Centrify débarque dans le monde du SSO Cloud et de la Fédération d’Identité avec une solution assez révolutionnaire en terme d’approche: Centrify DirectControl for SaaS.
En effet, l’idée est de réaliser ici depuis votre PC sous Windows, depuis votre Mac, depuis votre station Linux, depuis votre téléphone iOS ou Android ou depuis votre tablette iOS ou Android un SSO vers les applications Cloud de l’entreprise. Ce SSO est possiblement basé sur différentes technologies (dans le backoffice), fédération d’identité, OpenID, Login/Mot de Passe, etc… Le tour de force réside dans différents aspects:
Le paramétrage se fait depuis Active Directory: Des GPOs et une MMC vont permettre de paramétrer les différentes options, les paramétrages peuvent aussi se réalisés coté du service Cloud et sont synchronisés entre le service Cloud et Active Directory: la désactivation d’un compte dans Active Directory désactivera l’ensemble des comptes utilisateurs dans les applications Cloud pour cette entreprise, bien utile en terme de sécurité !
La solution est extrêmement simple à installer: pas de serveur de fédération, pas de paramétrage complexe, pas de synchronisation d’utilisateur: il suffit d’installer un serveur Proxy dont le rôle est de synchroniser les information Active Directory vers un service Cloud Centrify basé sur Azure, le service Cloud Centrify fait le lien avec les applications SaaS – pas d’infrastructure complexe
Le service Cloud Centrify basé sur Azure permet de maintenir à jour les paramètres et le niveau de sécurité sur l’ensemble des devices, même si ils sont en dehors de l’entreprise, dès que ceux-ci se connectent à Internet et donc à Azure
Coté Tablette ou Téléphone, une simple application téléchargée depuis le store ou un navigateur, permettent à l’utilisateur de réaliser toutes les opérations: accès aux applications en SSO, mise à jour des informations utilisateurs, réinitialisation de mot de mot de passe, blocage d’un device perdu ou volé, etc…
Mes premiers tests sur la version express de la solution sont plus que concluants: ce produit est génial – De plus, il fonctionne parfaitement avec Office365, que l’instance Office365 soit paramétrée en mode Login/Password ou en mode Fédération, sauf qu’il n’y pas besoin d’ADFS ou de DirSync V2 !
Enfin, je vous conseille vivement de regarder cette vidéo de démonstration de 5 minutes qui vous donnera une meilleure idée de la solution depuis un PC ou une Tablette:
Les sessions des Microsoft Techdays 2012 sont en ligne ! Vous pourrez notamment retrouver mes deux sessions sur l’intégration Linux et Unix dans Active Directory et sur le déploiement d’AD RMS en entreprise. Il est également possible de télécharger les fichiers Powerpoint rattachés à ces présentations. N’hésitez pas à les visionner et à donner votre avis sur l’interface de gestion des commentaires et de notation.
Un nouveau blog en français qui vient de démarrer sur le thème au combien important de l’interopérabilité. Sylvain Girod qui est l’auteur de ce blog est un consultant spécialiste de cette thématique et qui conduit de nombreux projets de kerberisation, d’intégration LDAP ou SAMBA et surtout de Fédération d’Identité.
Les premiers articles du blog abordent les thématiques autour des nouvelles fonctions de SAMBA et du support des distributions Linux sur Hyper-V.
Vous connaissez certainement le produit Microsoft Right Management Services, autrement appelé AD RMS. Cet IRM permet de protéger l’information au travers des documents Office et des emails créés avec Outlook/Exchange. Certaines extensions fonctionnelles telles que Gigatrust permettent d’étendre ces fonctions vers les documents PDF, les Blackberry, les Iphone/Ipad, etc…
Lors de recherches rescentes, je suis re-tombé sur 2 articles fort intéressants qui présentent les préquis et les matrices fonctionelles en fonction des versions de Windows et des versions d’Office. Ces éléments sont consultables au travers de ces deux liens:
MacWindows.com est un des sites de référence en terme de gestion de l’interopérabilité entre le monde Apple et Microsoft. L’arrivée de Lion apporte un nombre de bugs et de facteurs d’instabilité très important en ce qui concerne la connexion à des serveurs NAS ou la connexion à Active Directory. C’est pourquoi le blog MacWindows consacre une part très importante des derniers posts sur les différents trucs et astuces pour corriger ou contourner ces problèmes de connexion survenus depuis la sortie du dernier OS d’Apple. En effet, de nombreuses organisations utilisant le plug-in d’authentification à Active Directory découvrent des problèmes récurrents alors inconnus avec les versions précédentes. Les causes réelles de ces dysfonctionnements ne sont pas clairement expliquées par Apple, qui préfère annoncer pour l’instant des patchs pour les semaines à venir, sans garantir le support du fonctionnement tel que connu avant Lion. Si vous administrez du Lion sur votre réseau, je vous invite donc à regarder sur MacWindows.com si il n’y a pas quelques réponses à vos questions existentielles.
Microsoft vient d’annoncer la mise à disposition de la version Beta de FIM 2010 R2.
Pour rappel, au rayon des nouveautés:
• Gestion des mots de passe en self service via une interface web complète ( ne nécessite plus que le PC fasse parti du domaine AD pour utiliser la fonction de gestion de mot de passe)
• Amélioration des fonction de rapports et d’historique via une intégration à System Center Service Manager
• Amélioration des performances globales et mise à disposition d’outils de diagnostics
• Support de Microsoft Outlook 2010 et de Microsoft SharePoint Foundation 2010
L’inscription au programme Beta est possible via le site Microsoft Connect
Ayant travaillé dernièrement sur des spécifications fonctionnelles liées aux différentes méthodes de publication et d’authentification sur SharePoint 2010, je me suis rendu compte à quel point les notions de Fédération et de publications web fédérées étaient encore réellement obscures pour la majorité de mes interlocuteurs. J’ai donc décidé de prochainement réaliser quelques articles un peu plus techniques et moins stratégiques sur le sujet de la Fédération, notamment dans le cadre de l’utilisation des produits Microsoft: SharePoint, Lync, Office365, UAG, etc…
En attendant, je vous invite à visualiser une vidéo postée hier sur Channel19, la chaine vidéo MSDN généraliste. Cette courte vidéo reprend les éléments de base et vous présente en moins de 20 minutes ce que vous devez savoir pour bien comprendre le principe de l’utilisation des claims avec SharePoint 2010:
Brjann Brekkan et Mark Wahl nous propose une vidéo extrêmement complète sur les nouveautés qui seront proposées par Forefront Identity Manager 2010 R2. C’est long, mais c’est bon
Centrify propose maintenant une version gratuite permettant de déployer et gérer l’intégration des environnement Mac, Linux et Unix dans Active Directory.
