Gestion de l'identité : Gérer le cycle de vie des identités

Il y a un certain nombre de solutions et de stratégies de gestion d'identité de votre organisation, et il est essentiel que vous avez les bons contrôles en place.

Darren Mar-Elia

Adapté de « Protection des données critiques en gérant le cycle de vie identité Active Directory » (Realtime Publishers)

Gestion de l'image est finalement sur la gestion des accès à vos ressources de l'entreprise. Utilisateurs s'authentifient à ressources avec leur identité, puis utilisent les propriétés de cette identité (par exemple, appartenance à un groupe) pour obtenir un accès autorisé aux ressources.

Dans une organisation typique de taille moyenne à grande, vous pourriez trouver des sources d'identité suivantes :

• Active Directory
• Autres services d'annuaire
• Systèmes RH
• Bases de données
• Applications personnalisées de métier (LOB)
• Logiciels tiers comme une applications Web Service (SaaS)
• Comptes système local sur Windows, Linux ou Unix

Tous ces identité stocke les défis actuels. Chacun d'eux nécessite son propre événement de provisionnement (et de-provisioning événement, ainsi) dans quels sont les magasins de données disparates généralement : annuaires, bases de données, fichiers plats ou, dans certains cas, des formats propriétaires. Chacun a son propre ensemble de mécanismes d'autorisation et des moyens uniques d'accorder l'accès.

Windows utilise des groupes de sécurité, bases de données comme Oracle utilisent des rôles personnalisés intégrés à la base de données et autres applications LOB utilisent des mécanismes différents. Plus récemment, applications SaaS deviennent très répandues, ce qui signifie que vous êtes maintenant tenu de fournir un accès aux applications internes et externes.

Il est important de ne pas brouiller les lignes entre l'authentification et l'autorisation. Certains produits peuvent intégrer dans Active Directory pour l'authentification (par exemple, par le biais de Kerberos), mais gardent encore leurs propres mécanismes d'autorisation qui n'exploitent directement Active Directory ceux tels que les groupes de sécurité. Ce type d'intégration mixte peut ou ne peut pas aider votre processus de configuration.

Ce mélange d'identité stocke augmente la complexité autour d'assurer les bons utilisateurs sont configurés dans votre environnement et arrêtée le moment venu. Elle augmente également l'importance d'avoir la gestion du cycle de vie en place parce qu'il devient beaucoup plus facile de « perdre la trace » des identités s'ils ne sont pas tous tricotés ensemble à l'aide d'un cadre commun. De nombreuses organisations ont eu beaucoup plus les identités stockées dans un système qu'ils avaient des utilisateurs. Quand on lui demande pourquoi c'était, la réponse a été généralement quelque chose comme, « Oh, ceux qui sont anciens utilisateurs qui n'y sont plus. » Ce type de gestion des identités pauvres est une recette pour l'accès non autorisé, n'a pas de vérifications ou les deux.

Réduire les stockages d'identité

Si vous êtes dans l'une de ces organisations avec une grande variété de magasins d'identités, vous savez déjà que vous avez votre travail découpé pour vous en termes de gestion de toutes ces identités dans un cadre cohérent. Mais il y a un autre point à considérer. Une option est de réduire le nombre de banques d'identités en trouvant des systèmes d'identité commune dans laquelle vous pouvez réduire d'autres systèmes autonomes. Active Directory est de plus en plus ce système d'identité commune pour plusieurs systèmes et applications.

Il existe des produits tiers et intégrés qui vous permettent d'utiliser Active Directory comme mécanisme d'authentification primaire pour Linux, Unix et Mac. Ces solutions utilisent généralement l'architecture Pluggable Authentication Modules (PAM) au sein de ces systèmes d'exploitation de laisser Active Directory agissent comme un domaine d'authentification Kerberos pour ces systèmes, presque la même façon que les systèmes Windows.

En fait, avec bon nombre de ces mécanismes, vous pouvez « joindre » les ordinateurs Linux, Unix ou Mac à Active Directory comme vous le feriez serveurs ou ordinateurs de bureau Windows. Au lieu de l'exploitation forestière dans les systèmes Unix ou Linux à l'aide d'un compte local, vous pouvez maintenant utiliser un compte Active Directory pour authentifier vos utilisateurs et les autoriser en fin de compte aux ressources Unix à l'aide de groupes Active Directory.

Les applications fonctionnant sur ces zones non Windows utilisant PAM pour authentifier et autoriser les utilisateurs à des comptes locaux peuvent désormais utiliser l'intégration Active Directory pour appuyer l'autorisation et authentification de compte Active Directory. Encore une fois, cette situation sera dépendante de la demande, mais cela signifie que vous pouvez obtenir une intégration Active Directory « gratuitement » une fois que vous intégrez l'OS de base.

