Upload
kyos
View
346
Download
2
Embed Size (px)
Citation preview
Expert sécurité, réseau et services informatiques
Version :
Date :
Diffusion : Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes
Simplifiez et automatisez la gestion de votre Active Directory avec AdaxesBruno Kerouanton – République et Canton du JuraMaxime Feroul - Kyos
Public
3.0
22.04.2015
Expert sécurité, réseau et services informatiques
Agenda
Expert sécurité, réseau et services informatiques
Agenda
Comprendre la solution Adaxes…à travers l’implémentation effectuéepour la République et Canton du Jura.
‐ Comprendre la solution Adaxes
‐ Témoignage Client : Mr B. Kerouanton (Chef du Groupe de Compétences Sécurité) de la République et Canton du Jura
‐ Au-delà de la gestion des identités et des accès : Administration Active Directory
‐ Discussions ouvertes
Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes
Kyos SARL Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes
3
Contexte – Active Directory « incontournable » dans nos SI22.04.2015
• 3 perspectives :
‒Gestion des identités
et des accès (IAM)
‒Administration
‒Traçabilité, Audit
Utilisateurs, Approbateurs, Helpdesk Administrateurs
Contrôle, Audit
Solution de gestion des identités et des accès
Console native(Active Directory Users and Computers).
Développeur, Intégrateur,…
Kyos SARL
4
Problématiques adressées par Adaxes
• Pas de solution IAM• L’IAM ne couvre pas nécessairement
tous les cas de gestion‒ i.e. comptes techniques
• Console Native AD‒ Délégation « difficile », Non-Web‒ Pas d’enchainement des opérations, ni de
« workflow » d’approbation‒ Traçabilité possible mais « reporting » difficile
22.04.2015
Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes
IAM
Kyos SARL Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes
5
Softerra Adaxes – A propos de la solution22.04.2015
Simplifier et automatiser la gestion des annuaires Active Directory
Améliorer la sécurité
Réduire la charge de travail des administrateurs
Standardiser l’environnement AD
Traçabilité, rapport
Coûts de licence et de maintenance « raisonnables »
Kyos SARL Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes
6
Softerra Adaxes – Architecture et composants22.04.2015
• Fonctionne comme un «Proxy»‒ les clients se
connectent au serveur Adaxes via un canal chiffré
‒ le service Adaxes se connecte à l’Active Directory via un compte technique «privilégié»
Kyos SARL Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes
7
Problématique AD – Hiérarchie « unique »
• Les objets de l’AD (compte, ordinateur, groupes…) sont « rangés » dans une et une seule OU (Organisational Unit)• Cette hiérarchie est construite en fonction de
différentes dimensions (géographique, organisationnelle, type d’objet).
22.04.2015
Comment appliquer des règles de gestion sur les admins de manière générale et d’autres spécifiques aux admins du siège (HQ) ?
Kyos SARL Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes
8
Fonctionnalité Adaxes – Business Unit
• Créer de regroupement d’objet sur base de règles.• Gérer des collections d’objets indépendamment de leur emplacement
dans la hiérarchie de l’AD.
22.04.2015
Kyos SARL
9
Problématique AD – Permissions sur les objets de l’annuaire
• Système discrétionnaire, multiples ACL* par objet, Héritage en fonction de la hiérarchie des OU‒ Gestion « fastidieuse »‒ Source d’erreur (manque d’accès ou trop
d’accès)• Scénario de délégation par «rôle» pour
la création, mais ensuite navigation par objet et «vision» par permission‒ Audit plus complexe. ‒ Difficile d’avoir une vision «agrégée» par
rôle.
22.04.2015
Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes
*ACL : Access Control List
Kyos SARL
10
Fonctionnalité Adaxes – Security Role
• Contrôle d’accès basé sur les rôles (RBAC)‒ Différent des permissions réelles AD‒ Uniquement via les clients Adaxes
22.04.2015
Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes
Accès aux objets limité en fonction de «Security Role».
Service Adaxes
Le service Adaxes se connecte avec un compte disposant de plus de privilèges.
Utilisateur, Administrateur,...
Kyos SARL
11
Fonctionnalité Adaxes – Security Role
• Composition d’un rôle‒ permissions sur des type d’objets AD‒ assigné à des comptes (ou groupes) AD sur 1 à N sous-ensemble d’objets (OU,
Groupe, Business Unit,…) • Rôles «dynamiques» en combinant avec les Business Unit
22.04.2015
Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes
Un utilisateur « authentifié » peut lire (donc voir le nom) des groupes dont il est membre.
