usages ?

Gestion du cycle de vie des données d’identitéGestion du cycle de vie des données d’identitéMicrosoft Identity Integration Server (MIIS)Microsoft Identity Integration Server (MIIS)

Fédération des données d’identitéFédération des données d’identitéActive Directory Federation Services (ADFS)Active Directory Federation Services (ADFS)

Notion de méta-système d’identité et InfoCardNotion de méta-système d’identité et InfoCard

Questions / RéponsesQuestions / Réponses

Contexte

ClientsClientsUsagersUsagers

PartenairesPartenairesFournisseursFournisseurs

RessourcesRessources

AdministrateursAdministrateurs

EmployésEmployésCollaborateursCollaborateurs

ApplicationsApplications

Support utilisateursSupport utilisateurs

e-Commercee-CommercePortail collaborateursPortail collaborateurs

ERPERPRessources humainesRessources humaines

MessagerieMessagerie

Annuaire entrepriseAnnuaire entreprise

TélédistributionTélédistribution

IngénerieIngénerie

CRMCRM

Self-Service WebSelf-Service Web

CollaborationCollaboration

Gestion de la chaine logistiqueGestion de la chaine logistique

Portail partenairesPortail partenaires

Comment optimiser Comment optimiser les coûts de gestion les coûts de gestion des arrivées, départs des arrivées, départs

et autres et autres mouvements ? mouvements ?

Comment donner à Comment donner à mes partenaires un mes partenaires un accès contrôlé aux accès contrôlé aux ressources de mon ressources de mon

entreprise ?entreprise ?

Les problèmes de mots Les problèmes de mots de passe représentent de passe représentent

50% des incidents traités 50% des incidents traités par la hotline !par la hotline !

Comment améliorer le Comment améliorer le niveau de sécurité en niveau de sécurité en réduisant le nombre réduisant le nombre de mots de passe ?de mots de passe ?

Comment savoir Comment savoir qui a accès à qui a accès à

quelles quelles applications ?applications ?

L’audit sécurité a L’audit sécurité a révélé que des révélé que des

personnes ayant personnes ayant quitté l’organisation quitté l’organisation depuis 1 an avaient depuis 1 an avaient encore des accèsencore des accès

Comment avoir une Comment avoir une vision consolidée de vision consolidée de

l’ensemble des l’ensemble des collaborateurs ?collaborateurs ?

Problématiques

Qu’est ce qu’une identité numérique ?

Une définition de la gestion de l’identité numériqueUne définition de la gestion de l’identité numérique

Un ensemble de procédures et de stratégies utilisant des Un ensemble de procédures et de stratégies utilisant des

composants logiciels permettant de gérer le cycle de vie et les composants logiciels permettant de gérer le cycle de vie et les

habilitations des habilitations des crédentiels numériquescrédentiels numériques

Adresse IPAdresse IP

User/mot de passeUser/mot de passe

BiométrieBiométrie

Cartes à puceCartes à puce

Nom, Adresse, Téléphone, Mobile, Fax, Bâtiment, Numéro Sécu, … Nom, Adresse, Téléphone, Mobile, Fax, Bâtiment, Numéro Sécu, …

PhotosPhotos

PasseportPasseport

Le processus d’authentification des Le processus d’authentification des crédentiels et de contrôle d’accès aux crédentiels et de contrôle d’accès aux ressources basé sur la confiance et ressources basé sur la confiance et l’identitél’identité

Référentiels permettant le stockage et Référentiels permettant le stockage et l’administration des comptes, informations l’administration des comptes, informations d’identité et crédentiels (mots de passe, d’identité et crédentiels (mots de passe, certificats)certificats)

Technologies et processus utilisés pour créer, Technologies et processus utilisés pour créer, supprimer et gérer les modifications relatives supprimer et gérer les modifications relatives aux comptes et profils, ainsi que pour vérifier la aux comptes et profils, ainsi que pour vérifier la conformité aux stratégies et réglementationsconformité aux stratégies et réglementations

Servicesd’annuaire

Services degestion des

accès

Services de gestion ducycle de vie

Gestion des identitésComposants clé

Gestion des identités numériquesQuelle stratégie pour Microsoft ?

Services d’annuaireServices d’annuaireUnification complète des annuaires…Unification complète des annuaires…UtopiqueUtopique

Annuaire technique d’entreprise : Annuaire technique d’entreprise : Active Directory Active Directory (AD)(AD)

Annuaire applicatif d’entreprise : Annuaire applicatif d’entreprise : Active Directory/Application Mode Active Directory/Application Mode (AD/AM)(AD/AM)

Services de gestion du cycle de vie des données d’identitéServices de gestion du cycle de vie des données d’identitéIdentity Integration Feature PackIdentity Integration Feature Pack (IIFP)(IIFP)

Microsoft Identity Integration Server Microsoft Identity Integration Server (MIIS)(MIIS)

Services de gestion des accèsServices de gestion des accèsAuthentification et autorisation :Authentification et autorisation : Kerberos et PKI Kerberos et PKI

Protection de l’information (ERM) : Right Management Services Protection de l’information (ERM) : Right Management Services (RMS)(RMS)

Contrôle d’accès basé sur les rôles (RBAC) :Contrôle d’accès basé sur les rôles (RBAC) : Authorization Manager Authorization Manager (AzMan)(AzMan)

