Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Chapitre 2 Approches du choix d'une plate-forme
Paru le 11 mai 2004 | Dernière mise à jour le 26 juin 2006
La mise en place d'une plate-forme de gestion des identités et des accès nécessite une prise de décisions importantes qui auront un impact évident sur les capacités des systèmes informatiques d'une organisation. L'organisation doit d'abord choisir entre l'adoption d'une solution proposée par un fournisseur exclusif ou la constitution d'une solution complète à partir de plusieurs produits leaders dans leur catégorie.
La première solution présente les avantages suivants :
facilité d'intégration ;
support complet et à source unique ;
remise ou licence groupée.
La seconde solution peut (mais pas obligatoirement) présenter les avantages suivants :
possibilité de choisir des produits individuels en fonction des besoins ;
possibilité d'obtenir une licence et de procéder au déploiement pour les produits nécessaires uniquement.
De nombreuses organisations bénéficient des avantages des deux modèles en optant pour un fournisseur exclusif (généralement, un fournisseur de plates-formes) pour la majeure partie de l'infrastructure, puis en étoffant leurs produits de référence avec d'autres produits des fournisseurs afin de combler des lacunes particulières. Si une organisation procède de cette manière, il est primordial pour le fournisseur de plates-formes de prouver que sa technologie peut interagir avec les produits de nombreux autres fournisseurs dans différents domaines technologiques.
Le reste de ce chapitre traite des choix à effectuer lors de la sélection d'une plate-forme unique ou d'un produit leader dans les domaines technologiques suivants :
services d'annuaire ;
services de gestion des accès ;
mécanismes d'approbation ;
outils de gestion du cycle de vie des identités ;
plate-forme d'applications.
Sur cette page
Sélection des services d'annuaire
Sélection des services de gestion des accès
outils de gestion du cycle de vie des identités ;
Sélection d'une plate-forme d'applications
Plate-forme Microsoft de gestion des identités et des accès
Sélection des services d'annuaire
Pour assurer le bon fonctionnement de la plate-forme de gestion des identités et des accès, un emplacement approprié de stockage des informations relatives à l'application et aux identités est nécessaire. Même s'il existe d'autres méthodes de stockage des informations utilisateur, l'utilisation de la technologie d'annuaire s'est rapidement généralisée. Aujourd'hui, la plupart des annuaires disponibles sur le marché prennent en charge les mêmes fonctions, dont :
la prise en charge du protocole LDAP (Lightweight Directory Access Protocol) ou DAP (Directory Access Protocol) ou de ces deux protocoles, conformément à la norme X.500 de l'Union internationale des télécommunications (UIT) ;
les types d'attributs normalisés conformément à la norme X.520 ;
les classes d'objets normalisées conformément à la norme X.521.
Étant donné l'homogénéité, d'un annuaire à un autre, des méthodes de stockage d'objets d'annuaire et de mécanismes d'accès aux annuaires, les seules différences entre les produits de service d'annuaire se situent souvent au niveau des capacités suivantes :
performances de recherche ;.
efficacité du stockage et du multiprocesseur à des fins de déploiement vertical ;
performances de réplication des données à des fins de déploiement horizontal ;
capacités robustes de basculement et de récupération ;
intégration à différents types de services de sécurité ;
intégration à différents types d'applications et de services de gestion de systèmes ;
technologies de publication ;
contrôle d'accès précis aux niveaux objet et attribut ;
attribution de licences ;.
support.
Le choix du service d'annuaire peut également dépendre du rôle que l'on veut attribuer à l'annuaire. Les fonctions nécessaires peuvent varier selon les rôles. Par exemple, de nombreuses organisations devront déployer des services d'annuaire pour remplir les rôles suivants :
annuaire Intranet (niveau entreprise) ;
annuaire Extranet (réseau périphérique) ;
annuaire d'application.
Les sections suivantes de ce chapitre exposent les considérations relatives aux annuaires pour chacun de ces rôles.
Annuaire intranet
La plupart des organisations possèdent actuellement un ou plusieurs services d'annuaire sur leur intranet. Les services d'annuaire intranet doivent fournir les fonctions suivantes :
un référentiel central pour les comptes d'utilisateur ;
le stockage centralisé et sécurisé des informations d'identification utilisées pour l'authentification ;
le stockage centralisé des informations d'attribut utilisées pour l'authentification ;
les informations permettant de localiser les ressources réseau ;
les informations permettant de localiser des individus et des groupes.
