View
7
Download
0
Category
Preview:
Citation preview
LDAP & LDAP & Unified User Management SuiteUnified User Management Suite
LDAP LDAP -- la nouvelle technologie la nouvelle technologie dd ’annuaire sécurisé’annuaire sécurisé
La Net La Net EconomyEconomy
• Croissance explosive du nombre d’applications basées sur Internet non administrables avec l’approche traditionnelle
• Ouverture potentielle de ces applications à l’extérieur qui nécessitent :– Evolutivité vers un nombre très important d’utilisateurs– Niveau de sécurité très élevé
Quelles conséquences ?
Net Net EconomyEconomy : quelles conséquences pour : quelles conséquences pour les annuaires d’entrepriseles annuaires d’entreprise
• Proposer des services à un grand nombre de partenaires, fournisseurs and clients
• Ouverture du système d’information au e-business avec les partenaires
• Se différencier pour conserver ses clients
• Chaque application dispose d’un annuaire et d’une administration propre
• Acceptable pour administrer un nombre limité d’applications monolithiques
• Fonctionnalité limité aux réseaux internes
Le modèle ancienLe modèle ancien
Oracle E-mail Mainframe SAP
Approche traditionnelle des annuaires et de la Securité
Défi #1 : Administration redondanteDéfi #1 : Administration redondante
Unix, NT, desktops,Email, SGBD, Applications
• Actuellement : Chaque application dispose de sa propre gestion des utilisateurs
Chaque grand compte dispose au minimum Chaque grand compte dispose au minimum de 30 annuaires utilisateurs différents !de 30 annuaires utilisateurs différents !
Défi #2 : Administrer les Défi #2 : Administrer les ExtranetsExtranets
• Les solutions traditionnelles ne conviennent pas aux Extranets
• Les Extranets nécessitent :– Sécurité inter-entreprises– administration inter-entreprises– Montée en charge & performance
La solution :La solution :Annuaire Centralisé LDAP v3Annuaire Centralisé LDAP v3
• Format d’annuaire dérivé du standard X500• Standardisé par l’IETF • Supporté par les principaux acteurs du marché :
– Editeurs de logiciels : iPlanet, IBM, Microsoft, Oracle,Peoplesoft, Check Point, Novell, ...
– Constructeurs : HP, Nortel Networks, Cabletron, Cisco, 3Com, ...
• Centralise dans un seul annuaire toutes les configurations utilisateurs nécessaires aux différentes applications
Avant LDAP
Après LDAP
iPlanetDirectory Server
PréPré--requis techniques pour un Annuaire requis techniques pour un Annuaire CentraliséCentralisé• Performances très élevées
– Indispensable pour permettre l’utilisation d’un annuaire centralisé pour des applications multiples
– Fiabilité et évolutivité maximales
• Intégration à l’existant de l’entreprise– Outils de développement disponibles– Indépendance vis-à-vis du système d’exploitation– Possibilité de synchronisation avec les annuaires
existants
• Sécurisation totale– Authentification par mots de passe, cartes à puce,– Fonctionne à travers les firewalls
Unified Unified User Management Suite User Management Suite
LesLes défisdéfis de la de la gestiongestion desdes utilisateursutilisateursdansdans la Net Economyla Net Economy• Infrastructure actuelle de gestion des utilisateurs complexe et
fragmentée• Nécessité d’une sécurité forte pour certains services • Possibilité de gérer jusqu’à plusieurs millions d’utilisateurs et des
centaines de services• La rapidité de mise en place des nouveaux services de dépend de
l’infrastructure de gestion des utilisateurs • Ad hoc security policies
Solution: Solution: Unified User ManagementUnified User Management
GérerGérer le cycle de vie de le cycle de vie de l’utilisateurl’utilisateur
Créer l’utilisa-
teur
Gérer l’utilisa-