Fédération des données d’identitéFédération des données d’identité

Active Directory Federation Services Active Directory Federation Services (ADFS)(ADFS), méta-système , méta-système d’identité et InfoCardd’identité et InfoCard

Au sein d’un périmètre maîtriséSynchronisation et « provisioning » des données d’identité

Périmètre Périmètre interneinterne

Périmètre Périmètre externeexterne

Périmètre Périmètre étenduétendu

Entre des périmètres maîtrisésFédération des données d’identité

Données d’identitéPérimètre d’usage

Données de 2 types en fonction de leur périmètreDonnées de 2 types en fonction de leur périmètreDonnées globalesDonnées globales

Peu de données mais partagées par de nombreuses applications, Peu de données mais partagées par de nombreuses applications, schéma commun géré de façon centraliséeschéma commun géré de façon centralisée

Données spécifique à une applicationDonnées spécifique à une applicationSchéma spécifique à l’applicationSchéma spécifique à l’application

Stockage des données applicatives dans un référentiel Stockage des données applicatives dans un référentiel spécifiquespécifique

Besoin spécifiquesBesoin spécifiquesEx. : mode de mise à jour transactionnel, modèle relationnel plus Ex. : mode de mise à jour transactionnel, modèle relationnel plus adaptéadapté

Ne pas « polluer » le schéma de l’annuaire d’entreprise et réduire Ne pas « polluer » le schéma de l’annuaire d’entreprise et réduire l’impact d’un dysfonctionnement applicatifl’impact d’un dysfonctionnement applicatif

Gestion des données d’identité entre référentielsGestion des données d’identité entre référentielsMicrosoft Identity Integration Server (MIIS)Microsoft Identity Integration Server (MIIS)

Outils Topologie AdminOutils Topologie AdminOutils Topologie AdminOutils Topologie Admin

AD et ADAMIntégration

DSADSA

LDAPLDAP REPLREPL

SecureSecureAuthNAuthN

MAPIMAPI AuthNAuthN SSOSSO

DNSDNS PolicyPolicy

DSADSA

LDAPLDAP REPLREPL

SecureSecureAuthZAuthZ

Sécu

rité

Sécu

rité

inté

gré

ein

tégré

eSécu

rité

Sécu

rité

inté

gré

ein

tégré

eSingle Single Sign-OnSign-On

Common Common Sign-OnSign-OnTopologies de réplication Topologies de réplication cohérentescohérentes

Mutualisation de l’infrastructureMutualisation de l’infrastructure

Optimisation de l’administrationOptimisation de l’administration

AD et ADAMCommon et Single Sign-On

ADADADADAnnuaireAnnuaire

LDAPLDAPexistantexistant

AnnuaireAnnuaireLDAPLDAP

existantexistant

ApplicationApplicationexistanteexistante

ApplicationApplicationexistanteexistante

AuthentificatioAuthentificationnWindows Windows Kerberos Kerberos IntégréeIntégrée

Authentification Authentification applicativeapplicativeexistanteexistante

Couples Utilisateurs/Mots de passe différents…Couples Utilisateurs/Mots de passe différents…

Couples Utilisateurs/Mots de passe cohérents…Couples Utilisateurs/Mots de passe cohérents…

Intégration applicativeIntégration applicative

AD/AMAD/AMAD/AMAD/AM

Common Common Sign-OnSign-OnSingle Single Sign-OnSign-On

Windows Server 2003 Windows Server 2003 R2R2

Windows Longhorn ServerWindows Longhorn Server22ièmeième trimestre 2007 trimestre 2007

AD et ADAMEvolutions

Intégration d’AD/AMIntégration d’AD/AM

AD/AM disponible comme AD/AM disponible comme composants de R2composants de R2

Nouvelles fonctionnalitésNouvelles fonctionnalitésBind Digest/MD5Bind Digest/MD5

Password change ProxyPassword change Proxy

Nouveaux outilsNouveaux outilsSchema AnalyzerSchema Analyzer

LDP (ACL Editor)LDP (ACL Editor)

Active DirectoryActive DirectoryDC en lecture seuleDC en lecture seule

DC en mode cacheDC en mode cache

Security Token ServiceSecurity Token Service (AD-STS)(AD-STS)

AD en temps que serviceAD en temps que service

Nouvelle interface Nouvelle interface d’administrationd’administration

AD/AMAD/AMDisponibilité simultanéeDisponibilité simultanée

Sommaire

IntroductionIntroductionA quelles problématiques répond la gestion des identités et des A quelles problématiques répond la gestion des identités et des accès (IAM) ?accès (IAM) ?

Quels bénéfices peut-on attendre d’une solution d’IAM ?Quels bénéfices peut-on attendre d’une solution d’IAM ?

Active Directory & AD/Application Mode - Pourquoi 2 versions et Active Directory & AD/Application Mode - Pourquoi 2 versions et pour quels usages ?pour quels usages ?

