Microsoft met à disposition la Beta 2 de CardSpace 2.0.
Pour rappel, CardSpace est le composant pour que les utilisateurs finaux puissent accéder à des applications dont l’authentification a été développée selon le modèle « Claims ».
Téléchargement de la Beta 2 [ ici ]
Cette version 2.0 nécessite Windows Vista ou Windows 7.
Microsoft met à disposition le SP1 pour ILM 2007 FP1 – il s’agit donc de ILM 2007 FP1 SP1… Le service pack est téléchargeable ici [ Téléchargement de ILM 2007 FP1 SP1 ] – Au delà de fournir un package reprenant l’ensemble des correctifs sortis depuis le FP1, ce service pack permet surtout d’utiliser GALSync Management Agent ou un agent Active Directory personnalisé pour réaliser le provisioning vers Exchange Server 2010.
Pour utiliser cette fonctionnalité, les conditions suivantes doivent être remplies :
Pour effectuer le provisionnement de boîtes aux lettres pour Exchange Server 2010, il faut utiliser le code qui appelle la méthode ExchangeUtils.CreateMailbox ou un autre code personnalisé. Il faut veiller à ajouter l’attribut msExchHomeServerName dans le code de mise en service pour créer une boîte aux lettres.
Larry Ellison s’apprête a donner le ton et fournir la roadmap officielle des produits Sun le 27/01/2010. En effet, de nombreux observateurs restent très circonspects quant au lourd silence qui entour le destin de nombreux produits portés par Sun microsystems. Nous pensons bien évidement particulièrement au destin assombri de MySQL, mais la dualité des équipes produits IAM chez Oracle et chez Sun depuis de nombreuses années posent quelques interrogations. En effet, malgré un investissement lourd de la part d’Oracle dans le domaine de la gestion des identités, seuls quelques « Oracle addicts » ont vraiment déployé les solutions IAM d’Oracle. De son coté Sun apparait comme un éditeur expérimenté dans ce domaine, et proposant des solutions éprouvées et matures. De plus, les nombreux projets Open Source portés par Sun tels que OpenSSO ou OpenDS peuvent être menacés… Nous suivrons donc avec attention la présentation de mercredi prochain…
La maison blanche a choisi de nommer Howard Schmidt au poste de « White House Cybersecurity Coordinator », avec comme focus une action sur le vol d’identité au travers du réseau Internet. Cet ex employé de Microsoft a déjà travaillé en profondeur dans le domaine de la protection des identités numériques lors de sa mission chez l’éditeur.
Pour voir la présentation de Howard Schmidt:
{ merci à oliwek pour son commentaire 
}
Malgré le rachat par Oracle, les équipes de SUN semblent continuer le développement des logiciels OpenDS et OpenSSO. Il est vrai que ces deux briques sont des piliers essentiels de l’offre IAM de SUN et de son maintien sur le marché de la gestion des identités. La version 2.2 d’OpenDS peut être téléchargée sur le site web du projet et propose les nouveautés suivantes:
# Fonctions supplémentaires pour le panneau de configuration graphique:
# Amélioration du mécanisme de réplication:
# Amélioration du mécanisme d’import depuis LDIF, dans le cas d’import en masse
# Amélioration du support des syntaxes et des règles(subsititution, expressions régulières, temps relatif, etc…)
# Amélioration du temps de traitement prou la construction de l’index des entrées dans des cas avec des annuaires très chargés
Il est clair que l’on perçoit très vite que l’objectif de SUN est de produire le meilleur annuaire possible en terme de performance et de gestion de la charge dans des environnements à très grand nombre d’entrées dans l’annuaire. En effet, ce fut l’un des écueils de SUNone. L’évolution de OpenDS et surtout les différentes décisions d’Oracle quand à la stratégie à appliquer vont nous fournir plus de lisibilité sur ce marché dans les mois à venir.
Microsoft annonce l’acquisition « surprise » de la société Sentillion, par cette acquisition, Microsoft fait d’une pierre deux coups:
Il y a pour l’instant aucune visibilité sur l’intégration à court terme au sein des solutions Microsoft ni sur la disponibilité des solutions en dehors des Etats-Unis, mais il sera extrêmement intéressant de suivre cela pendant les deux prochaines années…
Sortie officielle de FreeBSD 8.0.