teur
Supprimerl’utilisateur
1
2
3
1. 1. CréerCréer l’utilisateurl’utilisateur
• Automatisation via la récupération des profils utilisateurs des systèmes existants– Connexion avec des applications et des annuaires
existants
• Administration déléguée– Self-registration– Sécurité forte en option
Point clé : L’automatisation et la délégation aident à diminuer les coûts d’administration
2. 2. GérerGérer l’utilisateurl’utilisateur
• Upgrade facile vers une sécurité forte• Self-service sécurisé• Administration centralisée de la politique
de sécurité• Contenu personnalisé selon le profil• Conserver les bases utilisateurs des
systèmes existants à jour
Point clé : La politique de sécurité et le contenu web doivent correspondre à la fonction de l’utilisateur
3. 3. Supprimer l’utilisateurSupprimer l’utilisateur
• Déléguer l’administration pour diminuer les coûts
• “One button delete” pour réduire les risques de sécurité– Supprime ou suspend tous les comptes
concernés dans les systèmes existants, via une console unique, grâce à une solution meta-annuaire
Point clé : “One button delete” diminue les coûts et réduit les risques de securité
Les AvantagesLes Avantages de Unified User de Unified User Management SuiteManagement Suite• Déploiement rapide grâce à l’exploitation des
annuaires utilisateurs existants• Excellente montée en charge pour supporter les
futurs besoins en matière d’e-commerce– Utilisation d’une techno. LDAP multi-
plateformes• Sécurité forte grâce aux certificats numériques• Administration simplifiée
• Gestion centralisée• Création & suppression des comptes utilisateurs via un
clic de souris dans toutes les applications concernées– Application legacy (ERP, e-mail, Oracle RDBMs, …)– Création & révocation de certificats– Applications Web
• Propagation automatique des comptes mis-à-joursC t lf i
Les Produits d’infrastructure inclusLes Produits d’infrastructure inclus
DelegatedAdmin
DelegatedAdmin
CertificateMgmt. System
CertificateMgmt. System Web
ServerWebServer
DirectoryDirectory
Meta-DirectoryMeta-Directory
MessagingConnectorsMessagingConnectors
NOSConnectors
NOSConnectors
DatabaseConnectorsDatabase
ConnectorsHR App
ConnectorsHR App
Connectors
SiteMinderPolicy ServerSiteMinder
Policy Server
Calendar Server
Calendar Server
Messaging Server
Messaging Server
…, etc.
iPlanetiPlanet Unified User Management SuiteUnified User Management Suite
iPlanet Directory 4.11iPlanet Directory 4.11La La Fondation Fondation • Performance et Scalabilité
– Plus de 50 Millions de comptes, 5200 requêtes / seconde (source PCWeek)
– Fast bulk load• Haute Disponibilité et fiabilité
– Replication, backup et restauration on-line, fail-over, data store transactionnel, changements de configuration online
• Securité– Authentification à base de certificats, SSL, contrôle d’accès
sur attributs, gestion pointue des ACL, authentification extensible
• Flexibilité et architecture extensible– Liste complète d’APIs, de plugins, et de SDKs– Modification des schémas en temps réel– IHM Java, commande en ligne
iPlanet Directory Server 4.11iPlanet Directory Server 4.11
• Outil d’administration– GUI en JAVA– Administration possible par ligne de commande– Fichiers de logs
• Plus de 150 millions de licences utilisateurs vendues
• 70% de part de marché – Source : IDC 99
Ford NetworkFord Network
iPlanetDirectoryServer
FournisseurRevendeur
X.500 Directory
• Objectif : Augmenter les profits• Comment : brancher les fournisseurs, revendeurs et filiales
sur le Net (total : 250.000 utilisateurs)• Résultats:
– Temps écoulé entre la commande et la livraison passe de 50 à 15 jours.
– Devenu N°1 de la profitabilité aux US.