Gestion du cycle de vie des données d’identitéGestion du cycle de vie des données d’identitéMicrosoft Identity Integration Server (MIIS)Microsoft Identity Integration Server (MIIS)

Fédération des données d’identitéFédération des données d’identitéActive Directory Federation Services (ADFS)Active Directory Federation Services (ADFS)

Notion de méta-système d’identité et InfoCardNotion de méta-système d’identité et InfoCard

Questions / RéponsesQuestions / Réponses

Cycle de vie des identités

RôleRôleinitialinitial

DépartDépart

ArrivéeArrivée

Changement de Changement de fonction ou d’équipefonction ou d’équipe

Gestion des droits Gestion des droits d’accèsd’accès

Gestion des mots de Gestion des mots de passepasse

Les besoins

Créer le schéma détaillé de l'organisation Créer le schéma détaillé de l'organisation Référencer et définir la « carte d’identité » des élémentsRéférencer et définir la « carte d’identité » des élémentsDéfinir la cartographie des éléments entre euxDéfinir la cartographie des éléments entre eux

Consolider les informations d'identité dans un référentiel global Consolider les informations d'identité dans un référentiel global ou fédérer différents référentielsou fédérer différents référentiels

Mettre en place le « Mettre en place le « provisioningprovisioning » des informations d'identité  » des informations d'identité entre les référentielsentre les référentiels

Gérer les règles d’autorité sur chaque information d'identitéGérer les règles d’autorité sur chaque information d'identitéDétecter et propager les modifications entre les référentielsDétecter et propager les modifications entre les référentielsGérer l’intégrité des informations entre les référentielsGérer l’intégrité des informations entre les référentiels

Gérer les informations d'identitéGérer les informations d'identitéOffrir un point d’accès et d’administration uniqueOffrir un point d’accès et d’administration uniqueDisposer d'une vue unifiée des droits et habilitationDisposer d'une vue unifiée des droits et habilitation

MIIS 2003Fonctionnalités

Moteur souple et puissant de synchronisation des données Moteur souple et puissant de synchronisation des données d’identité en environnement hétérogèned’identité en environnement hétérogène

Bases de donnéesBases de données

AnnuairesAnnuaires

Systèmes d’exploitationSystèmes d’exploitation

MessageriesMessageries

Fichiers texteFichiers texte

ProgicielsProgiciels

Plate-forme de gestionPlate-forme de gestionDes circuits de modification des données d’identitéDes circuits de modification des données d’identité

Des groupes et des listes de distributionDes groupes et des listes de distribution

Des mots de passeDes mots de passe

Importation des entrées depuis le référentiel maîtreImportation des entrées depuis le référentiel maîtreEnrichissement à partir des autres sourcesEnrichissement à partir des autres sourcesConsolidation dans un annuaire cibleConsolidation dans un annuaire cibleMise à disposition d’une interface deMise à disposition d’une interface de

ConsultationConsultationGestion des donnéesGestion des données

ApplicationsApplicationsPages Jaunes/BlanchesPages Jaunes/Blanches

PortailPortail

Application métierApplication métier

Extranet ClientExtranet Client

Single Sign-OnSingle Sign-OnPABXPABX

MIIS 2003Scénario d’utilisation – Meta-annuaire traditionnel

AnnuaireAnnuaire

Importation des entrées de la base RHImportation des entrées de la base RH

Création, suppression et mouvementsCréation, suppression et mouvements Des comptes Active DirectoryDes comptes Active Directory

Des comptes messagerieDes comptes messagerie

Des coordonnées téléphoniquesDes coordonnées téléphoniques

Des certificats X.509Des certificats X.509

Initialisation des attributs, y compris les Initialisation des attributs, y compris les mots de passemots de passe

Ajout aisé d’un workflow pour la gestion Ajout aisé d’un workflow pour la gestion des approbations et le self-servicedes approbations et le self-service

Circuit d’approbationCircuit d’approbation

Notification des changementsNotification des changements

MIIS 2003Scénario d’utilisation – « Provisioning »

PABXPABX

NovellNovelleDirectoryeDirectory

MIIS 2003Scénario d’utilisation - Gestion des mots de passe

Deux modes de fonctionnement sont possiblesDeux modes de fonctionnement sont possiblesVia interception lors du changement dans Active Directory et Via interception lors du changement dans Active Directory et propagation synchronepropagation synchrone

Via une interface WEB permettant de modifier ou de réinitialiser Via une interface WEB permettant de modifier ou de réinitialiser le mot de passele mot de passe

Gestion des mots de passeProblématiques

MIIS 2003Scénario d’utilisation - Gestion des mots de passe

MIIS 2003Composants techniques

SQL ServerSQL Server(Aire de (Aire de

stockage)stockage)

ServiceServiceMIIS 2003MIIS 2003

ManagemManagement Agentent Agent

iPlanetiPlanet

Fichiers, Fichiers, DSMLDSML

ManagemManagement Agentent AgentFichiersFichiers

ADAD

ManagemManagement Agentent Agent

ADAD

RèglesRèglesétenduesétendues

Visual Visual Studio.NETStudio.NETNotesNotes

ManagemManagement Agentent Agent

NotesNotes

OracleOracleManagemManagement Agentent Agent

Oracle Oracle

WMIWMI

MIIS Admin MIIS Admin ClientClient

……

iPlanetiPlanet

Serveur MIISServeur MIIS

Sources de données MIIS 2203Management Agents (MA)