Avec l’arrivée de Windows 7 et de FreeBSD 8.0, l’année est plutôt exceptionnelle en ce qui concerne les mises à jour des systèmes d’exploitation !!! Franchement, de la même façon que je suis vraiment épaté par Windows 7, j’avoue être super fan de FreeBSD 8.0; comme quoi, avec un peu d’ouverture d’esprit, on trouve des choses intéressante de part et d ‘autre…
Au rayon des nouveautés:
Pour télécharger cette nouvelle mouture direction le site FTP de FreeBSD.org
Comme chaque année, le « Consortium Kerberos », géré en grande partie par le MIT, a organisé une grande conférence sur le protocole kerberos et ses évolutions. Des pointures mondiales telles que Kim Cameron étaient présentes et ont réalisé des démonstrations de grande qualité. Ce fut également l’occasion de révéler les nouveauté de la version 1.8 de la libraire Kerberos. La présentation sur la cohabitation OpenLDAP/royaume Kerberos est particulièrement intérressante car elle démontre bien à quel point il est complexe d’allier les deux systèmes.
Pour visualiser ou télécharger les présentations: http://www.kerberos.org/events/2009conf/ - les nouveautés de la version 1.8 de la libraire kerberos sont présentées sur le WiKi du Kerberos consortium: http://k5wiki.kerberos.org/wiki/Release_1.8
Le Gartner organise le 4ème « Identity & Access Management Summit 2010″ à Londres les 3 et 4 Mars 2010. Il y aura de nombreux intervenants sur les sujets chauds du moment en ce qui concerne la gestion des identités. Il vous en coutera 2195 € HT pour assister à ces présentations, mais elles devraient être de qualité. Néanmoins, il faut toujours prendre les informations et surtout les « prévisions » fournies par les instituts de type Gartner avec de « grosses pincettes » – en effet, il est amusant de ré-ouvrir quelques anciennes prévisions du gartner pour vérifier si tout est réalisé avec le temps… c’est généralement très instructif et… amusant
Plus d’information sur: http://europe.gartner.com/iam
Si vous etes déjà client du Gartner, vous pouvez envoyez un email directement à emea.events@gartner.com pour obtenir des renseignements personnalisés.
Cette vidéo illustre la possibilité d’utiliser Active Directory et l’autorité de certification de Microsoft en tant que briques d’infrastructure centralisatrices pour l’utilisation des carte à puces de type Gemalto .NET dans des environnements mixtes de type Macintosh ou Microsoft. Cette possibilité est fournit grâce à l’utilisation combinée des drivers PKCS#11 et de la solution Centrify DirectControl:
Les sociétés RSA et Courion annoncent leur nouveau partenariat avec notamment la création d’un site dédié: www.identityandaccessassurance.com et la mise à disposition de livres blancs traitants de la gestion des identités et des accès. Les bases de ce partenariat puisent essentiellement leurs racines dans l’intégration de la gestion des tokens RSA directement depuis le portail des gestion des identités et du module de provisionnent proposés par Courion.
Il y a fort à parier que des rapprochements de ce types vont se réaliser dans le futur, avec peut être certains rachats de sociétés afin pour les poids lourds de proposer une offre globale.
10 conseils de la CNIL pour sécuriser votre système d’information: La loi « informatique et libertés » impose que les organismes mettant en œuvre des fichiers garantissent la sécurité des données qui y sont traitées. Cette exigence se traduit par un ensemble de mesures que les détenteurs de fichiers doivent mettre en œuvre, essentiellement par l’intermédiaire de leur direction des systèmes d’information (DSI) ou de leur responsable informatique. Il apparait clairement que la gestion des identités et des accès est au coeur de la sécurité du système d’information. Voici la liste des 10 recommendations de la CNIL:
1. Adopter une politique de mot de passe rigoureuse
L’accès à un poste de travail informatique ou à un fichier par identifiant et mot de passe est la première des protections. Le mot de passe doit être individuel, difficile à deviner et rester secret. Il ne doit donc être écrit sur aucun support. La DSI ou le responsable informatique devra mettre en place une politique de gestion des mots de passe rigoureuse : un mot de passe doit comporter au minimum 8 caractères incluant chiffres, lettres et caractères spéciaux et doit être renouvelé fréquemment (par exemple tous les 3 mois). Le système doit contraindre l’utilisateur à choisir un mot de passe différent des trois qu’il a utilisés précédemment. Généralement attribué par l’administrateur du système, le mot de passe doit être modifié obligatoirement par l’utilisateur dès la première connexion. Enfin, les administrateurs des systèmes et du réseau doivent veiller à modifier les mots de passe qu’ils utilisent eux-mêmes.