Kyos SARL
12
Problématique AD – Normalisation
• Règle de nommage des objets‒ Clarté, permet des traitements automatisés, aide à éviter les doublons, etc.
• Difficile à appliquer dans un mode de gestion «manuelle»‒ Attributs non obligatoires oubliés, saisie «inutile» pour les attributs pouvant
être composés automatiquement, etc.
22.04.2015
Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes
Kyos SARL
13
Fonctionnalité Adaxes – Property Pattern
• Définir des règles (valeur par défaut, contraintes) pour les attributs des objets
22.04.2015
Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes
L’attribut Department est initialisé avec la valeur de l’OU dans laquelle est créé l’objet.
L’attribut Full Name est composé du prénom et du nom.
Ces règles ne s’appliquent que sur les objets de l’OU HQ\Users.
Kyos SARL
14
Problématique AD – Automatisation
• Les outils natifs obligent les administrateurs à effectuer « manuellement » de multiples opérations.‒ créer un compte, l’ajouter à des groupes (10 groupes = 10 actions), créer une
boite aux lettres, Attribuer une licence office 365, etc.
• L’automatisation permet de ‒ diminuer l’effort et le temps de maintenance‒ standardiser la création de comptes, groupes, …‒ réduire les sources d’erreurs (facteur humain) et donc améliorer :• la conformité avec les politiques de sécurité,• l’intégrité et la consistance des données de l’AD.
22.04.2015
Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes
Kyos SARL
15
Fonctionnalité Adaxes – Business Rule
• Automatiser des opérations grâce à des règles avec des conditions, des actions.• Applicable sur une collection d’objets (Scope).
22.04.2015
Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes
Kyos SARL
16
Fonctionnalité Adaxes – Approbations
• Renforcer la sécurité : approbations avant l’exécution des actions.
22.04.2015
Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes
Approbation via les interfaces web ou via la console
Kyos SARL
17
Démonstration – Interfaces web & console Adaxes
• Portail GDA : Donner accès à un partage réseau
• Traçabilité et rapports
22.04.2015
Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes
Expert sécurité, réseau et services informatiques
Agenda
Expert sécurité, réseau et services informatiques
Agenda
Témoignage ClientMr B. Kerouanton (Chef du Groupe de Compétences Sécurité)de la République et Canton du Jura.
‐ Comprendre la solution Adaxes
‐ Témoignage Client : Mr B. Kerouanton (Chef du Groupe de Compétences Sécurité) de la République et Canton du Jura
‐ Au-delà de la gestion des identités et des accès : Administration Active Directory
‐ Discussions ouvertes
Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes
Kyos SARL Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes
Le contexte – Service Informatique du Canton du Jura
• 85 services internes et parapublics• 1800 utilisateurs
• 3500 groupes de sécurité• 3000 dossiers partagés• 500 applications
• 100 demandes deGestion Des Accès (GDA)par mois.
Kyos SARL Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes
20
Gestion d’Identité interne – Services fournis
• Autorisation d'accès à l'utilisateur • Messagerie pour l'utilisateur • Volumes système de fichiers• Accès à des ressources applicatives • Accès à l'impression papier• Autres besoins spécifiques
En place depuis <2000, évolutions successives (Novell => AD)
22/04/2015
Kyos SARL Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes
21
République et Canton du Jura – Projet Sillage
• Une approche « tactique » à une problématique IAM
• Existant :‒Demande circulant via
un fichier Excel.‒Moteur de « digestion »
du fichier pour alimenter l’AD
22.04.2015
Kyos SARL Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes
22
Processus GDA – Constats négatifs
Constat 1Processus lourd avec beaucoup d’intervenants (CIs, SDI DIR, SDI secrétariat, Admin systèmes, etc.)
Constat 2Support (fiche plan et droits) compliqué à comprendre et à maintenir. Risque élevé.
Constat 3Traçabilité des modifications non assurées
Constat 4Charge importante au SDI pour gérer les accès
22/04/2015
Kyos SARL
15/04/2023 23
Objectif de la nouvelle solution
• Dans le contexte actuel, la solution basée sur Excel ne donne plus entière satisfaction.
• Un objectif tactique : permettre le remplacement des fonctions primordiales de l’outil Excel avant la fin de l’année.‒ A ce titre, le projet n’a pas pour objectif de redéfinir l’entièreté des processus de gestion
des identités et des accès, mais seulement d’adapter ceux existants qui s’appuient sur le moteur Excel.