FichierFichiertextetexte

DSML V 2.0DSML V 2.0

LDIFLDIFWindowsWindows NT 4NT 4

ActiveActiveDirectoryDirectory

2000 & 20032000 & 2003

NovellNovelleDirectoryeDirectory

8.6.2 & 8.7.x 8.6.2 & 8.7.x

MSMSExchangeExchange

5.5, 2000 & 20035.5, 2000 & 2003

IBMIBMNotesNotes

4.6, 5 & 6.x4.6, 5 & 6.x

SunONESunONEDirectory ServerDirectory Server

4.x & 5.x4.x & 5.x

AD/AMAD/AM

IBMIBMDirectory ServerDirectory Server

4.1 & 5.x4.1 & 5.x

MSMSSQL ServerSQL Server7 & 20007 & 2000

OracleOracleServerServer8i & 9i8i & 9i

IBMIBM DB2 UDBDB2 UDB 5 7 & 8.15 7 & 8.1

CACAACF/2 &ACF/2 &

TopSecretTopSecret

GénériqueGénérique SDK:SDK:

OleDB & LDAPOleDB & LDAP

IBMIBMRACFRACF

SAP R3 & RHSAP R3 & RH4.6d + &4.6d + &

Peoplesoft Peoplesoft

MIIS 2003 SP2MIIS 2003 SP222ièmeième trimestre 2006 trimestre 2006

MIIS « Gemini »MIIS « Gemini »22ièmeième trimestre 2007 trimestre 2007

MIIS 2003Evolutions

Nouveaux agentsNouveaux agentsSAPSAP

PeopleSoftPeopleSoft

CA ACF/2CA ACF/2

CA TopSecretCA TopSecret

Portail de gestion des mots Portail de gestion des mots de passede passe

« « self-reset self-reset »»

« « Helpdesk resetHelpdesk reset » »

Gestion de l’historique des Gestion de l’historique des mots de passemots de passe

Provisioning déclaratifProvisioning déclaratif

Workflow d’approbation basé Workflow d’approbation basé sur Windows Workflow sur Windows Workflow Foundation (WF)Foundation (WF)

Attributs calculésAttributs calculés

Self-service étenduSelf-service étendu

Ex. : Gestion des groupesEx. : Gestion des groupes

Audit et « Audit et « reportingreporting » »

Sommaire

IntroductionIntroductionA quelles problématiques répond la gestion des identités et des A quelles problématiques répond la gestion des identités et des accès (IAM) ?accès (IAM) ?

Quels bénéfices peut-on attendre d’une solution d’IAM ?Quels bénéfices peut-on attendre d’une solution d’IAM ?

Active Directory & AD/Application Mode - Pourquoi 2 versions et Active Directory & AD/Application Mode - Pourquoi 2 versions et pour quels usages ?pour quels usages ?

Gestion du cycle de vie des données d’identitéGestion du cycle de vie des données d’identitéMicrosoft Identity Integration Server (MIIS)Microsoft Identity Integration Server (MIIS)

Fédération des données d’identitéFédération des données d’identitéActive Directory Federation Services (ADFS)Active Directory Federation Services (ADFS)

Notion de méta-système d’identité et InfoCardNotion de méta-système d’identité et InfoCard

Questions / RéponsesQuestions / Réponses

Active Directory Federation Services (ADFS)

Composant de Windows Server 2003 R2Composant de Windows Server 2003 R2N’est pas le nouveau nom de Microsoft Passport, un nouveau N’est pas le nouveau nom de Microsoft Passport, un nouveau référentiel d’identités, un nouveau type de relation d’approbation ou référentiel d’identités, un nouveau type de relation d’approbation ou de forêtde forêtNe nécessite pas une extension du schéma Active DirectoryNe nécessite pas une extension du schéma Active DirectoryS’appuie sur un certain nombre de composants de l’offre MicrosoftS’appuie sur un certain nombre de composants de l’offre Microsoft

AD et AD/AM en temps que référentiel(s) utilisateurAD et AD/AM en temps que référentiel(s) utilisateur

ASP.Net 2.0ASP.Net 2.0

Certificate Services (optionnel)Certificate Services (optionnel)

Authorization Manager (optionnel)Authorization Manager (optionnel)

ObjectifsObjectifsPermettre la mise en place de solutions de Web SSO ainsi qu’une Permettre la mise en place de solutions de Web SSO ainsi qu’une gestion simplifiée des identitésgestion simplifiée des identités

Etendre l’infrastructure Active Directory au-delà de la forêtEtendre l’infrastructure Active Directory au-delà de la forêtPermettre aux clients, partenaires, fournisseurs, collaborateurs un accès Permettre aux clients, partenaires, fournisseurs, collaborateurs un accès sécurisé et contrôlé aux applications web situées hors de leur forêt Active sécurisé et contrôlé aux applications web situées hors de leur forêt Active DirectoryDirectory

Projeter l’identité utilisateur sur la base d’une première ouverture de Projeter l’identité utilisateur sur la base d’une première ouverture de session session

Fournir des mécanismes d’authentification et d’autorisation distribuésFournir des mécanismes d’authentification et d’autorisation distribués

Scénario « Web SSO »

Single Sign-OnSingle Sign-On pour les fermes d’applications Web pour les fermes d’applications WebAuthentification, autorisations et Web Authentification, autorisations et Web Single Sign-OnSingle Sign-On ExtranetExtranet

