Capacité d'optimisation d'infrastructure : gestion des identités et des accès - du niveau de base au niveau standardisé
Sur cette page
.gif "Présentation"){kind=icon}
Présentation
Exigence : services d'annuaire pour l'authentification des utilisateurs
Présentation
La gestion des identités et des accès est une capacité d'optimisation d'infrastructure à la base de l'implémentation de nombre des capacités présentées dans le modèle d'optimisation d'infrastructure. Le tableau suivant dresse la liste des principaux enjeux, des solutions applicables et des avantages liés à l'accession au niveau standardisé pour la capacité Gestion des identités et des accès.
Enjeux |
Solutions |
Avantages |
|---|---|---|
Les utilisateurs ont des difficultés à se connecter car ils sont constamment invités à s'authentifier. Nombre excessif de banques d'identités utilisateur à gérer Absence de cohérence au niveau de l'accès aux ressources Risque d'accès non autorisé aux informations confidentielles Difficultés à assurer la conformité aux réglementations nationales (ex : Sarbanes – Sarbanes-Oxley, HIPAA, etc.) Les employés nouvellement embauchés doivent patienter avant de pouvoir accéder aux systèmes cruciaux, ce qui réduit la productivité Enjeux informatiques Augmentation des coûts d'assistance liée aux réinitialisations de mots de passe et aux demandes d'accès Absence de gestion centralisée des identités, visibilité médiocre du cycle de vie des identités Risques de sécurité liés à l'existence de comptes orphelins Disparité des identités entre les systèmes, absence d'espace de stockage central pour les identités |
Projets Implémenter un service d'annuaire principal pour l'authentification des clients Implémenter des clients prenant en charge le service d'annuaire |
Avantages métier Amélioration de la productivité des utilisateurs par la simplification du processus d'ouverture de session Réduction des coûts d'administration liée à la diminution du nombre de banques d'identités à gérer Transition vers la mise en conformité aux réglementations Réduction des coûts de gestion des comptes d'utilisateurs Avantages informatiques Réduction du volume du service d'assistance Diminution du nombre d'identités numériques Centralisation de la gestion des identités Amélioration de la sécurité |
La gestion continue des accès et des identités se concentre sur les capacités présentées ci-après, comme défini dans la Série Gestion des identités et des accès de Microsoft.
Principes de base de la gestion des accès et des identités
Gestion du cycle de vie des identités
Gestion de l'accès et authentification unique (SSO)
Notez que les capacités susmentionnées constituent toutes des composants clés du service de gestion des accès et des identités dans n'importe quelle organisation. Pour plus d'informations, veuillez vous reporter à la Série Gestion des identités et des accès de Microsoft.
Dans le modèle d'optimisation d'infrastructure, le niveau standardisé de gestion des identités et des accès répond aux besoins en matière de services d'annuaire pour l'authentification des utilisateurs et exige un service d'annuaire unifié pour l'authentification d'au mois 80 % des utilisateurs. En revanche, cette exigence implique que tous les clients reconnaissent le service d'annuaire.
Exigence : services d'annuaire pour l'authentification des utilisateurs
Public visé
Le niveau standardisé d'optimisation exige qu'un service d'annuaire Active Directory soit en place dans votre organisation et qu'il soit utilisé pour authentifier au moins 80 % de vos utilisateurs. Nous vous recommandons de lire cette section si vous n'utilisez pas Active Directory pour l'authentification d'au moins 80 % de vos utilisateurs.
Vue d'ensemble
Pendant une journée de travail, un utilisateur peut être amené à s'authentifier pour différents motifs, notamment pour accéder au réseau, à des applications, à des données ou à la messagerie. Lorsque vous activez les services d'annuaire pour l'authentification des utilisateurs, vous centralisez et unifiez tous ces besoins d'authentification différents. Autrement dit, une seule ouverture de session permet à l'utilisateur d'accéder à l'ensemble des ressources, des applications et des données auxquelles il est autorisé à accéder.
Phase 1 : analyse
La phase d'analyse vise dans un premier temps à faire l'inventaire des services d'annuaire qui sont éventuellement utilisés dans votre organisation. Vous devez ensuite déterminer l'objet de chaque service d'annuaire et la façon dont ces services sont utilisés. Si votre organisation n'a pas mis en place de service d'annuaire, vous devrez déterminer la façon dont les identités sont actuellement gérées et identifier les processus employés pour sécuriser l'accès aux ressources de données ; il peut s'agir de processus formels et documentés ou informels et non documentés.
Phase 2 : identification
Le processus de conception d'un service d'annuaire consiste tout d'abord à identifier les technologies disponibles pour assurer le service, ainsi que les besoins de votre organisation dans le cadre de la mise en œuvre d'un service d'annuaire.
