Session 2: « Comment renforcer la Gestion des Identités »

1

Session 2: « Comment renforcer la Gestion des Identités »

• Comment Quest Software étend et complète les solutions Microsoft de gestion d’identité et de contrôle d’accès au sein de l’entreprise

• Au-delà des frontières de l’entreprise

• Comment Gemalto sécurise les identités dans l’environnement Microsoft

2

http://www.microsoft.com/france/interop/

1ère session (juin) : « Qu’est-ce que la Gestion des Identités »

Pour visionner et écouter la présentation:

Copyright © 2006 Quest Software

Regis ALIX

System Consultant

Quest Software

N°2

4

Les défis des environnements hétérogènes

• Mise en conformité• Securité• IDs/Logins Multiples• Complexité

– Trop d’annuaires– Trop de mécanismes d’authentification

• Cher à maintenir• Difficile à gérer• Inefficace

5

Situation:Votre environnement est un mix de systèmes divers disposant d’annuaires multiples, d’environnements de stockage d’identités et de mécanismes d’authentification

6

Active Directory simplifie la situation pour les systèmes WindowsMais pour les environnements non-Windows, les annuaires et authentifications doivent être administrés de manière séparée

-Annuaires Multiples-Identités Multiples-Logins Multiples-Non-sécurisé

7

Quest permet l’intégration des identités disparates Unix/Linux/Java en un seul environnement Active Directory sécurisé

8

Puis, Quest aide à l’administrationdes environnements intégrés et augmente l’efficacité de la gestion via le provisionnement et déprovisionnement des utilisateurs

9

Renforcement des sécuritésGrâce à une gestion forte des mots de passe pour tous les systèmes

10

Et, adresser les besoins de mise en conformitéen offrant l’audit et la génération de rapports pour toutes les activités relatives aux identités sur l’environnement intégré

11

12

Une seule infrastructure technique

1313

PasswordManager

Active Directory& ADAM

Directories

Mid-Range & Main Frame

Applications & Databases

Microsoft MIIS

SQL

InTrust &Reporter

SQL

ActiveRolesServer

SQL

Intra/Inter/Extranet

MMC/Browser

ActiveRoles providesADSI/SPML/PowerShell

Vintela

Smart Cards

Users GroupsMicrosoft Exchange

Home Folders & Resource

Access

ApplicationsAccess

Computers

SSO

ADFS

http://www.sap.com/index.epx

http://www.sap.com/index.epx

http://www.oracle.com/index.html



Une seule infrastructure technique, cela signifie

• Une seule identité

• Un seul compte

• Une seule SmartCard quel que soit le client utilisé

• Une sécurité d’authentification accrue

• Une traçabilité améliorée…

14


L’authentification forte des systèmes hétérogènes : Vintela Authentication Services

15

N°2

16

Pourquoi VAS ?

Unifie l’authentification et la gestion des identitésen utilisant Active Directory

John Doe

Bill Smith

Sales Users

Les utilisateurs disposent du même compte et mot de passe pour leur connexion à Windows et Unix

Windows

Que propose VAS ?

• VAS intègre les plateformes Unix et Linux dans Active Directory en offrant un accès sécurisé et une authentification unique pour les environnements Windows, Unix et Linux

• VAS crée une zone de confiance pour les tâches d’authentification des utilisateurs et groupes Unix/Linux dans les environnements multi-domaines

• VAS offre la discipline et les contrôles nécessaires permettant d’assurer les besoins de sécurité et d’intégrité des environnements

VAS : le fonctionnement

MMC Users and Computers Snapin

WINDOWS 2000/2003 Enterprise Server Windows Desktops

Active Directory Kerberos/LDAP

AuthenticationAuthorization

Vintela Authentication ServicesSnapin Extension

PAM NSSUnix System Authentication & Identity

YPBIND(NIS)

UNIX SYSTEMS

Vintela Authentication Services Unix Client

Library Caching Daemon

PAM NSS YPSERV

API

Ker

ber

os/

LD

AP

Ker

ber

os/

LD

AP

Comment VAS fonctionne ?