110 Web Applications
iPlanet Certificate Management System 4.1iPlanet Certificate Management System 4.1
• Extensible et aisément administrable– Supporte des millions d’utilisateurs– Déploiement distribué dans les organisations les plus
importantes– Intégré avec iPlanet Directory Server pour faciliter
l’administration • Flexible
– Une logique personnalisable réalisée en java permet de colleraux process en place et de mettre en place une politique de sécurité sur mesure.
– “key recovery” en option en cas de perte de clé par l’utilisateur• Integration avec les systèmes existant
– Clients Internet, serveurs, VPNs...– Plugs-ins Kerberos, SecurID
Data Recovery Manager
Registration Manager
Certificate Manager
8
CertificatsCertificats : Pour : Pour quoi quoi faire ? faire ?
• Accès authentifié…– applications sensibles,
partenaires, “single signon”
• Signature ...– mails, formulaires
• Protéger la confidentialité– Echange de clés SSL,
S/Mime...
LesLes CertificatsCertificats permettent l’accèspermettent l’accès à de à de NouvellesNouvelles ApplicationsApplications
• Les Certificats peuvent être utilisé comme des cartes de membres– Les utilisateurs préfèrent de plus en plus utiliser
des certificats au lieu des userid/passwords
• Authentification forte pour le contrôle d’accès– Accès et paiement en
ligne de facture– Génération à la demande
• Signatures numériques – Formulaires à base Web– Non répudiation des mails
CMS ArchitectureCMS Architecture
CertificateRequesters
RegistrationManager
CertificateManager
Data RecoveryManager
Corporate orPublic
Directory
PKCS#10KEYGENCEPCMC
HTTP(S)
HTTPS
HTTPS
LDAP
HTTPS
• Objectif : offrir de meilleurs services (publication de données financières) au meilleurs clients
• Exigences : Authentification forte, extensibilité, haute disponibilité
• Solution : Serveurs Directory et Certificate pour contrôle d’accès par certificats X509v3 déployés en moins de 3 mois sur 9.000 utilisateurs
Navigateurs
InternetiPlanetDirectoryServer
iPlanet CertificateServer
Applications
Services financiers :Services financiers :
Pourquoi déléguer l’administrationPourquoi déléguer l’administration ??
• Combien d’utilisateurs sur l’extranet ?• Qui gère leurs comptes ?
– Ajouter, changer, supprimer des utilisateurs– Régénerer des mots de passe
• Possédez-vous les données utilisateur de vos clients, partenaires et fournisseurs ? – Données communes: nom, tél #, fax #, email – Données propres à la société: credit temps ou
ressource, conditions, prix, méchanisme d’autorisation
iPlanet Delegated Administrator 4.1iPlanet Delegated Administrator 4.1
• Permet de répondre aux besoins de vos clients et partenaires en temps réel
− Clients, partenaires et fournisseurs gèrent eux-même leur comptes
• Distribue la gestion des comptes tout en assurant une politique de sécurité homogène
− Des applications et un contenu plus sûrs (ACL, group)
− Moins d’administration
• Personnalisable et extensible− Templates HTML personnalisables− Peut créer et gérer tout attribut de
l’ annuaire− Extensible à des produits tierces
Déléguer l’administration Déléguer l’administration de de l’annuairel’annuaire
• Permet un vrai self-service en temps réel :− Clients, partenaires et fournisseurs gèrent leur propre
base utilisateurs
• Administration distribuée des utilisateurs tout en fournissant une politique de sécurité centralisée :
− Séparation de la gestion des utilisateurs − Utilisation des groupes dynamiques − Utilisation des ACLs
• Customizable et extensible :− Interface HTML modifiable− Création et modification de
tout attribut− Extensible vers des produits
partenaires
iPlanet DirectoryiPlanet Directoryfor Secure efor Secure e--Commerce 4.11Commerce 4.11• Avec le développement du commerce électronique un
annuaire à haute sécurité devient nécessaire
• Une solution à géométrie variable :– Authentification à base de login & mots de passe– Authentification à base de certificats– SSL pour sécuriser les communications
• Simplifie le déploiement et l’administration d’applications de commerce électronique sécurisées.