2. Concevoir une procédure de création et de suppression des comptes utilisateurs
L’accès aux postes de travail et aux applications doit s’effectuer à l’aide de comptes utilisateurs nominatifs, et non « génériques » (compta1, compta2…), afin de pouvoir éventuellement être capables de tracer les actions faites sur un fichier et, ainsi, de responsabiliser l’ensemble des intervenants. En effet, les comptes « génériques » ne permettent pas d’identifier précisément une personne. Cette règle doit également s’appliquer aux comptes des administrateurs systèmes et réseaux et des autres agents chargés de l’exploitation du système d’information.
3. Sécuriser les postes de travail
Les postes des agents doivent être paramétrés afin qu’ils se verrouillent automatiquement au-delà d’une période d’inactivité (10 minutes maximum) ; les utilisateurs doivent également être incités à verrouiller systématiquement leur poste dès qu’ils s’absentent de leur bureau. Ces dispositions sont de nature à restreindre les risques d’une utilisation frauduleuse d’une application en cas d’absence momentanée de l’agent du poste concerné. Par ailleurs, le contrôle de l’usage des ports USB sur les postes « sensibles », interdisant par exemple la copie de l’ensemble des données contenues dans un fichier, est fortement recommandé.
4. Identifier précisément qui peut avoir accès aux fichiers
L’accès aux données personnelles traitées dans un fichier doit être limité aux seules personnes qui peuvent légitimement y avoir accès pour l’exécution des missions qui leur sont confiées. De cette analyse, dépend « le profil d’habilitation » de l’agent ou du salarié concerné. Pour chaque mouvement ou nouvelle affectation d’un salarié à un poste, le supérieur hiérarchique concerné doit identifier le ou les fichiers auxquels celui-ci a besoin d’accéder et faire procéder à la mise à jour de ses droits d’accès. Une vérification périodique des profils des applications et des droits d’accès aux répertoires sur les serveurs est donc nécessaire afin de s’assurer de l’adéquation des droits offerts et de la réalité des fonctions occupées par chacun.
5. Veiller à la confidentialité des données vis-à-vis des prestataires
Les interventions des divers sous-traitants du système d’information d’un responsable de traitement doivent présenter les garanties suffisantes en terme de sécurité et de confidentialité à l’égard des données auxquels ceux-ci peuvent, le cas échéant, avoir accès. La loi impose ainsi qu’une clause de confidentialité soit prévue dans les contrats de sous-traitance. Les éventuelles interventions d’un prestataire sur des bases de données doivent se dérouler en présence d’un salarié du service informatique et être consignées dans un registre. Les données qui peuvent être considérées « sensibles » au regard de la loi, par exemple des données de santé ou des données relatives à des moyens de paiement, doivent au surplus faire l’objet d’un chiffrement.
« A noter » : l’administrateur systèmes et réseau n’est pas forcément habilité à accéder à l’ensemble des données de l’organisme. Pourtant, il a besoin d’accéder aux plates-formes ou aux bases de données pour les administrer et les maintenir. En chiffrant les données avec une clé dont il n’a pas connaissance, et qui est détenue par une personne qui n’a pas accès à ces données (le responsable de la sécurité par exemple), l’administrateur peut mener à bien ses missions et la confidentialité est respectée.
6. Sécuriser le réseau local
Un système d’information doit être sécurisé vis-à-vis des attaques extérieures.