Bien sur, certaines fonctions ne sont pas présentes, donc pas de possibilité ici de gérer plusieurs UIDs/GIDs, de supporter les SmartCard ou de faire des GPOs sur les systèmes (fonctions intégrées dans la version payante) – néanmoins, il est possible ici de gratuitement intégrer les systèmes hétérogènes dans Active Directory.
Il donc possible de réaliser une intégration transparente dans l’annuaire Microsoft et donc de permettre aux utilisateur d’utiliser le même mot de passe sur tous les systèmes et de profiter d’un SSO utilisateur basé sur kerberos. Cela est déjà génial !
Rappelons que parallèlement aux nouvelles versions, la compatibilité du système de fédération Shibboleth s’étend progressivement avec les applications du marché et Open Source.
Microsoft a annoncé la mise à disposition en CTP de l’extension WIF pour le protocole SAML 2.0. Cette extension WIF permet aux développeurs .NET pour créer des applications capables de consommer des « Claims » SP-Lite construits sur SAML 2.0.
Si l’on essaie de lire entre les lignes, il y a fort à parier que cette annonce prépare le support pour d’autres technologies que la technologie WS-Fed pour les application Microsoft, et bien sur pour Azure. Nous pouvons même imaginer que cela puisse être vrai pour les applications en ligne dans le Cloud Microsoft (Office 365 for ever). Cela pourrait signifier qu’il serait possible à terme de réaliser du SSO vers Office 365 via des technologies de fédération différentes de ADFS 2.0 (tant que la technologie utilisée est capable de faire de la fédération en mode Web et en mode client lourd, ce qui n’est pas le cas de Shibboleth mais qui est le cas d’ADFS).
Bref, ça bouge chez Microsoft en ce qui concerne la Fédération, et cela est très bon signe pour l’interopérabilité.
Depuis plusieurs années Microsoft travaille très activement dans le domaine de l’interopérabilité, tant sur la partie standard de document, sur les domaines des plateformes de développement (PHP) ou même sur la partie système (kerberos, LDAP, etc…). Si vous êtes sensible à ces éléments, il est à noter un site Microsoft extrêmement intéressant www.interoperabilitybridges.com qui traite de cette thématique.
Ce site web est dédié au travail collaboratif lié à l’interopérabilité entre les technologies Microsoft et les technologies non-Microsoft. Ce site est est géré par le groupe « Interoperability Strategy Group » de Microsoft. Le blog de l’équipe étant lui accessible à cette adresse: http://blogs.msdn.com/b/interoperability/
De plus, je vous invite fortement à suivre le porteur du message interopérabilité Microsoft en France http://twitter.com/#!/Alfonso_Castro pour vous informer au quotidien sur ces notions stratégiques et techniques.
Un nouvel éditeur, nommé metaconomy vient de sortir une solution de reporting pour FIM 2010. Ce système basé sur une technologie Azure permet d’utiliser un module externalisé pour générer des rapports dédiés à l’utilisation de FIM 2010. je n’ai pas testé par moi-même le service, mais l’idée est intéressante.
Reste à savoir si cette plate-forme ne va pas être quelque peu obsolète lorsque le Service Pack 1 pour FIM 2010 va sortir. En effet, celui-ci va inclure des améliorations significatives en ce qui concerne la gestion des logs et du reporting.
Je suis très intéressé par des retours des personnes qui testeront la solution de metaconomy. vous pouvez également utiliser les commentaires de ce blog.
Un livre très intéressant sur la programmation autour de « Windows Identity Foundation » (WIF) qui permet une approche pragmatique du dév ASP.NET lié à WIF.
Avec l’avènement des solutions de fédération et l’adoption de la plateforme Azure chez certains prestataires, les informations contenues dans ce livre devraient trouver leur public.
Au programme:
Chapter 1 : Claims-Based Identity
What Is Claims-Based Identity?
WIF Programming Model
Summary
Chapter 2 : Core ASP.NET Programming
Externalizing Authentication
Authorization and Customization
Avec la possibilité de télécharger les codes exemple du livre sur ce lien: http://examples.oreilly.com/9780735627185-files/
Frédéric Esnouf, Tech Specialist IAM chez Microsoft France a réussi la performance de présenter FIM 2010 en 1 heure condensée. Si vous vous posez des questions sur FIM 2010 et sur les scénarios d’utilisation, je vous invite a regarder ce webcast enregistré directement pendant les Techdays 2011.
Lors d’un projet chez un client, j’ai re-découvert un projet Open Source permettant de réaliser des synchronisations simples en mode point à point entre deux annuaires LDAP ou entre une base de données et un annuaire LDAP. Attention, bien sur ce projet n’est PAS un méta-annuaire, ce n’est QUE de la synchronisation point à point. Néanmoins, sur des besoins de migration ou sur des besoins relativement simplistes de synchronisation, LSC sera une solution adaptée, tant que le client accepte d’utiliser des solutions Open Source sans support officiel autre que les forums de Source Forge.
A noter que la dernière version de LSC intègre des fonctions spécifiques à la gestion des identités et à la connexion avec Active Directory telles que la changement de mot de passe, le statut du compte ou la gestion de l’attribut « last logon ».
Donc malgré ses limitations inhérentes à un modèle de synchronisation point à point, LSC peut rendre des services sur des petits projets IAM ou de migration d’annuaires. Plus d’informations [ ici ]
SAP vient de faire l’acquisition de la société Secude, qui est un éditeur de logiciels Suisse spécialisé sur les solutions de sécurité autour des technologies SAP.
Secude en tant que pure-player des solutions SAP, propose des solutions autour des domaines suivants:
Endpoint Security
Identity and Access Management
Governance, Risk and Compliance
Globalement, les solutions de Secude améliorent la sécurisation des authentifications sur les solutions SAP. Cette acquisition prouve la progression sécuritaire des solutions SAP et la prise de conscience autour des problématiques de gestion des identités dans les solutions SAP.