Crédentiels gérés dans AD et/ou AD/AM côté Crédentiels gérés dans AD et/ou AD/AM côté RessourcesRessources

Autorisations via Autorisations via AuthorizationAuthorization Manager, les rôles Manager, les rôles ASP.NASP.Net, let, l’impersonation’impersonation Windows et les Windows et les ACLsACLs

ClientsClients

Partenaires commerciauxPartenaires commerciaux

CollaborateursCollaborateurs

Scénario « Identité Fédérée »

Single Sign-OnSingle Sign-On au travers des frontières de sécurité au travers des frontières de sécurité (internes ou externes)(internes ou externes)

Collaboration et Commerce B2B/B2CCollaboration et Commerce B2B/B2C

Crédentiels et attributs utilisateurs gérés au niveau Crédentiels et attributs utilisateurs gérés au niveau de l’organisation partenaire (dans AD ou une autre de l’organisation partenaire (dans AD ou une autre solution)solution)

Autorisations via Autorisations via AuthorizationAuthorization Manager, les rôles Manager, les rôles ASP.NASP.Net, et, l’impersonationl’impersonation Windows et les Windows et les ACLsACLs

PartenairesPartenairescommerciauxcommerciaux

Active Directory Federation Services (ADFS)

Supporte de multiple jetons de sécurité (SAML 1.1, Kerberos, etc.)Supporte de multiple jetons de sécurité (SAML 1.1, Kerberos, etc.)

Basé sur une implémentation interopérable de la spécification Basé sur une implémentation interopérable de la spécification WS-Federation Passive Requestor Profile (WS-F PRP)WS-Federation Passive Requestor Profile (WS-F PRP)

Large support de l’industrie pour une interopérabilité entre Large support de l’industrie pour une interopérabilité entre organisations avecorganisations avec

Les solutions d’identitéLes solutions d’identitéBMC Federated Identity ManageBMC Federated Identity Managerr, IBM Tivoli Federated Identity , IBM Tivoli Federated Identity ManagerManagerEt prochainementEt prochainement : CA eTrust SiteMinder Federation Security : CA eTrust SiteMinder Federation Security Services, Citrix Access Suite, Internet2 Shibboleth 1.3 Shib-ADFS Services, Citrix Access Suite, Internet2 Shibboleth 1.3 Shib-ADFS et PingID PingFederate v3.1et PingID PingFederate v3.1

Les agents Web SSOLes agents Web SSOCentrify DirectControl for Microsoft ADFS, Quest Vintela Single Centrify DirectControl for Microsoft ADFS, Quest Vintela Single Sing-On for Java (VSJ) v3.1, PingID/SourceID WS-Federation for Sing-On for Java (VSJ) v3.1, PingID/SourceID WS-Federation for Apache 2.0 ToolkitApache 2.0 Toolkit

Première étape vers un méta-systèmes d’identité…Première étape vers un méta-systèmes d’identité…

Fédération d’identité

Fournisseurs Fournisseurs d’identitéd’identité

Emettent les identitésEmettent les identités

Consommateurs Consommateurs d’identitéd’identité

Ont besoin des Ont besoin des identitésidentités

SujetsSujets

Individus et autres entités à propos Individus et autres entités à propos desquels on fait des demandes de desquels on fait des demandes de claimsclaims

d’identitéd’identité

Consommateur d’identité (Consommateur d’identité (Relying PartyRelying Party ou RP) ou RP)

Fournisseur d’identité (Fournisseur d’identité (Identity ProviderIdentity Provider ou IP) ou IP)

Dans les modèles traditionnels, le fournisseur d’identité et Dans les modèles traditionnels, le fournisseur d’identité et le consommateur d’identité sont confinés dans le même le consommateur d’identité sont confinés dans le même domainedomaine

La fédération d’identité permet à une organisation de La fédération d’identité permet à une organisation de consommer des identités émises par d’autres consommer des identités émises par d’autres organisationsorganisations

Fédération d’identité

Nécessite de définir les termes de la relation de confiance entre Nécessite de définir les termes de la relation de confiance entre entitésentités

Relation « business », conditions et termes contractuels, gestion des Relation « business », conditions et termes contractuels, gestion des clés, assertions, partage de politique, assurances techniques, clés, assertions, partage de politique, assurances techniques, exigences d’audit, etc.exigences d’audit, etc.

Difficile à mesurer et à calibrer aujourd’huiDifficile à mesurer et à calibrer aujourd’huiTrop ou pas assez de confiance placée dans l’autre entitéTrop ou pas assez de confiance placée dans l’autre entité

Nécessite des mécanismes techniques pour Nécessite des mécanismes techniques pour Matérialiser la relation de confiance entre entitésMatérialiser la relation de confiance entre entités

Partage de clés symétriques, confiance dans une chaîne de certificatsPartage de clés symétriques, confiance dans une chaîne de certificats

Valider que l’identité reçue (jetons de sécurité/assertions) provient Valider que l’identité reçue (jetons de sécurité/assertions) provient d’un fournisseur d’identité de confiance et donc pour attester de d’un fournisseur d’identité de confiance et donc pour attester de l’authenticité de l’identité fournie l’authenticité de l’identité fournie

Nécessite d’utiliser un protocole de sécurité et des jetons de Nécessite d’utiliser un protocole de sécurité et des jetons de sécurité communssécurité communs

Aujourd’hui SAML 1.x, Shibboleth 1.x, Liberty ID-FF 1.x, SAML 2.0, Aujourd’hui SAML 1.x, Shibboleth 1.x, Liberty ID-FF 1.x, SAML 2.0, WS-FederationWS-Federation, SXIP, LID, etc. , SXIP, LID, etc.