1. Installer les composants VAS sur une machine Windows

Compatible RFC 2307 Extension du snap-in

MMC2. Installer le client VAS pour

Unix / Linux

3. Rattacher (Joindre) la machine Unix au domaine

19

Comment VAS fonctionne ?

• Gérer les utilisateurs et groupes AD

• Gérer les comptes AD

• Renforcer vos règles de gestion de AD

20

Intégration d’Unix/Linux dans AD• Implémentation native du standard Kerberos

– Unique et spécifique à chaque OS– Intégrée avec les méchanismes PAM et

NSS natifs aux OS UNIX / Linux• Pas d’infrastructure additionnelle• Une seule identité (ticket Kerberos) pour les mondes

Windows, Unix et Linux• Intégration et non synchronisation• Fonctionne sans problème avec des solutions existantes

de gestion d’identité (Meta annuaire..)

Les systèmes UNIX / Linus intégrés à l’AD

• Elimine les UIDs, GIDs et mots de passe multiples UIDs, GIDs

• Applique les niveaux de sécurité et de conformité d’AD aux Unix/Linux

• Transforme les stratégies de Groupe Windows en Stratégies d’Entreprise

• Rend possible le « Single sign-on »

• De nombreuses plateformes supportées :

…..

http://www.vmware.com/

Single Sign-on

• Unix et Linux OS• SAP• DB2• Oracle• Application s’appuyant sur l’authentication système• Toute application compatible GSSAPI• J2EE• Samba• PuTTY• De nombreuses autres à venir….

http://rc.vintela.com/topics/samba/

Avantages de VAS

• Gestion centralisée des utilisateurs et des groupes Windows, UNIX et Linux dans l’Active Directory

• Authentification et autorisation temps réels pour des accès sécurisés au travers de plateformes mixtes.

• Extension des stratégies de mot de passe AD aux environnements UNIX et Linux

• Solution de migration NIS vers AD et etc/passwd vers AD

• Utilise le schéma AD de Windows Server 2003 “R2”• Authentification rendue possible via SmartCard pour

UNIX et Linux– RFC 4556: Public Key Cryptography for Initial

Authentication in Kerberos (PKINIT)

Microsoft Identity Lifecycle Management (ILM) 2007• Un des solutions de gestion d’identité et de contrôle d’accès de

Microsoft– http://www.microsoft.com/identity

• Assure

– La gestion du cycle de vie des identités• 1ère session (juin) : « Qu’est-ce que la Gestion des

Identités »

– La gestion intégrée pour le déploiement des certificats X.509 et des cartes à puces

Microsoft Identity Lifecycle Management (ILM) 2007• Gestion complète du cycle de vie des certificats X.509v3 et des

cartes à puce associés aux identités de l’entreprise– Emission / renouvellement / remplacement / révocation des certificats– Emission / remplacement / retrait /désactivation de cartes à puce– Emission de cartes temporaires / duplication de cartes à puce – Personnalisation de cartes à puces y compris impression

• Définition de politiques pour les workflows de gestion / la collecte de données et l’impression de documents– Support des scénarios centralisés et libre-service – Capacités de requêtes et d’approbations déléguées pour les

environnements distribués • Gestion des PIN (activation et déblocage)• Inventaire des cartes à puce• Audit et rapport détaillé sur l’ensemble des activités du cycle de

vie des certificats et des cartes

Modèle de profil

Modèle de profil ILM• Elément central de l’ensemble des activités de gestion et des

workflows associés

…

Gabarit(s) de certificat

Information Carte à puce (si nécessaire)

Enrôlement

Collection de données

Workflow

Libre-service

Renouvellement


Workflow

Libre-service

Etc.


Workflow

Libre-servicePolitiques de gestion


Démonstration

29

N°2


Traçabilité des accès

30

N°2

La conformité réglementaire: un nouveau défi pour les directions informatiques

La mise en oeuvre de solutions de contrôle des systèmes, des personnes et des procédures est devenu un axe stratégique ces dernières années.