• La solution retenue pour atteindre cet objectif, est une solution de gestion des annuaires Active Directory : Adaxes de l’éditeur Softerra.
SEC-14-0007 – Intégration Adaxes (Projet Sillage)
Kyos SARL Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes
24
Migration vers une solution cible pérenne et évolutive22/04/2015
Console administration
Interfaces Web
CIApprobateursAdministrateurs
Service Adaxes
Active Directory
Kyos SARL Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes
25
Exigences initiales
• Donner la responsabilité au Service (CI et Approbateur)
• Impliquer le SDI que lorsque c’est nécessaire (ex : licences, sécurité,…)
• Formaliser chaque processus‒ Exemple simple : création d’un compte.‒ Exemple complexe : demande d’accès à une application.
22/04/2015
Kyos SARL Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes
26
Nouvelle solution – Portail web GDA (Adaxes)
• Les demandes d’accès et de création (ou modification) d’identité sont exprimées et approuvées via des interfaces web
• Le «serveur» alimente automatiquement l’AD et offre des fonctions comme :‒ des règles d’approbation, de notification‒ des règles de «création/ modification
automatique» : ajout à un groupe, modification d’un attribut, etc.
‒ la traçabilité des actions
22.04.2015
Console administration
Interfaces Web
CIApprobateursAdministrateurs
Service Adaxes
Active Directory
Kyos SARL
Plusieurs interfaces Web
Interface CIAccessible uniquement par les CI, pour :• Effectuer des demandes• Approuver des demandes• Consulter des informations sur les comptes
utilisateurs du (ou des) service(s) géré(s)
Interface GDAAccessible par tous, pour :• Approuver des demandes• Consulter des informations sur les comptes
utilisateurs, en fonction de nos permissions :– i.e un chef de service ou un CI ne verront que les
utilisateurs de leur service• Ne permet pas d’effectuer des demandes !
SEC-14-0007 – Intégration Adaxes (Projet Sillage)
Kyos SARL Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes
28
Fonctionnalités proposées aux CI22/04/2015
Kyos SARL
15/04/2023 29
Exemple de principe avec la création d’un compte
• Processus : Une demande de création d’un compte nécessite une approbation par les approbateurs du service.
SEC-14-0007 – Intégration Adaxes (Projet Sillage)
Approbateurs du service
Notification d͛̀approbation
Approuve la demande via
https://gda.jura.ch
Demande de créationde compte depuishttps://gda.jura.ch/ci
Demande d͛̀approbation
CI du service
Nouveau compte
Nouveau compte
Active Directory
Kyos SARL
Plusieurs rôles d’approbation
• Les demandes d’approbations sont envoyés à des rôles (groupes)‒ Chaque membre du rôle reçoit la
demande par email‒ Le premier qui approuve
déclenche la suite du processus• Dans ce cas les autres approbateurs
verront que la demande est déjà approuvée.
• Rôles principaux :‒ Approbateurs de service : (i.e le
chef de service) approuvent les demandes concernant leur service.‒ Responsable applicatif‒ Responsable exploitation‒ Responsable sécurité
SEC-14-0007 – Intégration Adaxes (Projet Sillage)
Kyos SARL Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes
31
Conclusion
Un projet IAM Réussi
• Budget d’investissementrespecté : < 100k
• Budget de fonctionnementtrès raisonnable
• Délégation aux utilisateurs Gain de productivité, satisfaction !
22/04/2015
Kyos SARL Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes
32
De la sécurité vers la confiance numérique !22/04/2015
Expert sécurité, réseau et services informatiques
Agenda
Expert sécurité, réseau et services informatiques
Agenda
Au-delà de la gestion des identités et des accèsAdministration Active Directory
‐ Comprendre la solution Adaxes
‐ Témoignage Client : Mr B. Kerouanton (Chef du Groupe de Compétences Sécurité) de la République et Canton du Jura
‐ Au-delà de la gestion des identités et des accès : Administration Active Directory
‐ Discussions ouvertes
Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes
Kyos SARL Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes
34
IAM – Comprendre le périmètre d’Adaxes
• Alimente uniquement l’Active Directory.‒ Alimenter d’autres référentiels nécessite d’utiliser un tiers SPML et/ou un développement
spécifique.• N’étant pas un méta-annuaire, il n’offre pas de vue agrégée de tous les attributs
d’identité détenus par d’autres référentiels.• Les capacités de «workflow» et de personnalisation des interfaces web sont limitées.‒ Pas d’utilisation de source de données externes pour alimenter les différentes étapes des
«workflows».‒ Pas d’enchainements de plusieurs écrans de formulaires interactifs entre plusieurs acteurs.‒ Pas de champs autres que des attributs d’un objet Active Directory dans les interfaces
web.