Qu’est-ce que l’identité numérique ?

Dans un contexte de fédération et sur Dans un contexte de fédération et sur l’Internetl’Internet

Un ensemble de déclarations, preuves (Un ensemble de déclarations, preuves (claims)claims) qui caractérise une personne ou une « chose » qui caractérise une personne ou une « chose » (sujet numérique) dans le monde numérique(sujet numérique) dans le monde numérique

Un Un claimclaim est une déclaration faite sur est une déclaration faite sur quelqu’un/quelque chose par quelqu’un/quelque chose par quelqu’un/quelque chose quelqu’un/quelque chose

Un Un claimclaim constitue une assertion de la vérité de constitue une assertion de la vérité de quelqu’un/quelque chosequelqu’un/quelque chose

Les Les claimsclaims sont exigés pour les transactions sont exigés pour les transactions dans le monde réel et en lignedans le monde réel et en ligne

Les Les claimsclaims sont véhiculés dans des jetons de sont véhiculés dans des jetons de sécurité qui transitent entre les frontières de sécurité qui transitent entre les frontières de processus et de machinesprocessus et de machines

Les leçons tirées de Passport

Passport a été conçu pour résoudre deux problèmesPassport a été conçu pour résoudre deux problèmesFournisseur d’identité sur MSNFournisseur d’identité sur MSN

+250 millions d’utilisateurs, 1 milliard de logons par jour+250 millions d’utilisateurs, 1 milliard de logons par jour

Fournisseur d’identité sur InternetFournisseur d’identité sur InternetUn échecUn échec

La leçon : la solution aux problèmes de la gestion des La leçon : la solution aux problèmes de la gestion des identités sur Internet doit être différente de Passportidentités sur Internet doit être différente de Passport

Quelques leçons du passé

Une technologie unique avec un fournisseur unique de solution Une technologie unique avec un fournisseur unique de solution ne constitue pas une approche que le marché est prêt à ne constitue pas une approche que le marché est prêt à accepteraccepter

Une technologie unique avec de multiples fournisseurs n’a pas, Une technologie unique avec de multiples fournisseurs n’a pas, à ce jour, été déployée de manière universelleà ce jour, été déployée de manière universelle

Plusieurs fournisseurs avec plusieurs technologies implique Plusieurs fournisseurs avec plusieurs technologies implique immanquablement peu d’interopérabilitéimmanquablement peu d’interopérabilité

N’y a-t-il aucune solution envisageable ?N’y a-t-il aucune solution envisageable ?

Notion de méta-système d’identité

Aujourd’hui : de multiples identités… et de multiples formatsAujourd’hui : de multiples identités… et de multiples formats

Un méta-système d’identité est un cadre de travail qui unifie le Un méta-système d’identité est un cadre de travail qui unifie le monde demonde de

Plusieurs technologies d’identitéPlusieurs technologies d’identité

Plusieurs opérateursPlusieurs opérateurs

Plusieurs implémentationsPlusieurs implémentations

Un méta-système d’identité permet aux utilisateurs de gérer et Un méta-système d’identité permet aux utilisateurs de gérer et de choisir leur(s) identité(s) dans un monde hétérogènede choisir leur(s) identité(s) dans un monde hétérogène

Choix de la technologie Choix de la technologie

Choix du fournisseur (soi-même, entreprise privée, état, etc.)Choix du fournisseur (soi-même, entreprise privée, état, etc.)

Approche cohérente vis-à-vis de l’utilisation de multiples Approche cohérente vis-à-vis de l’utilisation de multiples systèmes d’identitésystèmes d’identité

Supprime les frictions sans pour autant requérir que tout le monde Supprime les frictions sans pour autant requérir que tout le monde s’accorde sur une unique technologie d’identité quelque soit s’accorde sur une unique technologie d’identité quelque soit l’usagel’usage

Capitalise sur les succès présentsCapitalise sur les succès présents

Offre un chemin de migration simple du passé au futurOffre un chemin de migration simple du passé au futur

Caractéristiques d’un méta-systèmeAccord de l’industrie sur les Accord de l’industrie sur les claimsclaims comme façon de représenter comme façon de représenter l’identitél’identité

Information cryptographiquement vérifiable sur un sujet numérique qu’un Information cryptographiquement vérifiable sur un sujet numérique qu’un autre sujet revendique comme étant vraieautre sujet revendique comme étant vraie

Véhiculée dans des jetons de sécurité du fournisseur d’identité au Véhiculée dans des jetons de sécurité du fournisseur d’identité au consommateur d’identitéconsommateur d’identité

Kerberos, SAML, X.509 s’appuient tous sur ce modèleKerberos, SAML, X.509 s’appuient tous sur ce modèle

Un méta-système d’identité doit s’appuyer sur ce modèle de Un méta-système d’identité doit s’appuyer sur ce modèle de claimsclaimsDoit être extensible de façon à supporter une variété de systèmes existants Doit être extensible de façon à supporter une variété de systèmes existants ou futurs basés sur les claimsou futurs basés sur les claims