• Obligations réglementaires

– Sarbanes-Oxley– Bâle II– OMB A-123– …

• Directives internes

– Amélioration de la sécurité

– Traçabilité des procédures

– Suivi des changements

– …

Les objectifs du contrôle des accès

• Authentification : confirmer l’identité d’un utilisateur par un processus d’identification sécurisé ou un autre mécanisme

• Gestion des comptes utilisateurs : éviter l’octroi d’autorisations d’accès inappropriées à des données ou des systèmes confidentiels en optimisant les procédures de gestion des utilisateurs– Gestion centralisée– Séparation des tâches et des responsabilités– Renforcement des politiques de sécurité à l’échelle de

l’entreprise• Administration des droits d’accès : détecter les

autorisations d’accès anormales• Contrôle des accès aux systèmes : être alerté de toute

tentative d’accès non-autorisée ou dangereuse– Alerte en temps réel sur des événements spécifiques

Les solutions Quest de contrôle des accès

Windows/AD Unix/Linux Base de données Applications

Authentification Authentification via Active Directory pour Unix et Linux

Authentification via Active Directory pour SAP et les applications Java

Gestion des comptes utilisateurs

Procédures centralisées et gestion de stratégies Active Directory




Visualisation des droits d’accès

Découverte et inventaire automatiques des droits des utilisateurs




Journalisation des accès, alarmes et rapports

Consolidation et analyse des journaux d’événements, reporting et alarmes




Les solutions Quest de contrôle des accès

Windows/AD Unix/LinuxBase de données

Applications

Authentification Vintela Authentication Services

Vintela Single Sign-on for JavaVintela Authentication Services

Gestion des comptes utilisateurs

ActiveRoles Server

ActiveRoles Server

ActiveRoles Server

ActiveRoles Server

Visualisation des droits d’accès

Reporter Reporter Toad Reporter

Journalisation des accès, alarmes et rapports

InTrustInTrust for AD

InTrust InTrust for DatabasesToad

InTrustInTrust for Exchange

Les objectifs de la gestion du changement

• Gestion et contrôle des procédures : s’assurer que les mises à jour et les nouvelles versions mises en production sont conformes, en contrôlant le processus de gestion du changement depuis la demande jusqu’au déploiement

• Maîtrise des déploiements : garantir que les mises à jour sont bien appliquées aux systèmes prévus et au moment où cela a été planifié

• Détection des changements non autorisés : identifier les changements non autorisés, non documentés ou dont la mise en œuvre peut poser problème

• Historisation et traçabilité des changements : disposer d’un historique complet de tous les changements survenus

• Retour en arrière (rollback) : corriger les effets d’une modification non autorisée ou se révélant problématique au moment de la mise en production

Les solutions Quest de gestion du changement

Configuration Windows & Unix

Gestion des procédures

Mise en place d’un workflow automatisé pour la gestion des stratégies de groupe (GPO) et des configurations Unix

Déploiement des nouvelles versions

Déploiement automatisé des changements en production – extensions SMS pour Unix et Linux

Détection des changements non autorisés

Capacité à détecter les changements non autorisés ou non prévus sur les environnements de production

Historisation des changements

Audit exhaustif de tous les changements

Inversion des changements

Restauration automatisée de la dernière bonne version

Les solutions Quest de gestion du changement

Configuration Windows & Unix

Gestion des procédures

Group Policy ManagerVintela Authentication Services

Déploiement des nouvelles versions

Group Policy ManagerVintela Authentication ServicesVintela Management Extensions

Détection des changements non autorisés

Group Policy ManagerVintela Authentication ServicesInTrust

Historisation des changements

Group Policy ManagerVintela Authentication ServicesInTrust

Inversion des changements

Group Policy ManagerVintela Authentication Services

Quest Intrust

Principales fonctionnalités :