Outre ces fonctions, la capacité à s'intégrer aux services de sécurité courants sur l'intranet est également un atout considérable.
Annuaire extranet
Dans la plupart des organisations, les annuaires extranet présentent les mêmes exigences fondamentales que les annuaires intranet. Les exigences supplémentaires à prendre en compte pour choisir un annuaire qui devra prendre en charge des applications utilisées par des collaborateurs, des clients et des employés, sont les suivants :
la capacité à s'adapter à des millions d'utilisateurs ;
une distribution de licences peu onéreuse ;
la prise en charge de mécanismes d'authentification compatibles avec Internet ;
la possibilité d'inclure plusieurs communautés ou organisations distinctes (par exemple, des collaborateurs ou des clients) dans un même annuaire.
annuaire d'application.
Les annuaires d'application sont déployés dans les organisations où les technologies de service d'annuaire utilisées répondent aux besoins, mais où un grand nombre d'utilisateurs ou d'applications n'ont pas besoin des données enregistrées dans l'annuaire. Les annuaires d'application présentent généralement un sous-ensemble d'annuaires utilisés au niveau de l'organisation, ainsi que des besoins supplémentaires en termes de facilité de gestion et d'opérabilité. Les annuaires d'application doivent fournir les fonctions suivantes :
le stockage des informations spécifiques à l'application ;
une configuration et un déploiement faciles ;
un modèle d'administration simple ;
des fonctions de déploiement vertical et de basculement raisonnables ;
une attribution de licence peu onéreuse.
Sélection des services de gestion des accès
Les services de gestion des accès offrent aux organisations la capacité d'authentifier les utilisateurs de façon sûre et d'appliquer des procédures d'autorisation solides. Au moment de choisir un type de gestion des accès, gardez à l'esprit que la technologie utilisée doit bien s'intégrer au produit de services d'annuaire.
Sélection de méthodes d'authentification
Les exigences et les paramètres à prendre en compte concernant les mécanismes d'authentification peuvent énormément varier selon le scénario. Les exigences types qui différencient les moyens de mise en œuvre de l'authentification sont les suivantes :
Quelles exigences l'organisation peut-elle imposer à l'utilisateur ?
Quelle infrastructure peut être mise en place et maintenue pour assister l'utilisateur ?
Doit-on mettre en place une authentification unique (SSO, single sign on) pour l'utilisateur ?
À quelle sorte d'applications l'utilisateur doit-il accéder ?
Même si des variations sont possibles, l'authentification intranet et extranet offre une méthode unique de classement des utilisateurs et des mécanismes d'authentification applicables.
Authentification intranet
L'authentification intranet présente les caractéristiques suivantes, lesquelles influenceront votre choix de mécanismes d'authentification :
des niveaux élevés de contrôles (à l'aide de stratégies) qui régissent l'utilisation du réseau par les utilisateurs des ordinateurs (employés) ;
un contrôle complet sur l'environnement réseau et sur la disponibilité des services ;
un contrôle sur la configuration des postes de travail ;
de multiples types d'applications, par exemple des applications client/serveur, des applications Web ou Microsoft® Windows® Forms.
En raison de ces caractéristiques, il est possible de choisir des mécanismes d'authentification pour l'intranet qui garantissent des niveaux élevés de sécurité tout en offrant la fonction SSO. Cependant, ces mécanismes exigent également une combinaison d'infrastructure, de configuration et de certains comportements utilisateur sophistiqués. Les exemples de technologies d'authentification suivants répondent à cette description :
protocole d'authentification Kerberos version 5 ;
certificats numériques X.509 sur les cartes à puce ;
jetons matériels, comme RSA SecurID.
Pour plus d'informations sur ces technologies, consultez le document « Gestion d'accès intranet » de ce kit.