– Permet aux clients de gérer eux-mêmes leurs comptes– PKI déployable
iPlanet Directory for Secure E-Commerce 4.1
• Certificate Management System 4.1• Directory Server 4.1• Delegated Administrator 4.1
Les avantages d’unLes avantages d’un MetaMeta--AnnuaireAnnuaire
• Centralise les informations nécessaires aux applications– Simplifie l’accès à différentes applications– Déploiement des applications plus rapide– Consolidation des informations relatives aux
utilisateurs ( --> facturation )
• Réduit les côuts d’administration– Un point unique ou trouver toutes les données de
l’utilisateur– Simplification de l’administration– Amélioration de la sécurité, un compte est créé ou
supprimé à l’aide d’un seul bouton !
iPlanet MetaiPlanet Meta--Directory 1.0Directory 1.0
iPlanet Meta-
DirectoryERPNOS
RDBMSMail
• Etend les fonctionnalités méta-annuaire de Netscape Directory Server 4.1
• Intègre les données des utilisateurs et de leurs comptes– Connecteurs bidirectionnels pour les principaux email, NOS,
ERP et SGBDR– Une technologie de “jointure” consolide les données
apparentées• Partenariat avec ISOCOR
– Développement de la technologie de “jointure” en commun
iPlanet Meta-
DirectoryERPNOS
RDBMSMail
• Divers annuaires externes sont “joins” en un seul et unique annuaire, la “MetaView”
– A single person with records in several External Directories will have only one entry in the MetaView
– The MetaView Entry contains attributes originating in different External Directories.
• iPlanet Meta-Directory permet– Publishing of a content rich directory– Consolidation of account data– Event driven dynamic account
creation and administration – Creation of a central
messaging directory
iPlanet MetaiPlanet Meta--DirectoryDirectory
MetaMeta--Directory ArchitectureDirectory Architecture
MetaViewManagementConsole
The Meta-Directory
DirectoryServersDatabases
NetscapeDirectoryServer
Join Engine
LDAP
SQL
LDAP
Connector
NOS & MessagingDirectories
ConnectorView
LDAP
LDAPConnector
HR Systems
ConnectorView
LDAP
MetaMeta--Directory ConnectorsDirectory Connectors• Universal Connector• Database Connectors
– Oracle– Sybase– SQL Server– DB2 (future)– Informix (future)
• NOS Connectors– NT Domain– NDS (in 4.0)– Active Directory (in 4.0)– Unix (future)
• Application Connectors– PeopleSoft– SAP
• Messaging Connectors– Exchange– Notes– cc:Mail– Fischer TAO– GroupWise (future)– PROFs (future)– All-in-One (future)
• Other Connectors– MVS (RACF, ACF2)
(future)– OS/400(future)– PABXs (future)– Building Security
Systems (future)
Netegrity SiteMinderNetegrity SiteMinder
• Centralisation du controle d’accès– Créer et administrer les règles et la politique de
contrôle d’accès • Intégration avec iPlanet Directory Server pour
une meilleure évolutivité et performance• Authentification basée sur la politique de
l’entreprise
RésuméRésumé
• iPlanet a déployé un annuaire chez de nombreux clients dans le cadre de projets de commerce électronique
• Une ligne de produits complète :– iPlanet Directory Server 4.11– iPlanet Unified User Management Suite (UUMS)
• iPlanet Directory Server 4.11• iPlanet Certificate Management System 4.1• Iplanet Delegated Administrator 4.1• iPlanet Meta-Directory 1.0• Netegrity SiteMinder 3.6
• Plus de 130 millions de postes vendus … avec une part de marché de 70%
EtEt quelques exemples quelques exemples de de succès avec succès avec iPlanetiPlanet
iPlanet Directory et Application Server sont les fondationsd’un grand nombre de sites Internet e-commerce majeurs
.comfr.
Recommended