Concepts fondamentaux
Chapitre 5 : Gestion du cycle de vie des identités
Paru le 11 mai 2004 | Dernière mise à jour le 26 juin 2006
La plupart des entreprises doivent gérer plusieurs stockages d'identité. Dès lors que l'environnement réseau possède plusieurs emplacements de stockage d'identités numériques, il faut se demander comment gérer ces différentes identités.
La gestion du cycle de vie des identités inclut le processus et les technologies d'attribution et d'annulation de privilèges d'accès, de gestion et de synchronisation des identités numériques conformément aux stratégies d'administration. La réussite de la gestion des identités et des accès reposera principalement sur l'efficacité de la gestion du cycle de vie des identités numériques.
Les services de gestion du cycle de vie garantissent la sécurité lors des procédures de création d'entités et de gestion, de synchronisation, d'agrégation et de suppression des attributs. De plus, vous devez exécuter ces opérations en toute sécurité avec une trace d'audit complète. Cette section décrit la conformité des produits Microsoft à ces exigences.
Sur cette page
Intégration des identités
Attribution de privilèges d'accès
Administration déléguée
Libre-service
Gestion des informations d'identification
Intégration des identités
Les services d'intégration des identités (Identity integration, IdI) créent des liaisons entre les informations d'identité dans plusieurs annuaires, bases de données et autres stockages d'identité. Ils fournissent une vision d'ensemble des utilisateurs et peuvent implémenter l'attribution de privilèges d'accès aux identités et leur annulation sur plusieurs stockages.
Microsoft offre deux applications associées, abordées dans cette section, permettant d'intégrer les identités. Ces produits sont les suivants :
Microsoft® Identity Integration Server 2003, Enterprise Edition (MIIS 2003 SP1) ;
Identity Integration Feature Pack 1a pour Microsoft Windows Server™ Active Directory ;
MIIS 2003 SP1 optimise le service d'annuaire Microsoft Active Directory® en fournissant des fonctionnalités d'interopérabilité extensive, dont :
l'intégration à une large gamme de référentiels d'identités ;
l'attribution de privilèges d'accès aux informations d'identité sur plusieurs stockages ;
l'association d'informations d'identité, la détection automatique de mises à jour et la synchronisation des modifications sur les systèmes ;
la transformation de données d'un stockage d'identité pour les rendre compatibles au schéma d'un autre stockage.
Identity Integration Feature Pack 1a pour Microsoft Windows Server Active Directory, une version de MIIS 2003 SP1 dont l'ensemble de fonctionnalités est réduit, est disponible en téléchargement gratuit. Le pack de fonctionnalités offre la possibilité d'intégrer des informations d'identité entre les listes d'adresses globales d'Active Directory, d'ADAM et d'Exchange 2000/2003. Téléchargez le pack de fonctionnalités sur la page Feature Pack Identity Integration pour Microsoft Windows Server Active Directory du site Web du Centre de téléchargement Microsoft.
Microsoft propose également des produits qui permettent l'intégration à des plates-formes spécifiques. Ces produits vous permettent d'intégrer des systèmes d'exploitation autres que Microsoft dans un environnement Windows et peuvent être utiles pour certains scénarios que MIIS 2003 SP1 ne prend pas totalement en charge ou si vous devez effectuer une intégration à une seule autre plate-forme.
Ces autres produits d'intégration incluent :
Services pour UNIX. Ce produit augmente la capacité d'enregistrement d'Active Directory pour inclure les informations d'identification et les habilitations UNIX, vous permettant ainsi d'administrer des utilisateurs et des groupes UNIX de la même manière que les utilisateurs et groupes Windows. Le produit active également la synchronisation des mots de passe entre UNIX et Active Directory.
Services pour NetWare. Ce produit fournit un service extrêmement flexible qui offre une solution d'interopérabilité complète entre Active Directory et Novell eDirectory 8.7 et son répertoire d'adresses. Il entraîne une réduction des coûts de gestion des identités et des accès grâce à la synchronisation bidirectionnelle des mots de passe entre Active Directory et les systèmes Novell.
Services pour Macintosh. Ce produit permet à un composant intégré de Microsoft Windows Server d'autoriser les ordinateurs s'exécutant sur les systèmes d'exploitation Windows et Macintosh à partager des fichiers et des imprimantes. De plus, Windows Server peut fonctionner en tant que routeur AppleTalk. Les Services pour Macintosh incluent également le module d'authentification d'utilisateur Microsoft (MSUAM), qui propose un mécanisme SSO sécurisé pour L'accès des clients Macintosh aux applications exécutant Windows Server 2003.
Host Integration Server (HIS). Ce produit fournit une application, des données et une intégration réseau pour étendre l'accès à partir des systèmes d'exploitation sur Windows vers des systèmes hôtes hérités tels que AS/400 et les mainframes exécutant DB2, RACF, ACF2 et d'autres systèmes d'exploitation. HIS peut également mapper des ID utilisateur et des mots de passe depuis un système d'exploitation Windows vers un système hôte sans changer l'environnement de sécurité hôte.