Authentification extranet
À la seule exception des employés (et, dans de rares cas, des collaborateurs) qui accèdent aux ressources extranet via des technologies de réseau privé virtuel (VPN) sur Internet, l'accès extranet sur le Web présente des caractéristiques complètement différentes :
des niveaux élevés de contrôles (à l'aide de stratégies) qui régissent l'utilisation du réseau par les utilisateurs des ordinateurs (employés) ;
Le niveau de contrôle possible sur l'environnement réseau et la disponibilité des services au-delà de votre réseau périphérique est faible, voire nul.
Le niveau de contrôle sur la configuration des postes de travail est nul.
L'accès nécessite généralement l'utilisation d'applications Web.
En raison de ces caractéristiques, les mécanismes d'authentification doivent être choisis pour un réseau extranet qui offre des niveaux de sécurité appropriés, mais qui ne demande pas des manipulations compliquées de la part des utilisateurs. Les exemples de technologies d'authentification suivants répondent à cette description :
authentification basée sur les formulaires ;
certificats numériques X.509 pour les employés ;
services Microsoft Passport pour les clients et les collaborateurs.
Malgré les restrictions explicites dictées par l'environnement extranet, les utilisateurs d'extranet s'attendent à pouvoir utiliser pour plusieurs applications la même fonction SSO dont bénéficient les utilisateurs intranet. En outre, de nombreuses organisations doivent fournir la fonction SSO pour plusieurs applications s'exécutant sur différentes plates-formes. Un marché florissant de fabricants de logiciels indépendants (ISV) s'est développé afin de répondre à ce besoin d'une fonction Web SSO sur plusieurs plates-formes hétérogènes. Nombre de ces fabricants proposent des solutions pertinentes.
Pour plus d'informations sur ces technologies, consultez le document « Gestion d'accès intranet » de ce kit.
Implémentation de l'autorisation
La plupart des plates-formes prennent en charge une certaine forme de mécanisme de listes de contrôle d'accès (ACL) pour accorder des autorisations sur les objets statiques, comme des fichiers ou des imprimantes. Pour se voir accorder l'accès à ces objets, il faut être un utilisateur ou appartenir à un groupe explicitement autorisé à accéder à ces objets.
De plus, la majorité des organisations étudient la possibilité de mettre en place un type de contrôle d'accès basé sur des rôles (RBAC). Le contrôle RBAC s'avère plus intuitif et par conséquent, plus facile à gérer et plus flexible.
Les mécanismes de contrôle RBAC doivent être capables d'implémenter une règle métier pour définir une stratégie d'autorisation. Par exemple, un mécanisme de contrôle RBAC doit pouvoir appliquer une règle métier du type suivant :
Seuls les employés de banque peuvent procéder à des dépôts sur des comptes d'épargne entre 9 h et 16 h.
Une organisation doit choisir une plate-forme qui fournit un contrôle d'accès ACL efficace pour les objets statiques, ainsi qu'un mécanisme RBAC solide et flexible dont la gestion est intuitive, et qui est capable d'exprimer des règles métier complexes sous forme de stratégies d'accès.
Implémentation de mécanismes d'approbation
De toutes les technologies évoquées jusque là, l'implémentation de l'approbation est probablement le domaine de technologie qui montre le plus de variations d'une plate-forme à une autre. À un niveau général, l'approbation représente la confiance qu'un ordinateur place dans un autre ordinateur ou groupe d'ordinateurs pour affirmer l'identité d'un utilisateur. Les différences existantes entre les divers mécanismes d'approbation résident principalement dans la manière dont les ordinateurs et les utilisateurs entrent dans un cercle d'approbation.
Par exemple, les systèmes basés sur l'hôte sont, par essence, à la fois autonomes et englobants. Certaines organisations utilisent plusieurs systèmes mainframe, et dans ce cas, il est peu probable que ces ordinateurs se portent une confiance mutuelle, excepté via un partage explicite de mots de passe.
Les systèmes d'exploitation UNIX et Linux sont généralement autonomes (ne font pas partie d'un « cercle d'approbation ») ou membres d'un service NIS (Network Information Service) ou d'un service NIS et d'un regroupement. Vous pouvez également configurer les postes de travail UNIX et Linux pour utiliser le protocole LDAP pour l'authentification et l'autorisation. Dans ce cas, tous les postes de travail configurés afin d'utiliser la même instance de répertoire deviennent membres de ce cercle d'approbation.