Le modèle d'optimisation d'infrastructure nécessite l'utilisation d'une infrastructure Active Directory, qui tient lieu de support à nombre de services requis par l'organisation, tels que la messagerie et la collaboration, la gestion des systèmes et les services de sécurité. Active Directory est le service d'annuaire réseau intégré à Microsoft® Windows® 2000 et Windows Server® 2003.
Phase 3 : évaluation et planification
La phase d'évaluation et de planification passe par le processus de planification et de conception qui doit vous permettre de répondre aux besoins de votre organisation. Il est impératif de gérer les informations relatives aux employés et à leur utilisation des ressources informatiques au moyen d'un système d'authentification unique et cohérent, qui possède les caractéristiques nécessaires à une gestion optimisée de ces informations.
Ce système doit être organisé et présenté sous forme d'annuaire.
Une méthode courante d'interrogation doit être prise en charge, quel que soit le type de données demandées.
Les informations présentant des caractéristiques similaires doivent être gérées de manière analogue.
Le mode de regroupement et de gestion des informations doit être déterminé par l'organisation et être complémentaire de ses systèmes existants.
Conception du service d'annuaire
Au moment de concevoir le service, les catégories d'annuaires utilisées sont au nombre de cinq :
annuaires destinés à une utilisation spécifique ;
annuaires d'applications ;
annuaires réseau ;
annuaires généralistes ;
méta-annuaires.
Un administrateur Active Directory peut contrôler entièrement la mise en forme des informations dans l'annuaire. Les informations peuvent être regroupées dans des conteneurs appelés unités d'organisation (UO) dont l'agencement a souvent pour but de faciliter le stockage hiérarchique des données. Les types de données stockées dans l'annuaire sont généralement définis au moyen d'un schéma qui spécifie des classes de données appelées objets. Un objet utilisateur, par exemple, correspond à la classe Utilisateur définie dans le schéma. Les informations sont stockées par les attributs de l'objet utilisateur. Par exemple, il peut s'agir du nom d'utilisateur, du mot de passe et du numéro de téléphone. L'administrateur peut mettre à jour le schéma de façon à y inclure de nouveaux attributs ou de nouvelles classes, selon les besoins.
Pour plus d'informations sur la façon de définir le service d'annuaire Active Directory, rendez-vous à l'adresse : https://www.microsoft.com/technet/itsolutions/wssra/raguide/DirectoryServices/igdrbp_2.mspx#E4F (cette page peut être en anglais).
Conception de la structure d'Active Directory
La structure logique d'Active Directory peut être considérée comme un ensemble d'annuaires logiques appelés domaines. Une collection de domaines est appelée « forêt », car les données d'annuaire contenues dans chaque domaine sont généralement organisées dans une structure qui s'apparente à une arborescence censée représenter l'organisation.
Le processus de conception d'une structure logique comprend les étapes suivantes :
Exigences de conception d'une structure logique. Les fonctions de délégation administrative d'Active Directory sont au cœur de la conception d'une structure logique. L'administration de certaines UO peut être déléguée pour permettre l'autonomie ou l'isolement d'un service ou de données. Le recours à la délégation administrative vise à répondre aux exigences d'une structure juridique, opérationnelle et organisationnelle.
Conception d'une forêt. Le choix d'un modèle de conception de forêt intervient après la définition du nombre de forêts approprié au cours du processus de conception du service ; par exemple, lorsque plusieurs annuaires sont nécessaires ou que les définitions d'objets varient au sein de l'organisation. Il est recommandé de gérer une seule forêt pour être en mesure de standardiser le service d'annuaire.
Conception d'un domaine. Un modèle de domaine est ensuite choisi pour chaque forêt.
Conception d'une racine de forêt. Les décisions de conception de la racine d'une forêt sont fonction de la conception du domaine. Si vous optez pour un modèle à domaine unique, celui-ci fait office de domaine racine de la forêt. Si vous choisissez un modèle à domaine régional, le propriétaire de la forêt doit désigner la racine de la forêt.
Planification de l'espace de noms Active Directory. Après avoir déterminé le modèle de domaine de chaque forêt, il convient de définir l'espace de noms de la forêt et des domaines.
Infrastructure DNS pour la prise en charge d'Active Directory. La conception de l'infrastructure DNS (Dynamic Name System) d'Active Directory peut avoir après celle des structures de forêt et de domaine Active Directory.
Création d'une conception d'unité d'organisation. La conception de structures d'unités d'organisation incombe au propriétaire de domaine car celles-ci sont uniques dans le domaine (et non pas dans la forêt de domaines).
Représentation de la conception logique
Après avoir effectué les étapes de conception d'un service, vous pouvez créer une conception logique dans l'optique de la communiquer à d'autres personnes et de vérifier son intégrité. La conception logique doit fournir un niveau de détail approprié pour permettre aux concepteurs et aux informaticiens de cerner la conception proposée et de vérifier qu'elle répond bien aux exigences des services dont ils ont la charge dans le cadre de la conception d'entreprise globale. Le diagramme suivant est un exemple de conception logique. Dans l'exemple ci-dessous, la forêt d'entreprise repose sur un modèle à domaine régional, qui a été choisi pour permettre un contrôle minutieux de la réplication sur le réseau étendu (WAN).