Pour connecter des systèmes reposant sur différentes technologies, il Pour connecter des systèmes reposant sur différentes technologies, il doit être à même de transformer un jeu de claims dans un format en un doit être à même de transformer un jeu de claims dans un format en un autre jeu de claims dans un autre formatautre jeu de claims dans un autre format

ConsommateuConsommateur d’identitér d’identité

Obtient la politique du consommateur Obtient la politique du consommateur d’identitéd’identitéDécrit les claims exigéesDécrit les claims exigées

Fournisseur Fournisseur d’identitéd’identité

Utilise les jetons de sécuritéUtilise les jetons de sécuritéAssocie les claims avec les Associe les claims avec les messages applicatifsmessages applicatifs

Acquiert les jetons de Acquiert les jetons de sécuritésécuritéLes jetons contiennent les Les jetons contiennent les claimsclaims

ApplicatioApplicationn

Les 7 lois de l’identité

1.1. Contrôle et consentement de l’utilisateurContrôle et consentement de l’utilisateur

2.2. Divulgation minimale pour un usage définiDivulgation minimale pour un usage défini

3.3. Présence justifiée des parties en présencePrésence justifiée des parties en présence

4.4. Support d’identités publiques et privéesSupport d’identités publiques et privées

5.5. Pluralisme des opérateurs et des technologiesPluralisme des opérateurs et des technologies

6.6. Prise en compte de l’humainPrise en compte de l’humain

7.7. Expérience cohérente entre les contextesExpérience cohérente entre les contextes

Rejoindre les discussions surRejoindre les discussions sur

http://http://www.identityblog.com www.identityblog.com

Etablies au travers d’une dialogue avec l’industrieEtablies au travers d’une dialogue avec l’industrie

Donner les pleins pouvoirs à l’utilisateur…

EtatsEtats

IndividusIndividusEmployés et consommateursEmployés et consommateurs

Entreprises Entreprises privéesprivées

TechnologiesTechnologiesX.509, SAML, KerberosX.509, SAML, Kerberos

ApplicationsApplicationsExistantes & NouvellesExistantes & Nouvelles

OrganisationsOrganisationsPériphériquesPériphériquesPC, Mobile, PDAPC, Mobile, PDA Vous !Vous !

Rapprocher les technologies…

Cartes à pucesCartes à puces Identités auto-généréesIdentités auto-générées Identités d’entrepriseIdentités d’entreprise Identités publiquesIdentités publiques Identités PassportIdentités Passport Identités LibertyIdentités Liberty Applications clientes Applications clientes Systèmes d’exploitationSystèmes d’exploitation

Systèmes d’accès réseauSystèmes d’accès réseau EtatsEtats OrganisationsOrganisations EntreprisesEntreprises IndividusIndividus MobilesMobiles OrdinateursOrdinateurs Jetons d’accèsJetons d’accès … … et tout le resteet tout le reste

Caractéristiques d’un méta-système

Possibilité de Possibilité de négociationnégociation

EncapsulationEncapsulation

Transformation des Transformation des claims claims

ExpérienceExpérienceutilisateurutilisateur

Permet au consommateur d’identité, au sujet Permet au consommateur d’identité, au sujet et au fournisseur d’identité de négocier les et au fournisseur d’identité de négocier les exigences en termes de politiques techniquesexigences en termes de politiques techniques

Mécanisme Mécanisme agnostique agnostique d’échange des d’échange des politiques et des claims d’identités entre politiques et des claims d’identités entre fournisseur et consommateur d’identitéfournisseur et consommateur d’identité

Mécanisme de confiance pour Mécanisme de confiance pour échanger les claims d’identités quel échanger les claims d’identités quel que soit les formats des jetons que soit les formats des jetons d’identitéd’identité

Interface homme – machine cohérente Interface homme – machine cohérente quels que soient les systèmes et les quels que soient les systèmes et les technologiestechnologies

Besoins d’un méta-système d’identitéBesoins d’un méta-système d’identité

Négociation

Permet au consommateur d’identité, au sujet et au Permet au consommateur d’identité, au sujet et au fournisseur d’identité de négocierfournisseur d’identité de négocier

Quels Quels claimsclaims sont exigés sont exigés

Qui peut les fournirQui peut les fournir

Quel type de technologie est acceptableQuel type de technologie est acceptable

Sous quelles conditions les claims sont émisSous quelles conditions les claims sont émis

Quelles parties prouvent qui elles sontQuelles parties prouvent qui elles sont

Comment l’information sera utiliséeComment l’information sera utilisée

Protocole d’encapsulation

Mécanisme Mécanisme agnostique agnostique d’échange des politiques et des d’échange des politiques et des claimsclaims d’identité entre fournisseur et consommateur d’identitéd’identité entre fournisseur et consommateur d’identité

Le contenu et la signification de ce qui est échangé sont Le contenu et la signification de ce qui est échangé sont déterminés par les participants, et non par le méta-systèmedéterminés par les participants, et non par le méta-système

Transformation des claims

Mécanisme de confiance pour transformer un jeu de Mécanisme de confiance pour transformer un jeu de claimsclaims d’identités en un autred’identités en un autre

Serveur spécialisé + Framework de confiance et de politique pour Serveur spécialisé + Framework de confiance et de politique pour traduire les claims externes/étrangères en des claims localement traduire les claims externes/étrangères en des claims localement pertinentespertinentes

Pont entre les frontières techniques et organisationnellesPont entre les frontières techniques et organisationnellesTransformation des sémantiquesTransformation des sémantiques

« Collaborateur Contoso » « Collaborateur Contoso » « Achat de fourniture autorisé » « Achat de fourniture autorisé »

Transformation des formatsTransformation des formatsX.509, SAML1.0, SAML 2.0, SXIP, LID, etc.X.509, SAML1.0, SAML 2.0, SXIP, LID, etc.