Afin de devenir un outil vraiment utile et efficace en matière de gestion des identités et des accès, la plate-forme doit fournir des mécanismes d'approbation pour tous les niveaux de l'organisation, et même entre les organisations. Vous devez considérer la mise en place de cercles d'approbation comme un composant fondamental que vous pouvez organiser en regroupements hiérarchiques afin de faciliter l'administration de la relation d'approbation au niveau approprié.
outils de gestion du cycle de vie des identités ;
Les outils de gestion du cycle de vie des identités fournissent les moyens de gérer les tâches suivantes relatives aux identités :
gestion des utilisateurs ;
gestion des informations d'identification ;
gestion des habilitations.
Toutes les plates-formes sont fournies avec des outils et des interfaces qui permettent à l'administrateur d'effectuer ces tâches basiques, mais il existe un autre domaine dans lequel un marché ISV florissant s'est développé afin d'offrir des fonctions de gestion conviviales et inter-plates-formes. Souvent, ces outils sont basés sur le Web, ce qui convient très bien pour les scénarios de gestion des identités sur extranet, tels que l'administration déléguée aux collaborateurs (dans lequel l'organisation collaboratrice prend la responsabilité d'administrer ses utilisateurs).
Vous devez envisager d'utiliser les meilleurs outils de gestion des identités pour votre organisation si les outils fournis avec la plate-forme et conçus pour le scénario intranet développé dans ce kit de documents ne répondent pas aux besoins de votre organisation.
Implémentation de l'intégration des identités
Les outils d'intégration des identités sont souvent des produits sophistiqués et complexes en eux-mêmes. Ces outils peuvent réunir et synchroniser les informations décrivant les identités numériques (attributs) des nombreux stockages d'identité existants dans les organisations bien établies. Certains de ces produits sont également décrits comme des produits métarépertoires.
Les caractéristiques à étudier lors de l'évaluation d'un produit d'intégration des identités sont les suivantes :
À combien de types différents de magasins d'identités peut-il se connecter ?
Chaque « connecteur » nécessite-t-il une quantité d'espace (un compte utilisateur ou une table supplémentaire) sur le système connecté ?
Quel degré de solidité des règles qui régissent le flux des attributs entre les magasins d'identités ?
Quel est l'environnement de développement permettant d'étendre les règles prédéfinies dans le produit ?
Le produit peut-il synchroniser ou propager les mots de passe utilisateur d'un stockage à un autre ?
Le produit prend-il en charge à la fois le traitement basé sur l'état (état actuel d'un objet) et le traitement basé sur les événements (modifications ayant lieu dans le stockage d'identité connecté) ?
Le produit s'intègre-t-il bien aux services d'annuaire de la plate-forme sélectionnés par l'organisation ?
Attribution et annulation de privilèges d'accès
La possibilité d'attribution et d'annulation des privilèges d'accès à des comptes utilisateur dans plusieurs stockages d'identité et de les annuler peut être une des fonctionnalités d'un produit d'intégration des identités ou peut être implémentée dans un produit autonome. Les caractéristiques à étudier lors de l'évaluation de produits d'attribution de privilèges d'accès sont semblables à celles relatives à un produit d'intégration des identités. La possibilité de prise en charge de différents niveaux de workflow est également une fonction importante dans l'attribution des privilèges d'accès.
Sélection d'une plate-forme d'applications
Les environnements de développement d'applications sont connus pour bien s'intégrer à leur plate-forme native, cependant l'intégration à d'autres plates-formes est plus difficile. Pour cette raison, le choix de votre organisation en matière de plate-forme d'applications dépendra très probablement du choix de la plate-forme d'insfrastructure pour les serveurs d'application de votre environnement.
De nombreuses organisations choisissent de développer ou de gérer des applications sur deux plates-formes ou plus. Pour ces organisations, il est essentiel de comprendre comment des applications hétérogènes peuvent interagir en utilisant des protocoles communs et en tirant parti des services d'infrastructure communs. Il faut éviter de choisir une plate-forme d'applications qui ne s'intègre pas bien ou ne peut pas interagir avec d'autres plates-formes. Les fournisseurs de plates-formes d'applications doivent garantir l'interopérabilité de leurs produits et prendre les mesures qui s'imposent pour la rendre possible.