Attribution de privilèges d'accès
Le problème central concernant la gestion du cycle des identités numériques est de garantir la possibilité d'ajouter et de supprimer des entités de sécurité au sein du stockage d'identité centralisé géré par Active Directory, ainsi que d'autres stockages d'identité pour les applications qui ne sont pas complètement intégrées à Active Directory. Ce scénario est couramment appelé scénario « hire/fire » (« embaucher/licencier »).
Ajout de workflow à l'attribution de privilèges d'accès
L'attribution de privilèges d'accès doit souvent se conformer aux procédures de fonctionnement de l'entreprise. Par exemple, lors d'une embauche, le directeur du nouvel employé est susceptible de devoir valider le processus d'attribution de privilèges d'accès. Il existe trois méthodes permettant d'ajouter un workflow au mécanisme d'attribution de privilèges d'accès.
Extension des règles MIIS 2003 SP1. Vous pouvez implémenter une attribution de privilèges d'accès simple par workflow à l'aide des extensions de règles de MIIS 2003 SP1. Un changement d'état dans une base de données connectée, telle qu'une application de RH, déclenche ensuite une séquence d'attribution de privilèges automatisée. Les extensions de règles dans MIIS 2003 SP1 régissent la création résultante d'identités numériques dans les stockages d'identité appropriés. Toutefois, ce mécanisme ne prend pas en compte les processus de validation manuelle.
Workflow simple. Une autre solution consisterait à implémenter une application de workflow simple, probablement via une interface Web qui autoriserait des étapes manuelles de workflow au sein du processus d'attribution de privilèges d'accès automatique. Cette option pourrait inclure un scénario dans lequel l'embauche d'un employé nécessite la validation du directeur, mais dans lequel le directeur peut seulement valider ses nouveaux employés. Lorsque le personnel du service de RH crée un compte d'employé, il saisit les informations relatives au directeur afin d'envoyer une notification par courrier électronique au directeur approprié. Lorsque le directeur se connecte au site Web, il peut consulter la liste des nouveaux employés à valider. Tout octroi de validation entraîne la création d'un compte d'utilisateur dans tous les stockages d'identité appropriés.
Orchestration de Microsoft BizTalk® 2004. L'orchestration de BizTalk 2004 fournit des capacités de workflow avancées pour les environnements hétérogènes complexes.
Attribution de privilèges d'accès pour des comptes virtuels
Le chapitre 6 « Gestion des accès » décrit l'utilisation des comptes virtuels comme alternative à la création d'une approbation entre deux domaines qui ne peuvent pas se faire confiance. La meilleure méthode de gérer ce mécanisme et de le rendre solide consiste à automatiser la création et la suppression de comptes virtuels entre les différents domaines. MIIS 2003 SP1 est un excellent outil pour l'attribution de privilèges d'accès et la synchronisation des comptes virtuels.
Administration déléguée
La gestion du cycle de vie des identités inclut la délégation de la capacité à gérer certains aspects de l'identité numérique gérée dans Active Directory. Pour ce faire, vous pouvez utiliser le contrôle d'accès précis intégré d'Active Directory via une sélection d'interfaces. Si le schéma possède une stratégie d'autorisation correctement configurée pour les listes de contrôle d'accès (ACL) des objets Active Directory, les composants logiciels enfichables de MMC (Microsoft Management Console) offrent un moyen de déléguer la gestion de tout objet d'Active Directory, y compris les comptes utilisateur représentant les identités numériques.
Une autre interface de gestion courante consiste à créer une application Web intégrée à Active Directory permettant la gestion des comptes et des attributs. Les partenaires de Microsoft spécialisés dans la gestion des accès intègrent généralement cette fonctionnalité dans leurs produits.
Pour plus d'informations sur les capacités d'administration déléguée d'Active Directory, voir la section « Design Considerations for Delegation of Administration in Active Directory (Éléments de conception à considérer pour la délégation d'administration dans Active Directory, en anglais) » sur Microsoft TechNet.
Libre-service
La possibilité pour les utilisateurs normaux de gérer certains sous-ensembles des attributs de leur annuaire est essentielle pour la réduction des coûts de gestion des identités. Les produits Microsoft prennent en charge cette capacité indirectement via l'autorisation détaillée permettant d'accéder au niveau attribut dans Active Directory. Un certain nombre de clients de Microsoft ont développé leur propre interface, généralement des pages Web, de sorte à permettre des modifications en libre-service des attributs à l'aide de Visual Studio.NET. Pour ces clients désirant acheter un produit existant, les partenaires de Microsoft proposent des interfaces Web simples d'utilisation leur permettant de gérer eux-mêmes certaines informations d'attribut.
Gestion des informations d'identification
Les différents mécanismes d'authentification possèdent souvent différentes informations d'identification (telles que les certificats x.509, les mots de passe du protocole d'authentification Kerberos et les mots de passe Microsoft Passport), de sorte qu'une plate-forme qui prend en charge plusieurs mécanismes d'authentification doit donner la possibilité aux utilisateurs de gérer leurs différentes informations d'identification. Dans Windows, cette fonctionnalité est assurée par le gestionnaire d'informations d'identification Windows.