Un premier niveau de protection doit être assuré par des dispositifs de sécurité logique spécifiques tels que des routeurs filtrants (ACL), pare-feu, sonde anti intrusions, etc. Une protection fiable contre les virus et logiciels espions suppose une veille constante pour mettre à jour ces outils, tant sur le serveur que sur les postes des agents. La messagerie électronique doit évidemment faire l’objet d’une vigilance particulière. Les connexions entre les sites parfois distants d’une entreprise ou d’une collectivité locale doivent s’effectuer de manière sécurisée, par l’intermédiaire des liaisons privées ou des canaux sécurisés par technique de « tunneling » ou VPN (réseau privé virtuel). Il est également indispensable de sécuriser les réseaux sans fil compte tenu de la possibilité d’intercepter à distance les informations qui y circulent : utilisation de clés de chiffrement, contrôle des adresses physiques des postes clients autorisés, etc. Enfin, les accès distants au système d’information par les postes nomades doivent faire préalablement l’objet d’une authentification de l’utilisateur et du poste. Les accès par internet aux outils d’administration électronique nécessitent également des mesures de sécurité fortes, notamment par l’utilisation de protocoles IPsec, SSL/TLS ou encore HTTPS.
« A noter » : Un référentiel général de sécurité, relatif aux échanges électroniques entre les usagers et les autorités administratives (ordonnance 2005-1516), doit voir le jour prochainement (voir projet sur le site http://www.ssi.gouv.fr/). Il imposera à chacun des acteurs des mesures de sécurité spécifiques.
7. Sécuriser l’accès physique aux locaux
L’accès aux locaux sensibles, tels que les salles hébergeant les serveurs informatiques et les éléments du réseau, doit être limité aux personnels habilités. Ces locaux doivent faire l’objet d’une sécurisation particulière : vérification des habilitations, gardiennage, portes fermées à clé, digicode, contrôle d’accès par badge nominatifs, etc. La DSI ou le responsable informatique doit veiller à ce que les documentations techniques, plans d’adressages réseau, contrats, etc. soient eux aussi protégés.
8. Anticiper le risque de perte ou de divulgation des données
La perte ou la divulgation de données peut avoir plusieurs origines : erreur ou malveillance d’un salarié ou d’un agent, vol d’un ordinateur portable, panne matérielle, ou encore conséquence d’un dégât des eaux ou d’un incendie. Il faut veiller à stocker les données sur des espaces serveurs prévus à cet effet et faisant l’objet de sauvegardes régulières. Les supports de sauvegarde doivent être stockés dans un local distinct de celui qui héberge les serveurs, idéalement dans un coffre ignifugé. Les serveurs hébergeant des données sensibles ou capitales pour l’activité l’organisme concerné doivent être sauvegardés et pourront être dotés d’un dispositif de tolérance de panne. Il est recommandé d’écrire une procédure « urgence – secours » qui décrira comment remonter rapidement ces serveurs en cas de panne ou de sinistre majeur. Les supports nomades (ordinateurs portables, clé USB, assistants personnels etc.) doivent faire l’objet d’une sécurisation particulière, par chiffrement, au regard de la sensibilité des dossiers ou documents qu’ils peuvent stocker. Les matériels informatiques en fin de vie, tels que les ordinateurs ou les copieurs, doivent être physiquement détruits avant d’être jetés, ou expurgés de leurs disques durs avant d’être donnés à des associations. Les disques durs et les périphériques de stockage amovibles en réparation, réaffectés ou recyclés, doivent faire l’objet au préalable d’un formatage de bas niveau destiné à effacer les données qui peuvent y être stockées.
9. Anticiper et formaliser une politique de sécurité du système d’information
L’ensemble des règles relatives à la sécurité informatique doit être formalisé dans un document accessible à l’ensemble des agents ou des salariés. Sa rédaction requiert l’inventaire préalable des éventuelles menaces et vulnérabilités qui pèsent sur un système d’information. Il convient de faire évoluer régulièrement ce document, au regard des modifications des systèmes et outils informatiques utilisés par l’organisme concerné. Enfin, le paramètre « sécurité » doit être pris en compte en amont de tout projet lié au système d’information.