Plate-forme Microsoft de gestion des identités et des accès
Les sections suivantes de ce chapitre décrivent les produits et les technologies principaux qui composent la plate-forme Microsoft de gestion des identités et des accès, ainsi que les avantages que celle-ci apporte à une organisation.
Services d'annuaire
Microsoft Windows Server™ 2003 comprend la prise en charge du service d'annuaire Microsoft Active Directory® et d'un service d'annuaire d'application appelé ADAM (Active Directory Application Mode). La figure suivante illustre le rôle central joué par Active Directory et son intégration à d'autres technologies Microsoft et ISV.
.gif)
Figure 2.1. Intégration d'Active Directory à d'autres composants réseau
Active Directory
Active Directory possède les fonctions suivantes, qui en font un outil approprié pour les services d'annuaire intranet et extranet :
Un emplacement central pour l'administration réseau et la délégation de l'autorité administrative. Les administrateurs ont accès aux objets représentant tous les utilisateurs, périphériques et ressources réseau ; ils peuvent également regrouper des objets pour simplifier la gestion et appliquer des stratégies de sécurité et de groupe.
Sécurité des informations et fonction SSO pour l'accès utilisateur aux ressources réseau. L'intégration étroite à la sécurité élimine l'opération coûteuse de suivi des comptes pour l'authentification et l'autorisation entre les systèmes. Une combinaison unique d'un nom d'utilisateur et d'un mot de passe permet d'identifier chaque utilisateur réseau, et cette identité suit l'utilisateur dans l'ensemble du réseau.
Évolutivité. Active Directory comprend un ou plusieurs domaines, chacun possédant un ou plusieurs contrôleurs de domaine, et permettant de faire évoluer l'annuaire en fonction des besoins du réseau.
Recherche globale et flexible. Les utilisateurs et les administrateurs peuvent utiliser des outils de bureau pour effectuer une recherche dans Active Directory. Par défaut, les recherches sont dirigées vers le catalogue global, qui fournit des fonctions de recherche à l'échelle de la forêt.
Stockage des données d'application. Active Directory fournit un emplacement central pour stocker les données partagées entre plusieurs applications et pour les applications qui doivent répartir leurs données sur des réseaux Windows entiers.
Synchronisation systématique des mises à jour d'annuaire. Les mises à jour sont réparties dans l'ensemble du réseau via une réplication sûre et économique entre les contrôleurs de domaine.
Administration à distance. Vous pouvez vous connecter à n'importe quel contrôleur de domaine à distance depuis n'importe quel ordinateur Windows sur lequel sont installés des outils d'administration. Vous pouvez également utiliser la fonction Bureau à distance pour vous connecter à un contrôleur de domaine depuis un ordinateur distant.
Schéma unique, modifiable et extensible. Le schéma est un ensemble d'objets et de règles qui fournissent les exigences de structure pour les objets Active Directory. Vous pouvez modifier le schéma pour implémenter de nouveaux types d'objets ou propriétés d'objet.
Intégration de noms d'objet au système DNS (Domain Name System), le système de localisation d'ordinateurs selon la norme Internet. Active Directory utilise le système DNS pour implémenter un système de dénomination basé sur l'adresse IP afin que ses services et contrôleurs de domaine puissent être localisés à partir d'une adresse IP standard à la fois sur les réseaux intranet et sur Internet.
Prise en charge LDAP. Le protocole LDAP (Lightweight Directory Access Protocol) est le protocole d'accès aux annuaires normalisé. Il rend Active Directory extrêmement accessible aux applications de gestion et de requête. Active Directory prend en charge les protocoles LDAPv3 et LDAPv2.
ADAM
Le mode ADAM (Active Directory Application Mode) présente les caractéristiques suivantes qui en font l'outil idéal pour les services d'annuaire d'applications :
Facilité de déploiement. Les développeurs, les utilisateurs finaux et les ISV peuvent facilement déployer le mode ADAM en tant que service d'annuaire léger sur la plupart des plates-formes Windows Server 2003 et sur les clients travaillant sous Microsoft Windows® XP Professionnel. Vous pouvez également installer, réinstaller ou supprimer facilement l'annuaire d'application ADAM, ce qui rend le service d'annuaire idéal à déployer avec une application.