Ce gestionnaire donne aux utilisateurs finaux la possibilité de mettre en cache des informations d'identification et de les associer à des emplacements spécifiques. Par exemple, vous pouvez utiliser différents comptes Microsoft Passport avec différents sites Web, et identifier différents certificats à utiliser sur différentes applications Web.
Gestion des mots de passe
Un certain nombre d'environnements incluent des systèmes et des applications qui ne peuvent pas être facilement intégrées avec des fonctionnalités de sécurité de Windows Server 2003 et d'Active Directory. Ces systèmes reposent généralement sur différents protocoles d'authentification ou utilisent un stockage d'identité distinct pour l'authentification.
Toutefois, certains de ces systèmes utilisent des mots de passe dans le cadre de l'authentification. Il est possible de faciliter les manipulations de l'utilisateur (malgré le risque éventuel d'une augmentation de la vulnérabilité aux attaques) en assurant l'attribution des privilèges d'accès, la synchronisation des comptes et la gestion des informations d'identification (mots de passe) nécessaires à la connexion à Active Directory à l'aide de comptes et de mots de passe utilisateur utilisés dans les autres systèmes. Les produits Microsoft capables de gérer les mots de passe incluent :
MIIS 2003 SP1. Ce produit permet la propagation des mots de passe entre les annuaires connectés via une interface WMI (Windows Management Instrumentation). L'interface WMI est utilisée par les pages Web prégénérées pour assurer les fonctions de modification et de réinitialisation des mots de passe fournies avec MIIS ou par une solution personnalisée qui utilise d'autres capacités de Windows, telles que le filtre de notification des mots de passe (voir dernier élément de la liste).
Services pour UNIX. Ce produit effectue la propagation des mots de passe entre Active Directory et la plate-forme UNIX.
Services pour NetWare. Ce produit effectue la propagation des mots de passe entre Active Directory et NetWare.
Host Integration Server (HIS). Ce produit assure la synchronisation des mots de passe entre Active Directory et différents systèmes basés sur l'hôte.
Filtres de notification de mots de passe personnalisés Active Directory. Le kit de développement logiciel (SDK) de la plate-forme Windows et le document « Gestion des mots de passe » disponible dans ce kit comprennent des informations sur le développement d'un filtre de notification de mots de passe personnalisé pour implémenter des services de gestion des mots de passe avancés.
Vous pouvez gérer les comptes et les mots de passe avec d'autres systèmes, en particulier d'autres systèmes d'annuaire et bases de données de stockages d'identité via MIIS 2003 SP1. Le produit est livré avec des connecteurs qui s'intègrent aux annuaires et aux bases de données les plus courants, facilitant le déploiement d'un mécanisme de gestion des mots de passe. MIIS 2003 SP1 prend en charge les opérations suivantes de gestion des mots de passe :
Réinitialisation par le support technique. Le personnel du support technique réinitialise les mots de passe utilisateur via l'interface Web fournie avec MIIS. Vous pouvez configurer la modification des mots de passe afin qu'elle soit envoyée à Active Directory et d'autres annuaires pris en charge par MIIS 2003 SP1 en ce qui concerne la gestion des mots de passe.
Modifications initiées sur le Web. Les utilisateurs modifient leurs mots de passe via une application Web de modification du mot de passe commune. Le mot de passe est ensuite distribué à tous les annuaires et systèmes pris en charge par MIIS, y compris Active Directory.
Modifications initiées sur Windows. Les utilisateurs modifient leur mot de passe via la boîte de dialogue Modifier le mot de passe sur les ordinateurs Windows client. Le filtre de notification de mots de passe d'Active Directory obtient le mot de passe modifié, puis le distribue à d'autres systèmes via MIIS 2003 SP1. Cette fonction n'est actuellement pas intégrée à MIIS 2003 SP1, mais peut être implémentée via Visual Studio .NET au moyen d'un codage personnalisé, comme l'illustre l'exemple présenté dans le document « Gestion des mots de passe » disponible dans ce kit.
Autres modifications initiées sur le système. Les utilisateurs modifient leur mot de passe via des systèmes d'exploitation autres que Windows. Le mot de passe est obtenu par le biais de mécanismes pris en charge sur le système d'exploitation, puis distribué via MIIS 2003 SP1. Cette fonction est uniquement prise en charge lors de l'utilisation d'applications non Microsoft qui s'intègrent à Active Directory ou MIIS 2003 SP1.
Quel que soit le système de gestion des mots de passe utilisé, vous ne tirerez parti de ces fonctions que si elles s'avèrent faciles à utiliser et que vos utilisateurs savent comment y accéder.
Télécharger
Téléchargez les kits Microsoft de gestion des identités et des accès
Notifications de mise à jour
Abonnez-vous aux mises à jour et aux nouvelles versions
Commentaires