Reste à savoir quel sera le niveau d’intégration à moyen terme avec les solutions NetWeaver. Rappelons que Netweaver est une plateforme technique SOA contenant un EAI pour toutes les nouvelles applications SAP, il est évident que la gestion des identités et la gestion des authentifications sont des éléments déterminants dans l’évolution des solutions SAP.
Une étude très ressente réalisée par CheckPoint-ZoneAlarm révèle des problèmes très inquiétants en ce qui concerne l’utilisation des mots de passe pour sécuriser l’accès aux applications en ligne.
Cette étude révèle par exemple que 79% des utilisateurs utilisent un mot de passe dit « faible » pour accéder aux applications hébergées (non, je n’ai pas dit le mot Cloud, je fais de la résistance…) ou encore que 8% des utilisateurs utilisent des mots de passe qui proviennent directement des listes de références en ligne proposant une liste de mots de passe conseillés !
La lecture de cette étude est obligatoire
Bref, « ça fait flipper » – Il y a 6 ans, Bill Gates nous promettait un monde sans mots de passe , nous en sommes loin, car les scénarios utilisateurs et business liés à l’utilisation de la SmartCard ne correspondent pas à la réalité du terrain. Et pourtant – Le mot de passe est dangereux, très dangereux.
Quand cela devient le moyen unique de gérer l’authentification des applications en ligne (non, non et non, je ne dirais pas Cloud), cela devient une espèce de suicide numérique collectif. Au delà de cette situation, ce qui est le plus troublant est que cela n’inquiète pas grand monde… jusqu’au jour où il y a un problème, bien sur.
L’industrie de la sécurité informatique ainsi que les grands acteurs du secteur, Microsoft, Oracle, IBM, Gemalto, HID, etc… doivent nous apporter une solution viable à l’utilisation des facteurs forts d’authentification. Les scénarios de recouvrement, de substitution et d’utilisation de la biométrie doivent permettre d’avancer dans cette voie, encore faut-il qu’il existe une véritable volonté de trouver cette solution universelle et intégrée. Microsoft et les acteurs Linux majeurs doivent notamment intégrer « By Design » des fonctions de recouvrements ne nécessitant pas l’installation des framework tiers pour gérer ces notions: cela est impératif.
Pour égailler votre début d’année, je vous conseille de tester le logiciel MPR ( Multi Password Recovery) afin de « vérifier » la fragilité ou non de vos propre mots de passe. Cela fait rire, ou pleurer, au choix.
Microsoft fournit un article très intéressant sur la taxonomie à utiliser lorsque l’on publie des objets dans Active Directory. Cet article est accessible [ ici ] et présente dans les grandes lignes les chartes de nommages en fonction des différents objets, Nom Netbios Ordinateur, Nom FQDN Ordinateur, Nom Netbios de domaine, Nom de domain DNS, Nom des sites Active Directory, nom des OUs, et tout cela en relation avec les règles d’usage liées à Active Directory ou aux différentes RFCs officielles.
En oubliant pas qu’il existe une liste de noms interdits pour les nouveaux objets car déjà utilisés par le système:
Microsoft a mis en ligne un ensemble d’outils et de documents afin de permettre un apprentissage en douceur de FIM 2010. Ce cours introduit et explique les fonctions et les capacités de FIM 2010 et fournit un ensemble de scénarios reliés au solutions couvertes par FIM 2010 dans le cadre des organisations. Le « ramp up » « implementing Forefront Identity Manager 2010″ est accessible [ ici ]
David Lundell, MVP reconnu sur Forefront Identity Manager vient de publier un livre sur les bonnes pratiques de mise en œuvre de FIM 2010.
Ce livre est l’actualisation d’un précédent ouvrage portant sur ILM.
Au programme:
CHAPTER 1: What is Identity Management ?
CHAPTER 2: Forefront Identity Manager 2010
CHAPTER 3: FIM Architecture
CHAPTER 4: FIM Installation Topologies
CHAPTER 5: Sizing Your FIM Installation
CHAPTER 6: Installing the Prerequisites
CHAPTER 7: Installing FIM
CHAPTER 8: Updating the FIM Components
CHAPTER 9: Post Install Tasks
Microsoft implémente le support des identités tierces telles que Google, Facebook, LiveID et OpenID à sa plateforme cloud Azure via une mise à jour du composant Windows Azure AppFabric.
Windows Azure AppFabric est le nom d’un service .NET qui ne permet pour l’instant qu’un service de control d’accès simple. La mise à jour du mois d’Aout va grandement améliorer les processus et les fonctionnalités autour de l’authentification et du control d’accès :
Intégration avec Windows Identity Foundation (WIF) et les outils connexes à WIF
Support des fournisseurs d’indentité suivants : Windows Live ID, OpenID, Google, Yahoo et FaceBook
Support d’ADFS 2.0
Support des protocoles OAuth WRAP, WS-Trust et WS-Federation
Support des formats SAML 1.1, SAML 2.0 et Simple Web Token (SWT)
Fonction « Home Realm Discovery » permettant à l’utilisateur final de choisir son fournisseur d’identité
Un service « OData-based Management » permettant un accès via du code à la configuration ACS
Un portail web permettant la configuration en ligne d’ACS
Plus d’information (en anglais) sur cette mise à jour [ ici ]
Voici une vidéo tournée en direct sur MacWorld 2010, en février dernier. Elle montre en quelques minutes comment intégrer un Mac dans un annuaire Active Directory et donc comment avoir GPO, kerberos, SSO, controle d’accès, etc… comme pour un PC sous Windows !
Microsoft met à disposition des architectes ou administrateurs ILM un jeux de Commandlets pour paramétrer le moteur de synchronisation d’ILM 2007 FP1. Il est clair que pendant l’installation, on sent bien que MIIS est toujours dans les parages… le Wizard d’installation se nommant « MIIS Management Agent Configuration Resource Kit Setup ». Excepté ce petit détail cosmétique, il est extrêmement intéressant de pouvoir bénéficier de ces commandes natives PowerShell. Téléchargement [ ICI ]
Attention !!! Une vulnérabilité dans Kerberos due à un traitement incorrect de certaines requêtes permet à une personne mal intentionnée de provoquer un déni de service sur un contrôleur de domaine Windows. Il s’agit bien évidemment d’une faille majeure qu’il faut absolument corriger.