Fournit l’interopérabilité nécessaire aujourd’hui et la flexibilité Fournit l’interopérabilité nécessaire aujourd’hui et la flexibilité requise pour les évolutions futuresrequise pour les évolutions futures

Fonctionne avec les infrastructures et les technologies existantes Fonctionne avec les infrastructures et les technologies existantes (Kerberos, X509)(Kerberos, X509)

Permet l’utilisation de nouvelles infrastructures et technologies Permet l’utilisation de nouvelles infrastructures et technologies (Liberty, etc.)(Liberty, etc.)

Expérience utilisateur InfoCardSimplifie l’expérience Simplifie l’expérience utilisateurutilisateur

Gère de multiples identitésGère de multiples identités

Supporte de multiples Supporte de multiples fournisseurs d’identitéfournisseurs d’identité

Utilise un modèle basé sur les Utilise un modèle basé sur les claimsclaims

Intégré avec les browsers et les Intégré avec les browsers et les clients passifsclients passifs

Implémentation Microsoft d’un Implémentation Microsoft d’un sélecteur d’identité au sein sélecteur d’identité au sein d’un méta-système d’identitéd’un méta-système d’identité

Respecte les lois de l’identitéRespecte les lois de l’identité

Basé sur des protocoles Basé sur des protocoles standards et ouverts pour standards et ouverts pour l’interaction avec les l’interaction avec les fournisseurs et consommateurs fournisseurs et consommateurs d’identitésd’identités

Tout le monde peut construire Tout le monde peut construire des expériences similairesdes expériences similaires

Facilité d’intégration pour les Facilité d’intégration pour les sites Websites Web

En guise de synthèse

Les Lois de l’identité définissent un méta-système Les Lois de l’identité définissent un méta-système d’identitéd’identité

Le Le méta-système d’identité a le potentiel de supprimer les méta-système d’identité a le potentiel de supprimer les frictions et d’accélérer la croissance de la connectivitéfrictions et d’accélérer la croissance de la connectivité

Portée accruePortée accrueLa transformation de claims autorise de nouvelles relationsLa transformation de claims autorise de nouvelles relations

Flexibilité accrueFlexibilité accrueLes leviers des politique et transformation des claims Les leviers des politique et transformation des claims autorisent une large variété de relations autorisent une large variété de relations

Faciliter d’ajouter le support d’une nouvelle technologieFaciliter d’ajouter le support d’une nouvelle technologie

Que le bigbang de l’identité commence !Que le bigbang de l’identité commence !

Pour approfondir le sujet dans le cadre des JMS

Aujourd'hui Aujourd'hui

17:00-18h00 InfoCard, sélecteur d’identité dans un méta-17:00-18h00 InfoCard, sélecteur d’identité dans un méta-système d’identitésystème d’identité

DemainDemain

12h45:14h05 – ADFS, l’expérience Web SSO (fédéré) 1ère 12h45:14h05 – ADFS, l’expérience Web SSO (fédéré) 1ère partiepartie

14h05:15h15 – ADFS, l’expérience Web SSO (fédéré) 2nde 14h05:15h15 – ADFS, l’expérience Web SSO (fédéré) 2nde partiepartie

Pour plus d’informations

Site MIIS Microsoft FranceSite MIIS Microsoft Francehttp://www.microsoft.com/france/miishttp://www.microsoft.com/france/miis

« « The Laws of IdentityThe Laws of Identity » »http://msdn.microsoft.com/library/en-us/dnwebsrv/html/http://msdn.microsoft.com/library/en-us/dnwebsrv/html/lawsofidentity.asplawsofidentity.asp

« « Microsoft's Vision for an Identity MetasystemMicrosoft's Vision for an Identity Metasystem » »http://msdn.microsoft.com/library/en-us/dnwebsrv/html/http://msdn.microsoft.com/library/en-us/dnwebsrv/html/identitymetasystem.asp identitymetasystem.asp

Interview Interview Channel 9 Channel 9 dede Kim Cameron Kim Cameronhttp://channel9.msdn.com/showpost.aspx?postid=85004#85004 http://channel9.msdn.com/showpost.aspx?postid=85004#85004

Rejoignez les discussions surRejoignez les discussions sur http://www.identityblog.com http://www.identityblog.com

Microsoft FranceMicrosoft France18, avenue du Québec18, avenue du Québec

91 957 Courtaboeuf Cedex91 957 Courtaboeuf Cedex

www.microsoft.com/france

0 825 827 8290 825 827 829

msfrance@microsoft.commsfrance@microsoft.com