10. Sensibiliser les utilisateurs aux « risques informatiques » et à la loi « informatique et libertés »
Le principal risque en matière de sécurité informatique est l’erreur humaine. Les utilisateurs du système d’information doivent donc être particulièrement sensibilisés aux risques informatiques liés à l’utilisation de bases de données. Cette sensibilisation peut prendre la forme de formations, de diffusion de notes de service, ou de l’envoi périodique de fiches pratiques. Elle sera également formalisée dans un document, de type « charte informatique », qui pourra préciser les règles à respecter en matière de sécurité informatique, mais aussi celles relatives au bon usage de la téléphonie, de la messagerie électronique ou encore d’internet. Ce document devrait également rappeler les conditions dans lesquelles un salarié ou un agent peut créer un fichier contenant des données personnelles, par exemple après avoir obtenu l’accord de son responsable, du service juridique ou du CIL de l’entreprise ou de l’organisme dans lequel il travaille.
Ce document doit s’accompagner d’un engagement de responsabilité à signer par chaque utilisateur.
Microsoft annonce la disponibilité de la RC1 de FIM 2010 (Forefront Identity Manager 2010). Cette nouvelle release propose des changements majeurs en terme fonctionel. La RC1 est disponible en téléchargement ICI. Voici les nouveautés par rapport à la RC0 d’ILM:
Il n’y a plus qu’à tester !!!
L’Identity Management Institute est à l’origine de la création de deux certifications dans le domaine de l’Identity Management. L’attribution des certifications CIRM et CIPA se réalise globalement sur le même principe que le CISSP proposé par l’ISC2 dans le domaine de la sécurité. Alors que la certification CIRM (Certified Identity Risk Manager) est portée vers l’aspect fonctionnel et sur l’approche projet liée à la gestion des identités dans les entreprises, la certification CIPA ( Certified Identity Protection Advisor ) est orientée gouvernance des risques en aval de l’implémentation du système de gestion des identités. Ces deux formations et certifications sont bien évidement complémentaires. Même si ces certifications ne sont ni connues, ni reconnues en dehors des Etats-Unis, il s’agit là d’une ébauche remarquable pour standardiser un marché et des connaissances qui en ont bien besoin… Il reste à noter que cet institut de certification est fortement « sponsorisé » par quels acteurs du marché, ce qui pourrait à terme, mettre en doute son indépendance sur les processus proposés comme état de standard dans ses certifications.
Sun a mis en ligne un jeux pour permettre aux visiteurs de devenir un « identity hero », en accumulant les points par la réalisation de taches d’administration comme le « user provisioning » ou le « password management »…. c’est vraiment bien réalisé, bourré d’humour et tout à fait sympatique. De plus, cela ne sert à rien, c’est donc indispensable…
A vous de faire chauffer vos clavier pour devenir un Identity hero !!! sur http://identityhero.sun.com/
C’est avec un grand enthousiasme que j’ai pu tester aujourd’hui la dernière version de MAC OS X, portant le numéro de version 10.6, autrement appelé « Snow Leopard ». Malheureusement les conclusions étaient beaucoup moins excitantes que les magnifiques illustrations en couverture de la « box ».
En effet, si de nombreuses nouveautés interresseront les spécialistes de La Pomme, telles que Producer 2, la gestion des Iphone, etc… ou les entreprises utilisant Exchange Server avec un support avancé des fonctionnalité de type Groupware, la partie annuaire est le parent pauvre de cette release… En effet, aucune nouveauté digne de ce nom à l’horizon. Est ce qu’Apple a définitivement jeter l’éponge de la gestion des identités, même pour ses propres OS et utilisateurs, c’est bien possible…
Bref des nouveautés interressantes pour les graphistes, les utilisateurs d’Exchange Server…des améliorations en terme de performance et d’ergonomie (notables sur le WiFi)… des améliorations importantes pour les utilisateurs « historiques » de la marque, mais assez peu de nouveautés donnant l’envie de remplacer son annuaire d’entreprise par un léopard…même des neiges…
Gérer le cycle des identités en prenant en compte les modules OTP, tel est le challenge de cette vidéo qui démontre comment intégrer le provisioning des modules OTP Gemalto, et comment les associer à un utilisateur physique depuis un processus Forefront Identity Manager 2010.
Depuis une dizaine d’années de nombreuses organisations ont investi dans les technologies « One Time Password » (OTP) afin de sécuriser les accès VPN ou les accès à des applications sensibles telles que Outlook Web Access par exemple. Mais la création du Token OTP et son association avec l’utilisateur physique nécessitait généralement une intégration complexe dans le système de gestion des identités de l’entreprise ou une procédure manuelle couteuse et génératrice d’erreurs. L’association de FIM 2010 et des solutions Gemalto Protiva semble pouvoir couvrir ce problème récurrent.