• Automatise la collecte les journaux des environnements hétérogènes

• Collecte et analyse intelligemment les activités des utilisateurs et des administrateurs

• Détecte les événements sortant du cadre de l’activité “standard”• Empêche la destruction malveillante ou accidentelles des

journaux • Compresse fortement les données à conserver sur une longue

période pour préserver l’espace de stockage• Envoi d’alertes en temps réels (possibilité d’utiliser la console de

MOM / SCOM pour gérer ces alertes)• Génère des rapports dans de multiples formats standards (doc,

xls, pdf, csv, txt, htm….)• Simple à installer, configurer et déployer via des assistants

explicites

Les Plug Ins d’Intrust

• Intrust for Active Directory : génère des informations complémentaires aux journaux natifs de Windows permettant de déterminer précisément : qui fait quoi sur l’Active Directory. Il permet également de prévenir la suppression / modification accidentelle ou malveillante d’objets Active Directory


• Intrust for Exchange : Génère des informations d’audit sur l’activité des utilisateurs / administrateurs sur l’environnement Exchange.Il permet de déterminer qui a envoyé un message depuis une boite aux lettres ouverte via délégation ou encore qui a supprimé un message dans cette boite aux lettres ou qui a modifié les permissions d’accès…..


• Intrust for File Access : Audit l’activité des utilisateurs / administrateurs sur les systèmes de fichiers sans utiliser les fonctions d’audit native de Windows.Permet de savoir à tout moment qui a accédé, modifié ou supprimé un fichier ou ses permissions.


Au-delà des frontières de l’entreprise

AD FS,L’expérience Web SSO (fédéré) multiplateforme Applications Java avec QUEST VSJ

43

N°2

Active Directory Federation Services (AD FS)

• Composante de Windows Server 2003 R2• Permettre la mise en place de solutions de Web SSO, de fédération

d’identité ainsi qu’une gestion simplifiée des identités• Projeter l’identité utilisateur sur la base d’une première ouverture de

session

– Etendre le périmètre d’utilisation d’Active Directory• Fournir des mécanismes d’authentification et d’autorisation

distribués

– Permettre aux clients, partenaires, fournisseurs, collaborateurs un accès sécurisé et contrôlé aux applications web situées hors de leur forêt Active Directory

• Connecter les « îles » ( à travers les frontières des plateformes, organisationnelles ou de sécurité)

Espace de noms privé

A. Datum Corp.

FS-A

Espace de noms privé

Trey Research, Inc.

Émission de jetons de sécuritéGestion de

la confiance – Clésla sécurité – Jetons/Claims nécessairesla confidentialité -- Jetons/Claims autorisésl’audit -- Identités , autorités

FS-R

Fournisseur de ressources

Fournisseur de compte

Fédération

Gestion fédérée d’identité AD FS

• « Projette » les identités Active Directory dans d’autres royaumes de sécurité

Protocole et interopérabilité d’AD FS• AD FS s’appuie sur le Web Services Federation Language -

Passive Requestor Profile (PRP)– Un des profils de la pile de spécification/protocoles WS-

• Sur cette base, AD FS est interopérable avec les solution d’identité du marché (fournisseurs de compte/de ressources)– IBM Tivoli Federated Identity Manager– BMC Universal Identity Federator– CA eTrust Siteminder 6 SP5– Oracle Identity Federation– Ping Identity PingFederate– Symlabs Federated Identity Access Manager– Version3 Enhanced Authentication Edition – Shibboleth System 1.3 code drop– En cours

• Novell Access Manager 3.1• Sun Access Manager et Federation Manager (après Access

Manager 7.1)

Agent AD FS pour plateformes tierces -QUEST VSJ (Vintela Single-Sign-On for Java)• Pour interopérer avec AD FS pour les serveurs Web non

Microsoft:– Nécessite le support de PRP et d’une implémentation d’un parseur

de tickets SAML 1.x• QUEST VSJ (Vintela Single Sign on for Java) vous permet

désormais d’authentifier les utilisateurs pour – IBM Websphere– BEA Weblogic– JBoss– Apache Tomcat– Oracle AS (9i et 10g)