.jpg)
Pour plus d'informations sur la conception de la structure logique Active Directory, rendez-vous à l'adresse : https://www.microsoft.com/technet/itsolutions/wssra/raguide/DirectoryServices/igdrbp_2.mspx#EELAE.
Phase 4 : déploiement
Après avoir opéré une évaluation poussée de votre environnement et déterminé vos objectifs de déploiement Active Directory, vous pouvez définir la stratégie de déploiement la mieux adaptée à votre environnement. La figure suivante illustre les étapes à suivre pour définir le processus de déploiement Active Directory.
.jpg)
La stratégie de déploiement Active Directory que vous appliquez varie en fonction de votre configuration réseau existante. Par exemple, si votre organisation utilise actuellement Windows 2000, vous pouvez simplement effectuer une mise à niveau de votre système d'exploitation vers Windows Server 2003. En revanche, si votre organisation utilise Microsoft Windows NT® 4.0 ou un système d'exploitation réseau autre que Windows, vous devez concevoir une infrastructure Active Directory avant de procéder à une mise à niveau vers Windows Server 2003.
Dans le cadre du processus de déploiement, vous pouvez être amené à restructurer les domaines existants, soit au sein d'une forêt Active Directory, soit entre plusieurs forêts Active Directory. Vous devrez peut-être restructurer vos domaines existants à l'issue du déploiement de Windows Server 2003 Active Directory ou à la suite de changements dans l'organisation ou d'acquisitions d'entreprises.
Pour plus d'informations sur les conditions préalables au déploiement de l'infrastructure Active Directory, rendez-vous à l'adresse : http://technet2.microsoft.com/WindowsServer/en/library/e0966784-1185-4b41-a259-68513689493b1033.mspx.
Opérations
L'objectif des services d'annuaire est de fournir un processus simple et organisé qui garantit la disponibilité des informations aux utilisateurs autorisés sur le réseau. Les ressources suivantes traitent de l'exploitation d'Active Directory dans l'entreprise après son implémentation et la définition de tous les objets. L'exploitation d'une infrastructure Active Directory passe par une administration appropriée des éléments suivants : approbations de domaine et de forêt, service de temps Windows, SYSVOL, catalogue global, sauvegarde et restauration Active Directory, réplication intersite, base de données Active Directory et contrôleurs de domaine.
Pour plus d'informations, visitez les sites Web suivants :
Administration des services d'annuaire Microsoft Operations Framework (la page peut être en anglais)
Bibliothèque technique Windows Server 2003 :
Administration des approbations de domaine et de forêt (la page peut être en anglais)
Administration du service de temps Windows (la page peut être en anglais)
Administration du catalogue global (la page peut être en anglais)
Administration des rôles de maître d'opérations (la page peut être en anglais)
Administration de la réplication intersite (la page peut être en anglais)
Administration de la base de données Active Directory (la page peut être en anglais)
Administration des contrôleurs de domaine (la page peut être en anglais)
Le centre technologique Windows Server 2003 Active Directory contient des informations sur la mise en œuvre d'Active Directory dans Windows Server 2003 :
La liste de ressources consolidée proposée par le centre de sécurité des produits et technologies Active Directory et Kerberos donne accès aux mises à jour de sécurité et aux conseils en matière de procédures :
Pour obtenir des informations sur Active Directory sur le site Web de support technique Microsoft, rendez-vous à l'adresse : https://support.microsoft.com/default.aspx?scid=fh;EN-US;winsvr2003ad.
Informations complémentaires
Pour plus d'informations sur les services d'annuaire et l'authentification, rendez-vous sur le site Microsoft TechNet et lancez une recherche sur « authentification Active Directory ».
Pour obtenir des conseils supplémentaires sur le produit Active Directory, consultez les articles suivants :
Planification d'un projet de déploiement Active Directory (la page peut être en anglais) * *
Conception de la structure logique d'Active Directory (la page peut être en anglais)
Pour savoir comment Microsoft utilise Active Directory, rendez-vous à l'adresse : https://www.microsoft.com/technet/itshowcase/content/managead.mspx.
Point de contrôle : services d'annuaire pour l'authentification des utilisateurs
|
Exigences |
|---|---|
Service d'annuaire Active Directory implémenté pour l'authentification d'au moins 80 % des utilisateurs connectés |
.gif)
Si vous avez exécuté l'étape précédente, votre organisation répond aux exigences minimales du niveau standardisé de cette capacité fondée sur le modèle d'optimisation d'infrastructure. Nous vous recommandons de suivre les meilleures pratiques pour exploiter votre infrastructure Active Directory après son déploiement.
Passez à la question d'auto-évaluation suivante.