J’ai assisté il y a quelques semaines à une présentation de Novell France sur le sujet des nouveautés autour de Open Entreprise Server 2.
Présentation à la fois talentueuse de la part des présentateurs et extrèmement intéressante sur le contenu lui-même.
Pendant cette présentation, la solution qui a le plus attiré mon attention est sans conteste » Domain Services for Windows ».
Voilà comment Novell France présente ce service sur son site web:
Domain Services pour Windows rationalise la gestion des utilisateurs et des groupes, tout en simplifiant l’infrastructure des environnements hétérogènes. Grâce à cette technologie novatrice, les utilisateurs de Microsoft Windows ont accès aux services OES par le biais des protocoles Windows et Active Directory en natif. En effet, elle permet aux serveurs eDirectory exécutés sous Open Enterprise Server de se comporter comme des serveurs Active Directory. Ainsi, les entreprises peuvent déployer ces deux services Annuaire et optimiser la coexistence entre les deux plates-formes. En d’autres termes, les utilisateurs peuvent travailler dans un environnement de bureau exclusivement Windows tout en continuant à tirer parti de la technologie et des services dorsaux d’Open Enterprise Server, sans même avoir besoin d’installer un client Novell sur leur poste de travail.
La tâche des administrateurs s’en trouve également simplifiée car ils peuvent gérer les utilisateurs et les groupes avec Novell iManager ou MMC (Microsoft Management Console). En outre, les administrateurs réseau sont capables d’utiliser les outils dont chaque serveur dispose en natif pour gérer les systèmes de fichiers, et de centraliser l’administration des partages Samba sur les serveurs OES Linux/DSFW via iManager. De plus, MMC permet aux administrateurs de créer des listes d’approbation unidirectionnelles entre les domaines DSFW et Active Directory.
Domain Services pour Windows prend en charge le verrouillage multi-protocoles lorsqu’il est déployé dans un environnement exploitant le protocole NCP (NetWare Core Protocol). Que les clients choisissent d’utiliser des clients Windows, NCP ou les deux, les fichiers sont soumis aux droits d’accès du Novell Storage Services (NSS).
Domain Services pour Windows n’est ni un méta-annuaire ni un connecteur de synchronisation entre eDirectory et Active Directory. Il ne s’agit pas non plus d’un émulateur de bureau. Domain Services pour Windows est uniquement exploitable sur les déploiements d’Open Enterprise Server 2 SP1 sous SUSE Linux Enterprise.
Le principe est assez étonnant, il s’agit d’une émulation du service Active Directory sur un serveur SUSE. Mais là où SAMBA s’arrete à une émulation de type NT.4, le service de Novell permet une véritable intégration Active Directory, gérable par la MMC Microsoft comme si il s’agissait d’un véritable Active Directory. D’après Novell, il est tout a fait possible de mixer des DCs Windows avec des DCs émulés par ce service au sein de la même forêt.
Des tests ont été réalisés avec SharePoint, qui serait une application compatible avec ce service, mais à priori, certaines applications comme Exchange Server ne sont pas encore supportée. Donc méfiance… Des tests s’imposent. Quoi qu’il en soit, la démonstration été bluffante et l’idée de Novell tout à fait novatrice, du moins dans l’implémentation.
Je testerai personnellement ce service très prochainement et posterai les résultats sur ce blog.
Exit ILM V2, c’est sous le nom de Forefront Identity Manager 2010 (FIM 2010) que Microsoft lancera très prochainement (Q1 2010 ?) la nouvelle mouture de sa suite de gestion des identités et des accès.
Ce changement de nom retranscrit il un virage « sécuritaire » de la vision de Microsoft sur le segment de la gestion des identités ? Ce qui est certain, c’est que la sortie de FIM 2010 coïncide avec un besoin croissant de la part des entreprises à gérer de façon efficace le cycle de vie des utilisateurs ainsi que les habilitations de chaque utilisateur au sein des processus métier: L’intégration de FIM avec .NET et WS-* permettra de réaliser des portails web utilisateurs et des workflow d’approbation de façon extrêmement simple pour la plupart des administrateurs et des gestionnaires de « provisioning »dans l’ensemble des organisations.