La faille impacte les systèmes d’exploitation suivants:
– Windows 2000 Server Service Pack 4
– Windows Server 2003 Service Pack 2
– Windows Server 2003 Édition x64 Service Pack 2
– Windows Server 2003 avec SP2 pour systèmes Itanium
– Windows Server 2008 pour systèmes 32 bits etWindows Server 2008 pour systèmes 32 bits Service Pack 2
– Windows Server 2008 pour systèmes x64 et Windows Server 2008 pour systèmes x64 Service Pack 2
Microsoft délivre le correctif de sécurité MS10-014 pour corriger le problème, à appliquer de toute urgence.
Microsoft met à disposition la Beta 2 de CardSpace 2.0.
Pour rappel, CardSpace est le composant pour que les utilisateurs finaux puissent accéder à des applications dont l’authentification a été développée selon le modèle « Claims ».
Microsoft met à disposition le SP1 pour ILM 2007 FP1 – il s’agit donc de ILM 2007 FP1 SP1… Le service pack est téléchargeable ici [ Téléchargement de ILM 2007 FP1 SP1 ] – Au delà de fournir un package reprenant l’ensemble des correctifs sortis depuis le FP1, ce service pack permet surtout d’utiliser GALSync Management Agent ou un agent Active Directory personnalisé pour réaliser le provisioning vers Exchange Server 2010.
Pour utiliser cette fonctionnalité, les conditions suivantes doivent être remplies :
Le compte de service d’ILM 2007 synchronisation doit être un compte de domaine.
Le serveur ILM 2007 synchronisation doit être associé à un domaine. Toutefois, le serveur est connecté au domaine dans lequel la mise en service se produit.
PowerShell 2.0 doit être installé sur le serveur ILM. En outre, PowerShell 2.0 doivent être installés et configuré pour l’accès à distance sur Exchange Server 2010 Client Access Server (CAS)
Pour effectuer le provisionnement de boîtes aux lettres pour Exchange Server 2010, il faut utiliser le code qui appelle la méthode ExchangeUtils.CreateMailbox ou un autre code personnalisé. Il faut veiller à ajouter l’attribut msExchHomeServerName dans le code de mise en service pour créer une boîte aux lettres.
Larry Ellison s’apprête a donner le ton et fournir la roadmap officielle des produits Sun le 27/01/2010. En effet, de nombreux observateurs restent très circonspects quant au lourd silence qui entour le destin de nombreux produits portés par Sun microsystems. Nous pensons bien évidement particulièrement au destin assombri de MySQL, mais la dualité des équipes produits IAM chez Oracle et chez Sun depuis de nombreuses années posent quelques interrogations. En effet, malgré un investissement lourd de la part d’Oracle dans le domaine de la gestion des identités, seuls quelques « Oracle addicts » ont vraiment déployé les solutions IAM d’Oracle. De son coté Sun apparait comme un éditeur expérimenté dans ce domaine, et proposant des solutions éprouvées et matures. De plus, les nombreux projets Open Source portés par Sun tels que OpenSSO ou OpenDS peuvent être menacés… Nous suivrons donc avec attention la présentation de mercredi prochain…
Avec l’arrivée de Windows 7 et de FreeBSD 8.0, l’année est plutôt exceptionnelle en ce qui concerne les mises à jour des systèmes d’exploitation !!! Franchement, de la même façon que je suis vraiment épaté par Windows 7, j’avoue être super fan de FreeBSD 8.0; comme quoi, avec un peu d’ouverture d’esprit, on trouve des choses intéressante de part et d ‘autre…
Au rayon des nouveautés:
Support des processeurs x86, 64bits, Itanium, PowerPC et SPARC
Jails V2, un outil de gestion des processus en environnement multiprocesseurs
Système de fichiers ZFS 13
ULE 3.0 comme nouvelle version de l’ordonnanceur système
Support amélioré de NFS en ce qui concerne Kerberos
Pour télécharger cette nouvelle mouture direction le site FTP de FreeBSD.org
Le Gartner organise le 4ème « Identity & Access Management Summit 2010″ à Londres les 3 et 4 Mars 2010. Il y aura de nombreux intervenants sur les sujets chauds du moment en ce qui concerne la gestion des identités. Il vous en coutera 2195 € HT pour assister à ces présentations, mais elles devraient être de qualité. Néanmoins, il faut toujours prendre les informations et surtout les « prévisions » fournies par les instituts de type Gartner avec de « grosses pincettes » – en effet, il est amusant de ré-ouvrir quelques anciennes prévisions du gartner pour vérifier si tout est réalisé avec le temps… c’est généralement très instructif et… amusant
Cette vidéo illustre la possibilité d’utiliser Active Directory et l’autorité de certification de Microsoft en tant que briques d’infrastructure centralisatrices pour l’utilisation des carte à puces de type Gemalto .NET dans des environnements mixtes de type Macintosh ou Microsoft. Cette possibilité est fournit grâce à l’utilisation combinée des drivers PKCS#11 et de la solution Centrify DirectControl:
Microsoft annonce la disponibilité de la RC1 de FIM 2010 (Forefront Identity Manager 2010). Cette nouvelle release propose des changements majeurs en terme fonctionel. La RC1 est disponible en téléchargement ICI. Voici les nouveautés par rapport à la RC0 d’ILM:
Nouveau nom : ILM « 2 » devient FIM 2010 (pour Forefront Identity manager)
Améliorations sur la gestion
Management Policy Rules (MPR)
MPR Explorer permet de trouver rapidement les MPRs suivant différents critères
Désactivation possible des MPRs
Plus d’événements logués dans l’Event Viewer
Management Pack SCOM
Sur le déploiement
Configuration Migration Tools , ensemble de commandes Powershell pour faciliter le transfert de configuration entre environnements de test vers production, par exemple
A partir de cette RC1 les patches seront délivrés par Windows Update
Sur les Usages
Nouveau portail
Personnalisation de tous les emails
XP SP2 supporté pour le scénario de « Password Reset »
Mise à jours des MAs pour la partie synchronisation
Support des langues suivantes, Chinois (Simplifié & Traditionnel), Hollandais, Anglais, Français, Allemand, Italien, Japonais, Portugais, EspagnolSur la partie « Certificate Management »
Sur la partie « Certificate Management »: API et documentation pour le support d’ACs tierces
Sun a mis en ligne un jeux pour permettre aux visiteurs de devenir un « identity hero », en accumulant les points par la réalisation de taches d’administration comme le « user provisioning » ou le « password management »…. c’est vraiment bien réalisé, bourré d’humour et tout à fait sympatique. De plus, cela ne sert à rien, c’est donc indispensable…
Gérer le cycle des identités en prenant en compte les modules OTP, tel est le challenge de cette vidéo qui démontre comment intégrer le provisioning des modules OTP Gemalto, et comment les associer à un utilisateur physique depuis un processus Forefront Identity Manager 2010.