• Sur des plateformes – Linux– Unix– Windows

Interopérabilité d’AD FS avec les solutions d’identité• Produits de fédération (Identity Provider/Resource Provider)

• IBM Tivoli Federated Identity Manager• BMC Universal Identity Federator• CA eTrust Siteminder 6 SP5• Microsoft Active Directory Federation Services• Oracle Identity Federation• Ping Identity PingFederate• Symlabs Federated Identity Access Manager• Version3 Enhanced Authentication Edition

– Implémentations Open Source• Shibboleth System 1.3 code drop

– En cours• Novell Access Manager 3.1• Sun Access Manager et Federation Manager (après Access Manager 7.1)

48

Extension d’AD FS

• Centraliser l’administration et déléguer l’authentification• Rationnaliser les investissements IT• Tirer profit au maximum de l’infrastructure déployée

Conclusion

• Construire un écosystème de confiance, indépendamment des plateformes techniques

• Solution d’authentification rapidement déployable• Pas de développement supplémentaire pour adapter vos

applications


N°2

Conclusion

52

En conclusionLes Solutions Quest et Microsoft pour La Gestion des Identités

Protiva™

Solution d’authentification forte

13 septembre 2007

Jérôme Moureaux, Consultant avant-vente

Gemalto I&AM – J Moureaux – 13 sep 2007 54

La solution OTP

Clé USB sécurisée

Carte à puce et PKI

Agenda

Les lecteurs de carte à puces

Gemalto


Gemalto : un acteur majeur de la sécurité

Chiffre d’affaires 2006: 1.7 milliard d’€

Investissement dans l’innovation : 11 sites R&D dans le monde 1,500 ingénieurs

Une présence globale: 23 sites de production 36 centres de personnalisation 100 agences de vente et marketing

Une équipe expérimentée: 10,000 employés 85 nationalités 40 pays


Gemalto Identity & Access Management – Solution & produits

Cartes et tokens

Lecteurs

Logistique/support Services hébergés

Drivers, applications et serveur d’authentification

Emission et gestion du cycle de vie


Les atouts de Gemalto

Gemalto partenaire Microsoft

La solution Protiva a obtenu le prix “Global Product Excellence in Digital Security – Customer Trust Award” (18 000 utilisateurs finaux et clients potentiels du monde entier ont été invités à voter)

Gemalto bénéficie du label Citrix ready

La solution Protiva bénéficie de l'expertise en sécurité de Gemalto (Gemplus/Axalto) sur la carte à puce acquise depuis 20 ans


Lecteurs – Cartes à puce ISO

Produits éprouvés/Large Base installée Ex : grandes institutions financières

Drivers Multi environnements (MSFT, Linux, Mac)

Qualité 2 ans de garantie, fiabilité

SCM20.2%

Omnikey14.2%

ACS4.6%

Others19.5%

41.5%

Total Smart Card Readers & Chipsets MarketCompany Market Shares by Units (World) 2005

Source: Frost & Sullivan F767-33 December 2006


PC Twin USB

Détails Produit

Specifications Connectivité par cable USB

Insertion Verticale”station accueil”

Une seule référence produit

Design innovant Transparent

Customisation graphique assurée

par la carte elle même

Compatible USB 2.0,

CCID,

EMV

Utilisateur Station fixe


PC Card

Détails Produit

Pour PC portables PC Card type II (PCMCIA)

Nouvelle interface PC Express

Certifié PC/SC Microsoft

Sticker pour personnalisation client

Hautes Performances CCID , USB 2.0 full speed

Compact et léger

EMV terminal level 1

Acier Robuste et modèle déposé

Utilisateurs de portables


Authentification forte au moins 2 facteurs

Ce que je sais

Ce que je suis

Ce que je possède

Et que l’on ne peut pas dupliquer


La carte à puce .Net de Gemalto

PKI (IGC)Chiffrement de mails, de documentsSignature électroniqueAccès distant « VPN »Accès sécurisé aux postes « Smart logon »