En outre, beaucoup des applications tierces et des plates-formes d'application soutiennent authentification et autorisation à l'aide de Active Directory dans une forme quelconque, y compris les applications emballées comme des serveurs d'applications SAP et Web Java d'Oracle Corp. et IBM Corp. Même bases de données Oracle prend en charge l'intégration de l'authentification et l'autorisation dans Active Directory en utilisant une variété de méthodes d'intégration, de Kerberos directement à leur intégration dans le service d'annuaire LDAP de l'Oracle.

Avantages de l'identité

Quelle que soit la méthode que vous utilisez, il y a des avantages évidents pour tenter de réduire le nombre de magasins d'identité que vous devez incorporer votre identité gestion du cycle de vie. Si Active Directory peut être à ce point de consolidation pour bon nombre de vos systèmes et applications d'entreprise, vous pouvez vous concentrer sur la mise en service et déprovisioning des tâches dans Active Directory. Ainsi, la tâche de déprovisioning un utilisateur de la plupart de vos applications et systèmes internes et externes peut devenir une simple question de désactivation d'un compte d'utilisateur dans Active Directory et à quelques autres endroits.

Il n'est pas rare pour l'identité, à commencer par le système des ressources humaines de l'organisation. Ce système pousse alors que l'identité des autres requis des banques d'identités, comme Active Directory ou banques d'identités spécifiques à l'application. C'est habituellement le travail d'un provisionnement formelle et déprovisioning système pour effectuer ces types de mises à jour sur les différents systèmes connectés — maintenir les identités synchronisées et les retirer de tous les systèmes connectés lorsque l'utilisateur quitte l'organisation.

Ces solutions pourraient avoir leur propre service d'annuaire où toutes ces données provenant des systèmes connectés sont agrégées. Ceci est souvent appelé un méta-annuaire. La solution peut simplement garder une trace des mappages entre les systèmes connectés, cartographie des champs clés dans un système à l'autre.

L'objectif de cette cartographie est de trouver un champ qui identifie de manière unique un utilisateur au sein de toutes les banques d'identités. Qui assure John Smith dans Active Directory est le même John Smith vient d'embaucher par les RH et le même John Smith qui a accès à des applications spécifiques en raison de l'identité qui les magasins méta-annuaires. Et, lorsque John Smith quitte l'organisation, son identifiant d'utilisateur est désactivé le système RH, Active Directory, et le magasin d'applications spécifiques en une seule opération.

Réduire le risque

C'est effectivement très important d'avoir un système en place pour gérer le cycle de vie identité. Il y a des raisons réelles, sur le terrain pour la construction d'un système qui assure le suivi des qui existe dans votre organisation, et ce à quoi ils peuvent accéder : raisons telles que la perte de données, les risques réglementaires et impact sur l'activité.

**Perte de données :**Sans aucun doute, un du plus effrayant risque la plupart des entreprises qui traitent des renseignements personnels — telles que les données du client — visage est la perte involontaire de données. Toute organisation assez grande aujourd'hui doit faire face à n'importe quel nombre d'avenues possibles pour la perte de données : des employés marcher avec client répertorie sur clés USB à une direction d'obtenir son ordinateur portable non crypté avec des informations financières sensibles volées dans un salon d'aéroport. Certains de ces scénarios peuvent être évités avec les outils appropriés et les procédures en place, mais de loin une des pires erreurs que vous pouvez faire est de perdre des données en vertu d'une personne ayant le mauvais niveau de l'accès ou avoir accès à des systèmes qui devraient avoir été supprimé il y a longtemps.

Ces scénarios sont mauvais car ils sont tous évitables avec un plan cohérent identité qui met l'accent sur la garantie de bons procédés et automatisation bonne sont en place, chaque fois qu'un utilisateur tape, change d'emploi ou quitte l'organisation. Perte de données est particulièrement mauvaise dans le monde de l'Internet d'aujourd'hui, parce que la réputation d'une entreprise en ligne et sa capacité à garder ou perdre des données de ses clients peuvent avoir un impact direct et immédiat sur sa ligne de fond et le niveau de confiance, il a avec ses clients.

Comment avoir une bonne gestion des identités prévoit-elle lieu aide perte de données ? Simple — si vous avez bon contrôle sur les utilisateurs qui sont en mesure d'authentifier à vos systèmes et de bons processus mis en place pour accorder l'accès uniquement aux données nécessaires pour faire leur travail, les chances des données erronées seront tomber entre de mauvaises mains sont grandement réduits.

La partie la plus troublante de ce défi, c'est que le paysage des menaces évolue rapidement. Une récente rapport sur les violations de données commandée par Verizon montre que, alors que des attaques contre les organisations externes restent un vecteur majeur pour la perte de données, les menaces internes de ces deux erreurs involontaires en raison de la piètre système de sécurité ainsi que les efforts de la fraude interne organisée constituent une préoccupation majeure.