La migration NIS est une des problématiques majeures de l’ensemble des grands groupes que j’ai pu rencontrer. En effet, les domaines NIS ou NIS+ ne sont plus supportés par SUN, l’inventaire du protocole. De plus, le protocole d’authentification NIS n’étant pas sécurisé (en fait, vraiment pas sécurisé…), il est important de migrer pour des raisons sécuritaires ou pour des besoins de compatibilité SOX ou PCI.
Classiquement, le premier réflexe est d’imaginer migrer les informations contenues dans les domaines NIS ou NIS+ vers un annuaire LDAP. Après ce premier réflexe, les ennuis commencent… La première problématique étant bien évidemment la collision des UIDs. En effet, dans le monde réel (et pas celui de PowerPoint) un utilisateur physique unique possède plusieurs profils Unix en fonction du système sur lequel il doit se connecter, il est alors très compliqué de consolider potentiellement des dizaines d’UIDs vers un seul attribut UID stocké dans un annuaire LDAP.
C’est ici qu’Active Directory peut venir à l’aide des administrateurs ou architectes Unix !!! En effet, selon certaines conditions, il sera possible de migrer et conserver plusieurs UIDs dans l’annuaire Active Directory et ainsi conserver les accès aux ressources Unix sans modifier les UIDs sur l’ensemble des systèmes migrés.
Un site extrêmement bien construit www.nis-migration.com explique (en anglais) l’ensemble de la problématique et des possibilités techniques de la migration NIS -> Active Directory – Je reviendrais plus tard sur cette problématique très répandue dans les grands entreprises utilisant Unix ou Linux.
Google a annoncé que les utilisateurs des solutions Google Apps pourront s’authentifier sur des applications externes utilisant l’implémentation Google’s OpenID Federated Login API avec leur compte Google Apps.
Google devient ainsi fournisseur de « compte utilisateur » au format OpenID. Pour rappel, OpenID est une technologie SSO sécurisée qui est progressivement adoptée par de nombreux fournisseurs d’application ou de contenu sur Internet ou sur des applications d’entreprise.
Plus d’information sur OpenID [ ICI ]
SUN a annoncé la disponibilité de la version stable 2.0.0 de son annuaire OpenDS. OpenDS est un projet OpenSource ayant pour objectif de construire la nouvelle génération d’annuaire LDAP de chez SUN. OpenDS est basé sur les standard DSML et a été désigné pour supporter une quantité très importante de données et de transactions.
Pour la notion d’extensibilité de cet annuaire est le point le plus important. En effet, OpenDS a été construit pour permettre à des modules « externes » de venir se connecter au service d’annuaire et d’interagir avec lui. Une API est mise à disposition des futurs fournisseurs désirant développer des plug-ins additionnels sur l’annuaire.
La version 2.0.0 est téléchargeable [ ICI ]
Le WIKI du projet est consultable [ ICI ]
Ce document est basé sur une présentation réalisée par Kim Cameron au Microsoft PDC 2008 [ Microsoft Professional Developers Conference ] à Los Angeles en Novembre 2008.
Il est principalement orienté pour une audience de développeurs et d’architectes, mais il est « lisible » par toutes les personnes qui s’intéressent à la gestion des identités et des accès.
Vous découvrirez la vision stratégique de Microsoft sur ces sujets, notamment la future infrastructure Geneva et les prévisions autour des « Metasystem », qui représentent la vision des systèmes interopérables tel que l’imagine Microsoft .
Le livre pdf est téléchargeable [ ici ]
Mais que se passe t-il avec la version « 2″ d’ILM ?
Petit rappel des faits…
ILM 2007, la version actuelle de la suite de gestion des identités et des accès de Microsoft comporte en fait deux « anciens » produits du même éditeur, MIIS 2003 avec Feature Pack 1 + ex-CLM (CLM: produit qui n’a jamais vu le jour en tant que tel, mais qui a pourtant été dispo en Beta…)
Ces deux produits proviennent en fait du rachat de deux société, Zoomit pour MIIS et Alacris pour ex-CLM, preuve si en est besoin, qu’à une certaine époque Microsoft cherchait a se positionner de façon active sur le marché de la gestion des identités et des accès. Cela semblait en effet cohérent, le password étant « dead« , il est important d’associer la gestion des certificats et des cartes à puces (smartcard) dans une suite de gestion des identités digne de ce nom.
