Au cours de cette session vous aller découvrir la solution Forefront Identity Manager sur la base de scénarios que tous les clients rencontrent. Vous verrez comment il sera possible d’automatiser sur la base de « vos règles » (et des recommandations Microsoft) toutes les tâches classiques autour des utilisateurs, les groupes, les applications.. et les habilitations au sens large. Vous saurez alors comment la gestion des identité peut avoir rapidement un impact significatif sur le service aux utilisateurs, la sécurité, le coût d’exploitation de l’infrastructure... Nous profiterons de cette session pour décrire les nouveautés de la version R2 arrivée il y a quelques mois

1. FIM 2010 R2 : Gestion des identités,
automatisation des traitements, et
gestion avancée
Frédéric Esnouf, Microsoft
Victor Joatton, Exakis
Infrastructure et Gestion des identités

2. Agenda
• Présentation de FIM
– Démonstrations
• Gestion des rôles
– SOD
• Attestation
– Présentation

3. Chapitre 1
PRÉSENTATION DE FIM
Design

4. La gestion des identités
• Vision IT/Infrastructure
– Souhait des équipes technique de se dégager du
temps, de réduire les tâches administratives
• Vision Sécurité
– Qui a accès à quoi ? Bonnes pratiques &
Audit/compliance
• Vision Financière
– Réduction des coût, ou dégager du temps pour de
nouveaux projets.

5. Historique de FIM
R2
Common Platform
Workflow
User
Management Connectors Group
Logging Management
Web Service API
Synchronization
Credential Policy
User Common Platform Group Management Management
Management Workflow Management
Connectors
Logging
Web Service API
Synchronization
Credential Policy
Management Management
Identity Synchronization Office Integration for Self-Service
User Provisioning Declarative Provisioning
Certificate and Smartcard Management Group & DL Management
Workflow and Policy
Support for 3rd Party CAs
1997 1999 2003 2007 2010 2013
Acquired LinkAge Acquired Identity Integration Identity Lifecycle FIM 2010 FIM 2010 &
Directory Exchange Zoomit VIA Server 2003 Manager 2007 AD FS 2.0 BHOLD SP1
1999 1999 2005 2009
Active Metadirectory Acquired Identity Lifecycle 2012
Directory Services Alacris Manager 2007 FP1 FIM 2010 R2
BHOLD

6. Quel est votre projet de gestion des
identités ?
Gestion des
Sans gestion Gestion des
Méta annuaire identités
des identités identités
… avancée
Portail
…
utilisateur
Réception des Gestion de
Délégation
demandes: Méta annuaire rôle avancée
d’administrati
téléphone, Synchro de DataMining
on
email, outil données Segregation
Gestion des
Qualité des of duty
rôles
Traitement : données Attestation
Automatisatio
manuel ou via
n des
scripts
traitements
Reporting
Sécurité Gestion des
Méta annuaire
identités
… bien catégoriser son projet pour le réussir

7. Composants de FIM
Interfaces
1 CAL par
Portail FIM Outlook Windows Custom Reporting Powershell
utilisateur
Services
Vos règles de gestion
Reset de mot Gestion des Rôles,
Approbation Synchronisation Automatisation de passe cartes attestation, …
Moteur de synchronisation
Moteur de
synchronisation
Meta
Directory
Applications et annuaires Applications et Cloud
1 licence par
serveur ACTIVE SMART
.. Autre FINANCE RH MAIL PABX
DIRECTORY CARD

11. Chapitre 2
GESTION DES RÔLES
Design

12. Gestion des rôles dans FIM
 Structure organisationnelle de l’entreprise
 Assignation de rôles, par UO
 Rôles imposés ou proposés
 Héritage
UO
UO UO
R R
R
P P

13. Création de la structure d’UO
13

14. L’unité organisationnelle
Vision organisationnelle de l’entreprise, UO France
• Structure hiérarchique de l’entreprise
• Utilisateurs
• Rôles hérités
• Rôles de l’UO
• …
14

15. Création et assignation de « rôles »
Lier un Rôle à une unité organisationnelle EMEA
Rôle proposé
ou imposé
15

16. Vision unité organisationnelle EMEA
Résultat dans UO EMEA
• Rôle positionné sur EMEA
• Rôle « Proposé
16

17. Vision unité organisationnelle FRANCE
• UO France
• Rôle « Proposé », « hérité » ou
obligatoire
17

18. Bilan
UO et Rôles
• Description de votre structure d’entreprise via des Unités
organisationnelles (différentes des UO Active Directory)
• Création de Rôles d’entreprise
• Assignation de ces rôles par UO
• Un rôle est « proposé » ou « obligatoire »
• Un OU peut hériter des rôles de son UO parent (EMEA->France)
18

20. Applications, Permissions et Rôles
Donner des habilitations aux utilisateurs via les rôles
 Définition des applications d’entreprise
 Les applications ont des « permissions »
 On assigne des permissions aux rôles
 SOD possible entre permissions.
UO
UO UO
R R
R
P P
SOD

21. Schéma de démonstration
Utilisateurs, OU, .. Rôles et permissions .. .SOD
France Inde
R R
R
SOD
P P P
SOD
Applications
21
 Auditeur peut valider facture à 10K
 Au-delà, incompatible