Depuis une dizaine d’années de nombreuses organisations ont investi dans les technologies « One Time Password » (OTP) afin de sécuriser les accès VPN ou les accès à des applications sensibles telles que Outlook Web Access par exemple. Mais la création du Token OTP et son association avec l’utilisateur physique nécessitait généralement une intégration complexe dans le système de gestion des identités de l’entreprise ou une procédure manuelle couteuse et génératrice d’erreurs. L’association de FIM 2010 et des solutions Gemalto Protiva semble pouvoir couvrir ce problème récurrent.
Exit ILM V2, c’est sous le nom de Forefront Identity Manager 2010 (FIM 2010) que Microsoft lancera très prochainement (Q1 2010 ?) la nouvelle mouture de sa suite de gestion des identités et des accès.
Ce changement de nom retranscrit il un virage « sécuritaire » de la vision de Microsoft sur le segment de la gestion des identités ? Ce qui est certain, c’est que la sortie de FIM 2010 coïncide avec un besoin croissant de la part des entreprises à gérer de façon efficace le cycle de vie des utilisateurs ainsi que les habilitations de chaque utilisateur au sein des processus métier: L’intégration de FIM avec .NET et WS-* permettra de réaliser des portails web utilisateurs et des workflow d’approbation de façon extrêmement simple pour la plupart des administrateurs et des gestionnaires de « provisioning »dans l’ensemble des organisations.
La migration NIS est une des problématiques majeures de l’ensemble des grands groupes que j’ai pu rencontrer. En effet, les domaines NIS ou NIS+ ne sont plus supportés par SUN, l’inventaire du protocole. De plus, le protocole d’authentification NIS n’étant pas sécurisé (en fait, vraiment pas sécurisé…), il est important de migrer pour des raisons sécuritaires ou pour des besoins de compatibilité SOX ou PCI.
Classiquement, le premier réflexe est d’imaginer migrer les informations contenues dans les domaines NIS ou NIS+ vers un annuaire LDAP. Après ce premier réflexe, les ennuis commencent… La première problématique étant bien évidemment la collision des UIDs. En effet, dans le monde réel (et pas celui de PowerPoint) un utilisateur physique unique possède plusieurs profils Unix en fonction du système sur lequel il doit se connecter, il est alors très compliqué de consolider potentiellement des dizaines d’UIDs vers un seul attribut UID stocké dans un annuaire LDAP.
C’est ici qu’Active Directory peut venir à l’aide des administrateurs ou architectes Unix !!! En effet, selon certaines conditions, il sera possible de migrer et conserver plusieurs UIDs dans l’annuaire Active Directory et ainsi conserver les accès aux ressources Unix sans modifier les UIDs sur l’ensemble des systèmes migrés.
Un site extrêmement bien construit www.nis-migration.com explique (en anglais) l’ensemble de la problématique et des possibilités techniques de la migration NIS -> Active Directory – Je reviendrais plus tard sur cette problématique très répandue dans les grands entreprises utilisant Unix ou Linux.
Google a annoncé que les utilisateurs des solutions Google Apps pourront s’authentifier sur des applications externes utilisant l’implémentation Google’s OpenID Federated Login API avec leur compte Google Apps.
Google devient ainsi fournisseur de « compte utilisateur » au format OpenID. Pour rappel, OpenID est une technologie SSO sécurisée qui est progressivement adoptée par de nombreux fournisseurs d’application ou de contenu sur Internet ou sur des applications d’entreprise.
SUN a annoncé la disponibilité de la version stable 2.0.0 de son annuaire OpenDS. OpenDS est un projet OpenSource ayant pour objectif de construire la nouvelle génération d’annuaire LDAP de chez SUN. OpenDS est basé sur les standard DSML et a été désigné pour supporter une quantité très importante de données et de transactions.
Pour la notion d’extensibilité de cet annuaire est le point le plus important. En effet, OpenDS a été construit pour permettre à des modules « externes » de venir se connecter au service d’annuaire et d’interagir avec lui. Une API est mise à disposition des futurs fournisseurs désirant développer des plug-ins additionnels sur l’annuaire.
L’équipe du MIT Kerberos a annoncé la disponibilité de la version 5 1.7 de la librairie Kerberos. Cette nouvelle version corrige un certain nombre de bugs, notamment pour les plate-formes Windows.
Follow client principal referrals in the client library when obtaining initial tickets.
KDC can issue realm referrals for service principals based on domain names.
Extensions supporting DCE RPC, including three-leg GSS context setup and unencapsulated GSS tokens inside SPNEGO.
Microsoft GSS_WrapEX, implemented using the gss_iov API, which is similar to the equivalent SSPI functionality. This is needed to support some instances of DCE RPC.
NTLM recognition support in GSS-API, to facilitate dropping in an NTLM implementation for improved compatibility with older releases of Microsoft Windows.
KDC support for principal aliases, if the back end supports them. Currently, only the LDAP back end supports aliases.
Support Microsoft set/change password (RFC 3244) protocol in kadmind.
Implement client and KDC support for GSS_C_DELEG_POLICY_FLAG, which allows a GSS application to request credential delegation only if permitted by KDC policy.