En fait, en un clin de œil pour faire des contrôles d'identité bien en place, l'enquête de Verizon montre qu'une grande majorité des menaces internes sont commis par des utilisateurs « normaux » sans un accès privilégié. Ainsi, ayant de bons contrôles en place autour de l'accès aux données et aux systèmes peut avoir un impact tangible sur la prévention de perte de données par les utilisateurs internes plié sur les activités malveillantes. Ces contrôles ne sont possibles que lorsque vous avez un système qui peut provisionner et identifier les utilisateurs corrects avec les bons niveaux d'accès, par exemple lorsque vous avez un système d'approvisionnement en place qui identifie les niveaux d'autorisation de l'utilisateur basées sur sa fonction commerciale.

**Risques réglementaires :**Avec le risque de données perte vient les risques pour les organismes soumis à la réglementation gouvernementale. Les réglementations telles que la loi Sarbanes-Oxley (SOX), Health Insurance Portability et Accountability Act (HIPAA), Payment Card Industry (PCI) et d'autres ont des degrés de prescription explicite lorsqu'il s'agit de méthodes de protection des clients et des données non publiques.

Toutes ces réglementations exigent que ces données doivent être protégées. Il y a des amendes sévères et des ramifications criminelles possibles pour insuffisance brut protéger ces données. Si votre organisation est sujette aux règles et que vous n'avez pas un plan solide en place pour répondre à la diversité des risques autour des violations de données, que vous demandez des ennuis. En plus des autres contrôles, mise en place d'un plan de gestion d'identité solide peut vous aider à obtenir mieux maîtriser qui accède à vos systèmes.

**Impacts :**En plus de risques de perte et de la conformité de données, gestion des identités bon se traduit par la meilleure disponibilité du système et moins les impacts. Systèmes de gestion d'identité contrôlent l'accès aux non seulement des données métiers et des applications, mais aussi des systèmes. Un plan « moins de privilège » autorisation de système la mise en place par le biais de votre système de gestion d'identité telle que seuls les administrateurs ont accès aux ressources de serveur dont ils sont responsables iront un long chemin vers la prévention des pannes de serveur non désirés.

Ce que vous voulez éviter à tout prix est un administrateur doté de privilèges très supérieures à son rôle de conserver les modifications vers le serveur de mauvais au mauvais moment et faire baisser vos systèmes administratifs. Il y a d'innombrables anecdotes des administrateurs avec accès Admins du domaine dans Active Directory, qui est essentiellement de l'accès sans entraves à lire et à écrire la plupart des objets dans Active Directory — suppression accidentelle d'un compte de service des applications critiques, ou en passant par inadvertance des objets d'une unité organisationnelle (UO) à l'autre.

Cela peut entraîner différentes stratégies de groupe à appliquer aux unités d'organisation et par la suite changer leur comportement. Un des ces exemples pourrait suffire à provoquer une panne majeure, juste parce que quelqu'un n'a pas suivi la politique quand est venu le temps pour configurer un compte d'utilisateur et accordées à cet utilisateur beaucoup plus de droits qu'il avait besoin ou était équipé pour traiter.

Stratégie de groupe est un autre domaine qui est venu pour avoir un bon système en place pour contrôler qui peut accéder et apporter des modifications. Modifications de stratégie de groupe peuvent avoir un impact immense sur un organisme. Ces types de changements bénéficient d'assurer que le modèle de délégation autour de stratégie de groupe est étroitement contrôlé. Cela implique généralement s'assurer les bons utilisateurs dans les groupes de droite Active Directory disposant de la capacité de modifier des objets Stratégie de groupe.

Accorder des autorisations

La ligne de fond avec toutes ces questions d'accès, c'est que d'avoir un système de gestion d'identité bien en place, avec un processus standard pour la mise en service et mise à jour des comptes d'utilisateurs avec leurs groupes appropriés ou d'autres autorisations — permet d'assurer les bons utilisateurs ont accès aux ressources adéquates.

N'oubliez pas que les ressources « autorisation » de faire de l'octroi de ressources réelles ne sont pas traités dans le cadre de l'utilisateur, processus de fourniture. Il est, cependant, une condition importante pour pouvoir exploiter correctement votre identité processus de fourniture.

Darren Mar-Elia est Microsoft MVP Group Policy, créateur du site groupe politique populaire gpoguy.com et co-auteur de "Microsoft Windows Group Policy Guide" (Microsoft Press, 2005). Il est aussi directeur technique et fondateur de SDM Software Inc.

Pour en savoir plus sur cette question et autres titres d'éditeurs en temps réel, Découvrez Éditeurs de Realtime.

Contenus associés

• Gestion des identités et des accès : L'accès est un privilège
• Gestion des identités et des accès : Combler les lacunes dans l'identité et de la gouvernance de l'accès
• 19 Smart conseils sécurisation d'Active Directory