22. Création d’une application Application
Application Finance
22

23. P P
Application et permissions Application
App Finance, permission sur « seuils » de facture

24. R R
Rôles, et permissions P P
 Créer Rôle auditeur, et
assigner permission
« auditeur « + »facture
10K »
…
24

25. France
Assigner un rôle à une OU (France)
R R
• Les rôles sont
maintenant proposés
via les UO, ils seront
donc hérités 25

26. Assignation utilisateur à UO France France
Un utilisateur peut appartenir à plusieurs UO
26

27. Assignation Rôle (proposé)
Rôles hérités de l’OU, récupération des permissions
France
R R
R
P P P
SOD
Application
27

29. Créer la règle d’incompatibilité (SOD) P P
SOD
Mandatory
Overridable
SOD
29

30. SOD overridable
30

31. SOD mandatory
31

32. Chapitre 3
ATTESTATION
Design

33. ATTESTATION
Définitions
• Attestation : certifier un fait par vive voix ou par écrit
• Dans l’IAM, on parle de certification : certifier les accès et les
habilitations d’une personne
• Il s’agit de valider ou non les relations entre :
– Les identités et leur compte
– Les identités et leur niveau d’habilitations

34. ATTESTATION
Besoins
• D’un point de vue sécurité, il est indispensable de pouvoir
contrôler les habilitations des collaborateurs
– Eviter les accumulations de droits
– Sur les applications sensibles
– Permettre de donner des droits fins selon les besoins des collaborateurs
• De répondre aux exigences des réglementations pour être
conforme
– Par exemple, sur les applications qui ont besoin d’être SOX-compliant
– Dans SOX, il est stipulé qu’il faut pouvoir évaluer les contrôles d’accès aux applications sur une base
annuelle.

35. ATTESTATION
Objectifs
• Assurer le niveau d’habilitations des collaborateurs
– Ont-ils assez de droit pour travailler et accomplir leur fonction ?
– Ont-ils des droits en trop ?
• Assurer le granularité des droits
– Au niveau des permissions dans les applications du périmètre
– Au niveau des comptes dans les applications du périmètre
• Déléguer l’attestation aux fonctionnels
– Basé sur la hiérarchie de l’organisation
– Basé sur les responsables d’application
– Basé sur une liste de personnes (cellule habilitation par exemple)
 L’objectif est surtout d’attester les habilitations sur
les applications sensibles.

36. ATTESTATION Responsable
de campagne
Fonctionnement d’une campagne
Steward
• Deux types de population
Création d’une
campagne
• Création d’une campagne
• Si le Steward n’est pas Maintien de la
responsable de l’un des campagne
utilisateurs, il le refuse et le
Revue des
responsable de campagne doit utilisateurs qui
réaffecter l’utilisateur à un autre doivent être attestés
steward
Attestation des
• Le Steward accepte ou refuse utilisateurs
les droits / Comptes des
utilisateurs Fin de la campagne
• Si la campagne d’attestation est
périodique, une nouvelle
instance sera créée selon le
timing choisi

37. ATTESTATION
Portail d’attestation
• Le portail Attestation est module à part entière
• L’accès à ce portail est réservé aux superviseurs et aux stewards

38. ATTESTATION
Création d’une campagne
• Date de validité de la campagne
• Configuration de la récursivité
• Configuration des rappels

39. ATTESTATION
Création d’une campagne - Périmètre
• Par application : • Par organisation :

40. ATTESTATION
Création d’une campagne – Périmètre
• Deux possibilités :
– Soit sur les comptes
– Soit sur les permissions

41. ATTESTATION
Création d’une campagne – Les stewards
• Deux possibilités :
– Soit par rapport à l’organisation
en place
– Soit en ajoutant pour la
campagne en cours des stewards
directement
• A la fin de la création
de la campagne, les
stewards sont notifiés

42. ATTESTATION
Attestation des droits par les Stewards
• Le steward voit la liste des instances de campagne qui lui sont
affectés
• Dans l’instance, les utilisateurs sont listés : le steward choisit
quels sont les utilisateurs dont il est responsable

43. ATTESTATION
Attestation des droits par les Stewards
• Les utilisateurs sont
listés avec leurs
comptes
• OU : Les utilisateurs
sont listés avec leurs
permissions

44. ATTESTATION
Attestation des droits par les Stewards
• Pour les utilisateurs dont il est responsable, le steward accepte ou
refuse les comptes ou les droits
• Dans les deux cas, une vérification est faite par rapport à l’action d’un
autre steward sur ces droits

45. ATTESTATION
Attestation des droits par les Stewards – les utilisateurs refusés
• Les utilisateurs refusés sont visualisés par le responsable de
campagne
• Ils peuvent être affectés à d’autres stewards

46. ATTESTATION
Les résultats
• Tant que l’instance de campagne est en cours, il est possible pour
le steward de modifier les attestations
• Le responsable de campagne peut visualiser à tout moment les
résultats de la campagne
• Après la date de fin, même si tous les utilisateurs n’ont pas été
attestés, la campagne est fermée et complétée

47. ATTESTATION
Exemple
OU 1
Moteur FIM
R R P1
P1
P2
P2
P3
X P3
Application A
P1 P2 P3
Application A

48. Chapitre 4
PERSPECTIVES
Design

49. PERSPECTIVES
• Pourquoi la gestion des identités ?
• Impact sur le SI
• Gérer son projet ? Classique ou Quick Win ?
Merci !

50. victorj@exakis.com
fesnouf@microsoft.com