Avecto Privilege Guard est une solution qui permet aux entreprises d’adopter le principe du minimum de privilèges rattaché aux utilisateurs.Il n’est en effet plus nécessaire de donner des droits administrateurs aux utilisateurs, alors que ces droits peuvent être donnés dynamiquement aux applications, tâches et scripts.Privilege Guard permet aux utilisateurs […]
Avez-vous déjà entendu parlé de classification documentaire ? Bien souvent cette notion est laissée de coté par les différents intervenants techniques, nous parlons plus volontier de GED, d'Archivage, de DRM, ou même de DLP, mais avons nous conscience que sans la classification des documents et des emails, ces briques technologiques travaillent en Aveug […]
Un nouveau portail (site en anglais) vient de se mettre en place et propose un contenu de référence sur le thème de la biométrie. www.planetbiometrics.com Ce portail semble être promis à un bel avenir, car le contenu, bien que tout jeune est extrèmement bien renseigné et cohérent. […]
La faiblesse des mots de passe sur votre réseau vous inquiète ? je vous conseille la lecture de ce nouvel article IdentityCosmos, a consulter sur http://www.identitycosmos.com/http:/www.identitycosmos.com/non-classe/password-online pour plus d'information. […]
Scriptlogic organise un nouveau Webinar portant sur la gestion des stations de travail dans les environements Active Directory. L'inscription au webinar est ici: http://www.cerberis.com/actualite-webinar-script-logic---solving-desktop-management-challenges-with-desktop-authority--107.html La majeure partie de la présentation portera sur les aspects sécu […]
Forefront UAG 2010 SP1 : Fonctionnalités nouvelles et améliorées de DirectAccess - Support de One-time-password incluant : agent RSA SecurID et le support des solutions OTP tierces partie basés sur RADIUS - Ajout de paramètres optionnels dans chaque étape des scenarios de déploiement avancés - Support du déploiement des GPO DirectAccess sur plusieurs domai […]
Profitant des vacances pour réinstaller mon contrôleur de domaine, j’ai du demander a mon ami Google de me rafraichir la mémoire sur le moyen le plus rapide de se préparer une clef USB bootable pour installer Windows. Si j’ai trouvé des tas de réponses, bien peu comme d’habitude étaient claires et concises (les avantages et […]
Le mois dernier j’ai fait une découverte intéressante, il y a encore des gens qui utilise des OS en 32 bits !? Depuis que les CPU 64 bits sont répandus (ça doit maintenant faire près de 6 ans), je n’utilise que des systèmes 64 bits, je ne vois aucun intérêt sinon la nostalgie de vouloir continuer […]
Oui j’ai dit BYOD soit Bring Your Own Device et pas BYOB (que les fêtards connaissent déjà). Bref, avec le Cloud et la multiplication des périphériques intelligents que sont les tablettes et smartphones, beaucoup d’entreprises demandent ou autorisent leur employés a utiliser leur propres périphériques pour le travail. Mais alors se posent de nouveaux problèm […]
Centrify annonce le support de Mountain Lion, la version 10.8 de MacOS X et ce des la sortie de cette nouvelle version de l’OS. Parmi tous les partenaire d’Apple, Centrify est le seul a fournir une solution d’integration complete a Active Directory qui soit supportee sur Mountain Lion. Enjoy ! En savoir plus… […]
Voici quelques articles intéressants du Wiki Technet présentant quelques différences entre FIM 2010 et FIM 2010 R2: TechNet Wiki Articles Product Title FIM TROUBLESHOOTING: (FIM CM) The RPC server is unavailable. (Exception from HRESULT: 0x800706BA) FIM REFERENCE: FIM Installation Companion – ServicePrincipleNames (SPNs) – Adding and Troubleshooting FIM REFE […]
Voici un Module PowerShell très utile pour gérer les données stockées par Centrify dans Active Directory. En effet, si vous avez des modifications à apporter et ceci de façon répétitive (implémentation de Design AD, importation de compte utilisateurs Unix dans AD, importation de définitions de privilèges Sudo vers DirectAuthorize, etc.), il est fort utile de […]
Quand il s’agit de déployer une organisation complète dans un annuaire Active Directory (OU, Groupes, délégations, etc.), il est souvent impensable de faire ça à la main dans la console d’administration AD de la MMC ou autre navigateur LDAP. Et à moins d’embaucher des chinois dans un cave, pour créer les quelques centaines d’objets dans […]
Quand la sécurité numérique s’immisce dans la vie quotidienne Les éditeurs du jeu en ligne Star Wars – The Old Republic proposent d’utiliser un token OTP pour sécuriser l’accés à votre compte en ligne lorsque vous jouer. En effet le principe de l’OTP fait que le code généré par le token que vous possédez est […]
Totalement inutile, donc indispensable ! Microsoft propose un Widget pour Visual Studio permettant de débloquer des badges au fur et à mesure d’accomplissements, histoire de prendre Visual Studio pour un jeu Steam Les badges sont rangés dans plusieurs catégories, un pop-up s’affiche dans Visual studio à chaque fois que vous gagnez un nouveau badge et […]
Un livre blanc intéressant pour mieux comprendre les offres de Cloud Privé, ce que présentent ici Microsoft dans un livre blanc publié le mois dernier étant en effet assez simailaire aux offres des autres géants du cloud tels qu’IBM, Oracle ou Amazon. Bonne lecture à tous. Le livre blanc en téléchargement ici : Solutions de […]
Hello Folks, The RMS team has been hard at work and now have our first preview release of a set of PowerShell cmdlets using AD RMS SDK. Microsoft.Protection PowerShell cmdlets are designed for developers, IT pros and products who like to script with AD RMS SDK without directly integrating with AD RMS SDK 2.1 package. Microsoft.Protection cmdlets provide all […]
Hi folks, We in the Information Protection team have been super busy answering your toughest and hardest questions and trying to create content that will help you better understand the value and possibilities of all the good new work going on right now in the RMS space. To that end, we on the Information Protection team have launched our very own Channel 9 v […]
Hi folks, It's been a busy time this past couple months in the IP team here at Microsoft. We've introduced a new cross-platform developer tool set for enabling Android, iOS and Windows RT devices. Future blog posts will further elaborate on these new SDKs and how they enable clean and simple rights-enablement for device solution developers. For mor […]
Hi folks, Just a few months back we announced that we had released the AD RMS SDK 2.0 for developers. Well, today we've introduced the Release Candidate (RC) of our AD RMS SDK 2.1 which now includes File API. and several other significant updates that make life easier and application development better for handling documents of different file types (Off […]
Hi folks, There is a lot of great work that is happening to support and enable AD RMS in the developer tools space and our latest post on the AD RMS developer's corner blog will really help those who have been wondering how to get started with rights-enabling their managed code (ex. C#) applications. Check it out and feel free to pass the word on to any […]
Hey folks, We once again have a guest for today's AD RMS Team blog. Today's post is brought to you by Andrey Moskvitin. Andrey is a Technical Solutions Professional who specializes in Security for our Microsoft Russia subsidiary and he's going to help you see how to use File Classification Infrastructure along with our Rights Protected Folder […]
Hey folks, I know that most of you that frequent this blog are IT professionals and so familiarity with the developer experience in working with AD RMS might not be your primary focus, but when we on the Information Protection team rollout something that can really empower the AD RMS developers that you partner with to make a great solution that you can help […]