Réduction des coûts d'infrastructure. En utilisant une seule technologie d'annuaire pour répondre à vos besoins en matière de système d'exploitation réseau (NOS) et d'annuaire d'applications, vous pouvez réduire vos coûts d'infrastructure globaux. Cela évite tout investissement supplémentaire pour la formation, l'administration ou la gestion de l'annuaire de votre application.
Interfaces de programmation d'application (API) normalisées. Le protocole LDAP, les interfaces ADSI (Active Directory Service Interfaces) et le langage DSML (Directory Services Markup Language) sont implémentés à la fois dans ADAM et dans Active Directory. Ces fonctions vous permettent de générer des applications sous ADAM, puis de les migrer vers Active Directory le cas échéant, en apportant les modifications strictement nécessaires.
Sécurité renforcée. Étant donné qu'ADAM est intégré au modèle de sécurité Windows, toute application qui utilise ADAM peut authentifier les accès en se référant à Active Directory dans l'ensemble de l'entreprise.
Flexibilité accrue. Le propriétaire d'une application peut facilement déployer des applications utilisant des annuaires sans affecter le schéma d'annuaire de l'organisation entière, tout en continuant à utiliser les informations d'identification et d'identité enregistrées dans l'annuaire NOS de l'organisation.
Fiabilité et évolutivité. Les applications qui utilisent ADAM affichent une fiabilité, une évolutivité et des performances identiques à celles montrées lors de déploiements d'Active Directory dans l'environnement NOS.
Pour plus d'informations sur ADAM, téléchargez le livre blanc "Active Directory Application Mode - Présentation"
Services de sécurité
Les services de sécurité sont étroitement intégrés aux serveurs d'applications Windows, aux systèmes d'exploitation clients Windows et aux ordinateurs sur lesquels Windows 2000 Server et Windows Server 2003 font office de contrôleurs de domaine :
Le protocole Kerberos version 5 prend en charge l'authentification, y compris les API utilisées par les applications client/serveur, ainsi qu'un centre de distribution de clés Kerberos qui est intégré à Active Directory.
L'interface SSPI (Security Support Provider Interface) de Microsoft est une API commune bien définie permettant d'obtenir des services de sécurité intégrés pour l'authentification, l'intégrité des messages, la confidentialité des messages et la qualité de la sécurité du service pour n'importe quel protocole d'application distribué.
Le serveur de certificats de clé publique basé sur X.509 créé dans Windows Server permet aux organisations d'émettre des certificats de clé publique pour l'authentification à l'attention des utilisateurs, sans passer par les services d'autorité de certification commerciaux.
Les types SSL (Secure Socket Layer) et TLS (Transport Layer Security) utilisent des certificats numériques X.509 client/serveur pour prendre en charge une authentification solide et mutuelle et sécuriser les communications.
Les cartes à puce offrent un espace de stockage infalsifiable permettant de protéger les clés privées, les numéros de compte, les mots de passe et d'autres formes de données personnelles. Elles constituent un composant clé de l'infrastructure de clés publiques que Microsoft intègre à la plate-forme Windows®.
Microsoft Passport fournit une fonction SSO à l'utilisateur pour l'authentification client aux applications extranet d'une organisation.
Listes ACL (Access Control Lists) sur les ressources statiques. Le modèle de sécurité basé sur les objets de Microsoft Windows Server™ permet aux administrateurs d'accorder à un utilisateur ou à un groupe des droits qui régissent l'accès à un objet spécifique.
Le gestionnaire d'autorisations prend en charge RBAC dans les applications personnalisées.
Remarque Le gestionnaire d'autorisations est compris dans Windows Server 2003, mais pour l'utiliser avec Windows 2000 Server, vous devez le télécharger et l'installer sur la page Windows 2000 Authorization Manager Runtime
L'audit de sécurité permet d'apporter des modifications aux objets d'annuaire et aux événements d'accès qui seront signalés dans le journal des événements de sécurité.