22.04.2015
Kyos SARL Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes
35
IAM – Comprendre le périmètre d’Adaxes22.04.2015
IAM
Adax
es O
K • L’AD come principal référentiel• Processus « adaptables » aux limites de
l’outil• IAM en cours de maturité, besoin d’une
première itération (tactique)• Opérations d’administration non couvertes
par la solution IAM en place.
IAM
Perti
nenc
e Ad
axes
à é
tudi
er • Nombreux référentiels à alimenter et/ou a utiliser pour supporter les opérations d’alimentation
• Processus et workflow complexes
Au-delà de l’IAM, Adaxes reste une solution pertinente pour les 2 autres perspectives : Administration et Traçabilité des opérations menées sur l’Active Directory.
Kyos SARL Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes
36
Administration Adaxes - Scheduled Tasks
• Execution récurrente (ou non) d’actions‒Désactiver des comptes inactifs depuis plus d’une certaine période,‒Notifier de l’expiration prochaine d’un mot de passe ou d’un compte,‒Générer un rapport spécifique : i.e Approbations en attente,…
22.04.2015
Historique de l’activité
Kyos SARL Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes
37
Basket – Opérations sur un ensemble d’objet
• Grouper des objets dans un panier• Exécuter des actions sur l’ensemble des objets‒Copier des groupes !‒Modifier un attribut
22.04.2015
Kyos SARL Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes
38
Office 365 - Automatisation
• Office 365 : pas de solution pour automatiquement assigner ou révoquer les licences utilisateurs.Les administrateurs doivent changer d’outils.
• Adaxes permet :‒de n’utiliser qu’une interface, ‒d’offrir du self-service avec approbation,‒d’être “multi-tenant”.
22.04.2015
Kyos SARL
Besoins spécifiques – API, SPML*,…22.04.2015
Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes
39
Powershell, SDK (VBScript, JScript, VB, VB.Net, C++, C# )
• Implémenter des actions spécifiques dans les « business rules » et les « scheduled tasks ».
• Développer des clients spécifiques : consommer directement le moteur Adaxes depuis un script, une application « externe ».
Intégration SPML• Envoi de requêtes à un tiers SPML lorsqu’une opération est effectuée
sur l’AD.• Provider SPML (web service) permettant à une application tierce
d’accéder à des ressources AD.
*Service Provisioning Markup Language
Kyos SARL Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes
40
A RETENIR - Simplifier et automatiser la gestion Active Directory avec22.04.2015
Améliorer la sécurité
Réduire la charge de travail des administrateurs
Standardiser l’environnement AD
Traçabilité, rapports
Coûts de licence et de maintenance « raisonnables »
• Accès basé sur les rôles• Approbation des actions
• 200 utilisateurs : ~2000 CHF(600 CHF)• 2000 utilisateurs : ~10600 CHF(3100 CHF)
• Modèles, Règles d’initialisation et de contrôle lors de la création / modification d’objets et d’attributs
• Délégation , « Self-Service »• Règles de gestion automatisées
(enchainement de multiples opérations, opérations groupées sur des collections d’objets, …)
• Taches récurrentes (contrôle, nettoyage)• Automatisation Ms Exchange, Office 365 et
Lync
• DB de traces de toutes les opérations, syslog• Multiples rapports (comptes inactifs, qui vont
bientôt expirer,…)
Expert sécurité, réseau et services informatiques
Agenda
Expert sécurité, réseau et services informatiques
Agenda
Discussions ouvertes
‐ Comprendre la solution Adaxes
‐ Témoignage Client : Mr B. Kerouanton (Chef du Groupe de Compétences Sécurité) de la République et Canton du Jura
‐ Au-delà de la gestion des identités et des accès : Administration Active Directory
‐ Discussions ouvertes
Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes
Expert sécurité, réseau et services informatiques
Contact us
Kyos SARL
Avenue Rosemont, 12 bis1208 Genève
Tel. : +41 22 566 76 30Fax : +41 22 734 79 03
www.kyos.ch
Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes
Expert sécurité, réseau et services informatiques
Contactez nous
Kyos SARL
Avenue Rosemont, 12 bis1208 Genève
Tel. : +41 22 566 76 30Fax : +41 22 734 79 03
www.kyos.ch
Merci