Hey folks, One of the things that we have heard as a request from many of you who work with RMS and AD RMS regularly is "How can I get access to all the best practices and expert guidance that will help me make the best decisions when planning, deploying and supporting my AD RMS infrastructure?" As some of you might recall, to help address this req […]
Hey folks, You may recall that a few months back we announced on a previous blog post about the official release of the Rights Protected Folders Explorer (RPFe) tool. As a follow-up to that, I wanted to point out that our friends and internal partners on the Microsoft Storage team who own File Classification Infrastructure (FCI) have just posted a great post […]
Hi folks, You may recall that a few months ago we announced the inclusion of IRM capabilities in TouchDown, Nitrodesk’s popular email client for Android devices. TouchDown for Android uses Exchange ActiveSync IRM capabilities to handle protected content, enabling users to view, create and manage protected email in their devices. This has been very well recei […]
Hello Folks, The RMS team has been hard at work and now have our first preview release of a set of PowerShell cmdlets using AD RMS SDK. The cmdlets in the Microsoft.Protection PowerShell module are designed for developers and IT pros who want to automate administration of AD l RMS without directly integrating with the AD RMS SDK 2.1 package. The Microsoft.Pr […]
Hi folks, We've hit the AD RMS SDK 2.1 RTM milestone now!. I'll let our expert, Gagan Gulati, explain about these new releases! Thanks, Dan … Hello again folks, I'm Gagan and I'm a program manager in the AD RMS team. We are pleased to announce the official release of AD RMS SDK 2.1 and AD RMS Client 2.1! The new Active Directory Rights Ma […]
Hi folks, Here’s more great work to support AD RMS in the developer tools space. This developer's corner blog post will take you further with our new interoperability sample, allowing you to rights-enable your managed code (ex. C#) applications including support for our new File API. Murali has done a great job updating the existing managed interop samp […]
Hello, We've got some important performance information to share with you regarding time related to file size graph for File API for Office, PFile and PDF . Here's Akshay with the information. Thanks, Dan ... Hi folks, I'm Akshay Dhavle, an SDET on the RMS team. Since the initial preview release of the AD RMS File API, we've gotten lots […]
Hello, We wanted to share with you our latest sample application built on AD RMS 2.1 RC using File API functionality. Kunal will introduce you to the new sample. Thanks, Dan ... Hi, I'm Kunal Chawla and am a Test Lead in the IP team. We've got a new sample app we think you'll appreciate. IpcDlp is a sample rights-enabled Data Leak Prevention ( […]
Hi folks, We've introduced the Release Candidate (RC) of our AD RMS SDK 2.1 which now includes File API. I'll let our expert, Gagan Gulati, explain about these new releases! Thanks, Dan … Hello,I'm Gagan and I'm a program manager in the AD RMS team. We are pleased to announce the Release Candidate (RC) for AD RMS SDK 2.1. This package als […]
Hi folks, It's been a busy time this past couple months in the IP team here at Microsoft. We've introduced a new cross-platform developer tool set for enabling Android, iOS and Windows RT devices. Future blog posts will elaborate on more on these new SDKs enabling clean and simple rights-enablement for device solution developers. I'll let our […]
Hi folks, There is a lot of great work that is happening to support and enable AD RMS in the developer tools space. This developer's corner blog post will get you started with our new interop sample that allows you to rights-enable your managed code (ex. C#) applications. Check it out and feel free to pass the word on to any of your friends and associat […]
As you know, we have made developing RMS-enabled applications much easier with the release of the AD RMS SDK 2.0. What used to take months and thousands of lines of code, now takes days and just a few dozen API calls. That means that if you develop an application that creates documents that need to be protected, you can now do so with minimal investment and […]
Hi folks, There is a lot of great work that is happening to support and enable AD RMS in the developer tools space. In case you missed it, here is a link to where I announced the official release of the AD RMS SDK and AD RMS Client 2.0. The AD RMS SDK 2.0 enables developers to build applications that can work with AD RMS Client 2.0 to handle complex security […]
Previously, Office Integration with SharePoint secured by forms based authentication was not possible. The new ability of the Office client applications in Office 2007 SP2 to perform a forms login helps to solve this problem. You will need to install this post SP2 fix to your client machines to gain this functionality. What is needed in conjunction with i […]
The updated tool can be found here. The attachment contains both 32 and 64 bit installers. A cool new feature - Claim Flow Analysis has been added to this version. I'll write up a quick blog on how to use this feature soon. […]
I'm going on an hour trying to get the screen shots formatted correctly. Live Writer is making them too small. I'll just attach the word document to the end if you want to see the pictures better. I'm done messing around with this for now! If you know what I'm doing wrong - please send me a comment! In this blog, I will discuss the st […]
I am working on a blog post (step-by-step) for the Proxy component and I ran into a problem yesterday that ran me around pretty good. We have seen this issue or variations of it on some support cases recently, so I thought the actual problem itself would make a good post. The problem is caused by permissions to the private key on the Client Authentication C […]
With ADFS - the authentication token issued is good for the web server with the agent installed. It is a local RPC token and cannot go off the box. With some additional configuration, you can configure ADFS to go off the box and delegate with a kerbitized back-end. There are some caveats - namely, a shadow account must exist in the resource forest. If yo […]
More great tools by the ADFS team... Problems with the web.config files are one of the more common issues we see with ADFS/MOSS cases in PSS. Now there is a script with will make the modifications for you. It is located on the SharePoint team blog and can be accessed here. […]
A huge thanks to the ADFS test team for developing such a great tool. Here is a quick "how to" The tool is very simple to use and provides a graphical UI. In order to perform distributed diagnosis, i.e. diagnose failures based on the configuration of multiple machines in the scenario, it’s necessary to copy the out file generated by the tool e […]
====================================================================================== UPDATE: I'm not going to remove this blog or the original blog on the web.config entries - but I do want to make note that these web.config files should not be modified directly anymore. Please use the SetupSharePointADFS.vbs file to configure the MOSS applications […]
We are seeing quite a few support calls relating to certificate problems. Many of these are due to a misunderstanding of how the various certificates are used. ADFS/PKI issues are often very difficult to diagnose for the following reason – a lack of logging telling you what the problem is. For example – if the SSL certificate on your Web Server is incorrec […]
Centrify débarque dans le monde du SSO Cloud et de la Fédération d’Identité avec une solution assez révolutionnaire en terme d’approche: Centrify DirectControl for SaaS.