Services d'intégration d'identité
Microsoft Identity Integration Server 2003, Édition Entreprise avec Service Pack 1 (MIIS 2003 avec SP1) comprend les fonctions suivantes que vous pouvez utiliser pour optimiser la gestion des identités et des accès dans l'ensemble de l'organisation :
agrégation et synchronisation des identités et attribution de privilèges d'accès sur plusieurs stockages d'identité hétérogènes ;
agents de gestion pour la connexion à plusieurs stockages d'identité, notamment les services d'annuaire, les bases de données et les systèmes de messagerie ;
gestion et synchronisation des mots de passe, y compris une application Web en libre-service pour les réinitialisations de mot de passe ;
pas d'espace requis pour les connecteurs sur les stockages d'identité connectés ;
traitement de la synchronisation basé sur l'état ou sur les événements ;
extensibilité simple via l'environnement de programmation Microsoft Visual Studio® .NET.
Une version réduite de l'ensemble de fonctionnalités appelé Identity Integration Feature Pack for Active Directory fournit les éléments suivants :
- agents de gestion pour Active Directory, ADAM et la synchronisation de la liste d'adresses globale ;
Système d'exploitation client
Les organisations qui normalisent l'utilisation de Windows XP Professionnel vont profiter des avantages suivants :
prise en charge de l'authentification intégrée à Windows avec des services de plates-formes pour fournir la fonction SSO au niveau des services d'applications Web, de l'impression et des fichiers ;
stratégie de groupe niveau de domaine permettant de mettre en place une sécurité accrue ;
fonctions SSO supplémentaires entre différentes organisations qui utilisent des mots de passe, des certificats numériques X.509 et des comptes Microsoft Passport via le gestionnaire d'informations d'identification de Windows.
Plate-forme de développement
Microsoft Visual Studio.NET et .NET Framework permettent d'effectuer les tâches suivantes :
développer les applications sensibles à l'identité qui tirent parti de la plate-forme Microsoft de gestion des identités et des accès ;
réduire les coûts de développement des applications..
Avantages de la plate-forme
L'implémentation de la plate-forme Microsoft de gestion des identités et des accès avec la solution décrite aux chapitres suivants de ce document permettront à Contoso d'obtenir les résultats suivants :
Une source de confiance, unique et sécurisée d'informations d'identité. Les administrateurs possèdent une vision fiable et actuelle de l'ensemble des applications et systèmes, ainsi que des utilisateurs et de leurs habilitations.
Intégration homogène des applications. La plate-forme de développement Microsoft fournit des mécanismes d'authentification, d'autorisation et de protection des données sécurisés et normalisés.
Amélioration de la sécurité et de l'attribution de privilèges d'accès. Les identités présentes sur plusieurs systèmes de l'organisation relatives aux employés, clients ou collaborateurs sont supprimées dès que leur relation avec l'organisation prend fin.
Administration simplifiée et coûts d'administration réduits. Les administrateurs peuvent ajouter, modifier et supprimer des identités numériques et des habilitations de façon simple, rapide et centralisée.
Contrôle d'accès de niveau fin. Les administrateurs peuvent contrôler de façon plus précise les ressources auxquelles un utilisateur peut accéder, les actions qu'il peut entreprendre sur ces ressources et la façon dont les stratégies de sécurité s'appliquent aux utilisateurs et aux ressources à un niveau détaillé.
Moins de mots de passe et meilleure gestion des mots de passe. Les utilisateurs peuvent accéder à des applications de façon plus pratique et le personnel du support technique passera moins de temps à gérer les problèmes de mot de passe.
Intéroperabilité entre les systèmes d'identité et les systèmes d'exploitation. La solution fournit l'interopérabilité via un accès et des mécanismes d'authentification normalisés qui réduisent le temps d'intégration et d'administration de systèmes multiples.
Audit sécurisé et fiable. L'audit fournit une trace nécessaire pour indiquer toutes les informations relatives à la consultation des ressources sur le réseau.
Gestion des informations d'identification locales. Protection solide des informations d'identification de mot de passe stockées localement à l'aide du gestionnaire d'informations d'identification de Windows.
Alors que la plate-forme fournit des services essentiels nécessaires à la gestion des identités et des accès, plusieurs solutions doivent être implémentées dans la plate-forme pour bénéficier de tous ces avantages. Dans ce document, le chapitre 4, « Conception de l'infrastructure », aborde ces solutions.
Télécharger
Téléchargez le kit Microsoft de gestion des identités et des accès
Notifications de mise à jour
Abonnez-vous aux mises à jour et aux nouvelles versions
Commentaires