Mais où en sommes nous ? En effet, si nous regardons froidement les faits, Microsoft n’a pas fourni de mise à jour réelle de sa suite de gestion des identités depuis 2003, soit bientôt 7 ans ! Cela fait beaucoup pour une société qui ne nous a pas habitué a faire les choses à moitié. Il est de plus très surprenant de ne voir aucune communication officielle sur la sortie du tant annoncé « ILM V2″, solution de gestion des identités porteur de promesses fonctionnelles très intéressantes, mais qui ne sont pour l’instant que des vœux pieux tant qu’une véritable version RTM ne verra pas le jour.
Il y a donc pour moi deux alternatives.
1 – Microsoft jète l’éponge dans le domaine de la gestion des identités et des accès: connaissant quelque peu Microsoft cela semble plus que surprenant, surtout si on considère la portée hautement stratégique de ce type de solution dans le cadre des grand groupes internationaux: conquérir la gestion des identités et des accès, c’est un peu comme mettre le pied entre l’ouvrant et le dormant d’une porte…
2 – Microsoft prépare le rachat d’un « gros » fournisseur de gestion des identités et des accès. Et là, pas besoin de se poser des millions de questions, il y en a deux, ou plutot il y en avait deux qui étaient de taille « rachetable »: Novell et Sun. Le deuxième à déjà été l’objet d’une acquisition de la part d’Oracle, il ne reste donc que le second, Novell. Rajoutons à cela que les accords en terme d’interopérabilité sont très nombreux avec Novell, cela aurait du sens.
En conclusion, il serait donc de bon ton de la part de Microsoft de se positionner clairement sur le domaine de la gestion des identités et des accès, d’autant plus que la version RC d’ILM V2 a clairement démontré des fonctions extrêmement réussies en terme de développement, notamment pour ce qui est du portail web utilisateur permettant des services avancés de self-management.
Plus d’informations sur Microsoft Identity & Access Solutions.
L’équipe du MIT Kerberos a annoncé la disponibilité de la version 5 1.7 de la librairie Kerberos. Cette nouvelle version corrige un certain nombre de bugs, notamment pour les plate-formes Windows.
Pour les environnements Windows, voici la liste des modifications tel que présenté sur le site du MIT [ http://web.mit.edu/kerberos/krb5-1.7/ ]:
Les packages de la version 5 1.7 sont téléchargeables ici: http://web.mit.edu/kerberos/dist/index.html
Les Groupes Utilisateurs font leur show ! -La Communauté Active Directory et Identity Management -Interopérabilité Windows-Linux-Unix-MacL’intéropérabilité ! C’est ce thème d’actualité que traîte la Communauté Active Directory et Identity Management lors de cette web TV dédiée au Groupes Utilisateurs,les experts Sylvain Cortes ( Président de la CADIM ) et Christophe Dubos (Microsoft) en font un tour d’horizon des solutions pour gérer les authentifications et les autorisations des systèmes Unix, Linux et Mac dans Active Directory, tout cela en 17 min ! Profitez de l’expertise de ces deux intervenants !
Pour visualiser la WebTV c’est ici: http://www.microsoft.com/france/vision/Technet-tv/Webcast.aspx?eid=2ae18d77-d4a9-40e6-9402-24fabf8339be
Microsoft réalise la mise à jour de son site sur l’interopérabilité: http://www.microsoft.com/france/interop/
L’interopérabilité peut se définir de diverses manières. Il est communément admis qu’elle correspond à la capacité des produits et services informatiques disparates à échanger et à utiliser des données. Espérons simplement qu’il ne s’agisse pas que d’un site web mais d’une véritable volonté de l’éditeur de travailler avec des formats ouverts.
De façon très objective, cela semble être le cas, Microsoft semblant redoubler d’efforts pour contenter ses clients dans cette période économique difficile. Cela suffira t-il à pousser notre gendarmerie nationale a quitter OpenOffice pour Office 2010… rien n’est moins sur