Gemalto .NET avec Microsoft

Les solutions Gemalto s’intègrent dans

l’environnement Microsoft en particulier, la carte .NET

Le badge corporate de Microsoft est une

carte .NET Gemalto distribuée à plus de 70k

employés


Protiva – Authentification Forte

Solutions Gemalto

Niv

eau

de

sécu

rité

Certificats PKI et Stockage securise

Mot de passe statique

Biométrie et certificats

PKI sur carte

Complexité et coût

OTP + mot de passe

Solutions Gemalto

Niv

eau

de

sécu

rité

Certificats PKI et Stockage securise

Mot de passe statique

Biométrie et certificats

PKI sur carte

Complexité et coût

OTP + mot de passe


Authentification forte avec mot de passe unique: OTP

L’utilisateur se connecte au système d’information

Il entre son nom d’utilisateur et son mot de passe

Le visiteur appui sur son token et saisi l’OTP affiché

user1toto

369826 369826

user1toto

Mot de passe + OTP = Autentification forte à 2 facteurs


La solution Protiva

Solution de bout en bout: Serveur d'authentification Gamme d’Authentifieurs “Agents” d'interface vers les éléments d'infrastructure


Quelle passerelle VPN peut on sécuriser avec Protiva ?

Protiva supporte toute passerelle VPN supportant une authentification Radius

Exemples:• Microsoft IAG• Citrix Access Gateway• Juniper SSL VPN• Arkoon• SonicWALL• F5• Cisco• Checkpoint• ….


Quel token choisir ?

512MB

OTP

- optionnel

OTP PKI

OTP

PKI

Affichage OTP (PDA client)

OTP auto fill-in sur PC

Signature Electronique et ou chiffrement

Stockage portable sécurisé

Accès Physiques (Batiments, bureaux)

Vista natif (pas de middleware)

Message personnalisé sur afficheur

512MB

OTP535

335

570

SDC

.NET


SDC – Protection de données et Accès sécurisés

Données professionnelles protégées avec une clé numérique

Données en déplacement (512MB) Données au bureau (PC, Laptop)

Accès sécurisé aux ressources de l’entreprise avec la même clé sécuritaire

OTP Certificats PKI Compatible solutions Infrastructure d’accès

using 125%

using 227%

using 3-525%

using 5-106%

using more than 10

17%

using 1 using 2 using 3-5 using 5-10 using more than 10

0

20

40

60

80

100

120

140

2005 2006 2007 2008 2009 2010

Smart UFD

Dumb UFD

November, 2005

Identification sécurisée

Stockage sécurisé

Nombre de clés USB utilisées par utilisateur en moyenne –source Gemalto

Million Units


Secure Digital Companion Token sécurisé multi-usage, installation plug-and-play, facilité d’utilisation

Compatible Directive Européenne “Signature Electronique” Signature électronique des emails et documents Chiffrement d’email et de document pour échanges sécurisés

Données protégées en “situation de déplacement” 512 Mo de stockage portable et sécurisé Chiffrement des données à la volée en AES 256 bits Le chiffrement utilise une clé stockée dans la carte à puce

Facilité et securité d’utilisation Pin code protégeant l’utilisateur , le token se bloque après 3 pin incorrect

saisi (Optionnel) service “code de débloquage” Installation automatique dès que le token est connecté au PC Authentification forte pour le login Windows, l’accès VPN ou les solutions

Citrix


Donc Protiva c’est :

Une solution complète de bout en bout

Des fonctionnalités inédites: Token combinant le stockage sécurisé Token personnalisé à la volée

La solution évolutive de l’OTP à la PKI

La garantie de la pérennité de l’investissement

L’expertise en sécurité de Gemalto (Gemplus/Axalto) sur la carte à puce acquise depuis 20 ans


Questions ?

Merci…

Documents

Session 2: « Comment renforcer la Gestion des Identités »