Frédéric Esnouf, Tech Specialist IAM chez Microsoft France a réussi la performance de présenter FIM 2010 en 1 heure condensée. Si vous vous posez des questions sur FIM 2010 et sur les scénarios d’utilisation, je vous invite a regarder ce webcast enregistré directement pendant les Techdays 2011.
Lors d’un projet chez un client, j’ai re-découvert un projet Open Source permettant de réaliser des synchronisations simples en mode point à point entre deux annuaires LDAP ou entre une base de données et un annuaire LDAP. Attention, bien sur ce projet n’est 
SAP vient de faire l’acquisition de la société Secude, qui est un éditeur de logiciels Suisse spécialisé sur les solutions de sécurité autour des technologies SAP.
Une étude très ressente réalisée par CheckPoint-ZoneAlarm révèle des problèmes très inquiétants en ce qui concerne l’utilisation des mots de passe pour sécuriser l’accès aux applications en ligne.
Microsoft fournit un article
Microsoft a mis en ligne un ensemble d’outils et de documents afin de permettre un apprentissage en douceur de FIM 2010. Ce cours introduit et explique les fonctions et les capacités de FIM 2010 et fournit un ensemble de scénarios reliés au solutions couvertes par FIM 2010 dans le cadre des organisations. Le « ramp up » « implementing Forefront Identity Manager 2010″ est accessible [ 
David Lundell, MVP reconnu sur Forefront Identity Manager vient de publier un livre sur les 
Microsoft implémente le support des identités tierces telles que Google, Facebook, LiveID et OpenID à sa plateforme cloud Azure via une mise à jour du composant Windows Azure AppFabric.
Voici une vidéo tournée en direct sur MacWorld 2010, en février dernier. Elle montre en quelques minutes comment intégrer un Mac dans un annuaire Active Directory et donc comment avoir GPO, kerberos, SSO, controle d’accès, etc… comme pour un PC sous Windows !
Microsoft met à disposition des architectes ou administrateurs ILM
Attention !!! Une vulnérabilité dans Kerberos due à un traitement incorrect de certaines requêtes permet à une personne mal intentionnée de provoquer un déni de service sur un contrôleur de domaine Windows. Il s’agit bien évidemment d’une faille majeure qu’il faut absolument corriger.
Microsoft met à disposition la Beta 2 de CardSpace 2.0.
Larry Ellison s’apprête a donner le ton et fournir la roadmap officielle des produits Sun le 27/01/2010. En effet, de nombreux observateurs restent très circonspects quant au lourd silence qui entour le destin de nombreux produits portés par Sun microsystems. Nous pensons bien évidement particulièrement au destin assombri de MySQL, mais la dualité des équipes produits IAM chez Oracle et chez Sun depuis de nombreuses années posent quelques interrogations. En effet, malgré un investissement lourd de la part d’Oracle dans le domaine de la gestion des identités, seuls quelques « Oracle addicts » ont vraiment déployé les solutions IAM d’Oracle. De son coté Sun apparait comme un éditeur expérimenté dans ce domaine, et proposant des solutions éprouvées et matures. De plus, les nombreux projets Open Source portés par Sun tels que OpenSSO ou OpenDS peuvent être menacés… Nous suivrons donc avec attention la présentation de mercredi prochain…
Sortie officielle de 
Le Gartner organise le 4ème « Identity & Access Management Summit 2010″ à Londres les 3 et 4 Mars 2010. Il y aura de nombreux intervenants sur les sujets chauds du moment en ce qui concerne la gestion des identités. Il vous en coutera 2195 € HT pour assister à ces présentations, mais elles devraient être de qualité. Néanmoins, il faut toujours prendre les informations et surtout les « prévisions » fournies par les instituts de type Gartner avec de « grosses pincettes » – en effet, il est amusant de ré-ouvrir quelques anciennes prévisions du gartner pour vérifier si tout est réalisé avec le temps… c’est généralement très instructif et… amusant 
Microsoft annonce la disponibilité de la RC1 de FIM 2010 (Forefront Identity Manager 2010). Cette nouvelle release propose des changements majeurs en terme fonctionel. La RC1 est disponible en téléchargement 
Sun a mis 
Gérer le cycle des identités en prenant en compte les modules OTP, tel est le challenge de cette vidéo qui démontre comment intégrer le provisioning des modules OTP Gemalto, et comment les associer à un utilisateur physique depuis un processus Forefront Identity Manager 2010.
Exit ILM V2, c’est sous le nom de
La migration NIS est une des problématiques majeures de l’ensemble des grands groupes que j’ai pu rencontrer. En effet, les domaines NIS ou NIS+ ne sont plus supportés par SUN, l’inventaire du protocole. De plus, le protocole d’authentification NIS n’étant pas sécurisé (en fait, vraiment pas sécurisé…), il est important de migrer pour des raisons sécuritaires ou pour des besoins de compatibilité SOX ou PCI.
Google a annoncé que les utilisateurs des solutions Google Apps pourront s’authentifier sur des applications externes utilisant l’implémentation Google’s OpenID Federated Login API avec leur compte Google Apps.
SUN a annoncé la disponibilité de la version stable 2.0.0 de son annuaire OpenDS. OpenDS est un projet OpenSource ayant pour objectif de construire la nouvelle génération d’annuaire LDAP de chez SUN. OpenDS est basé sur les standard DSML et a été désigné pour supporter une quantité très importante de données et de transactions.
L’équipe du MIT Kerberos a annoncé la disponibilité de la version 5 1.7 de la librairie Kerberos. Cette nouvelle version corrige un certain nombre de bugs, notamment pour les plate-formes Windows.