Azure Information Protection: ce n’est pas encore très clair pour tout le monde !

En début de semaine, j’ai longuement échangé avec un client à propos des solution de chiffrement de documents disponibles sur le marché. Il m’est apparu que les choses étaient très confuses dans son esprit (désolé Olivier 😉 ).

Il y a pas de confusion entre les différentes possibilités offertes par les multiples fournisseurs qui se sont positionnés sur ce marché. Bien évidemment, l’utilisation de plus en plus massive des solutions Cloud, que ce soit au niveau de l’email, des intranets ou du stockage de documents rend cette approche quasi obligatoire, car la sécurité périmétrique ne sert plus à rien en terme de protection de la donnée ou de protection de la propriété intellectuelle.

Dans l’ancien monde, le monde « on-premises », Microsoft fournissait déjà une solution nommée « Active Directory RMS », permettant de protéger (chiffrer) les documents Office et les emails Outlook produits par l’entreprise. Cette solution était assez efficace techniquement mais rendait les échanges inter-entreprises (avec un partenaire commercial par exemple) assez complexes à réaliser.

L’arrivée de Azure Information Protection (ex Azure RMS) a ouvert de nouveaux horizons en termes de protection des données et de l’information, mais il s’avère que nombre de clients ne comprennent pas bien certains aspects. L’objectif de ce post est de rapidement fournir quelques pistes afin de mieux comprendre les aspects AIP côté client (=device).

Petit rappel, la fonction AIP peut s’acquérir via les plans EMS 3 & 5 de Microsoft:

Le plan EMS E3 propose globalement (je fais simple…) les fonctions qui étaient anciennement portées par Azure RMS, à savoir la technologie de chiffrement elle-même – le plan EMS E5 rajoute globalement (je fais simple à nouveau…) les fonctions de classification – Ici, le challenge de Microsoft sera de lier au maximum ces deux technologies, permettant à l’utilisateur de choisir une classification, qui protégera automatiquement (en fonction de cette classification) les documents ou emails.

Rappelons également que la technologies AIP/RMS permet de protéger du contenu produit dans des technologies Microsoft (docx, pptx, email, etc.) mais aussi de protéger des documents qui ne sont pas produits avec des outils Microsoft (txt, PDF ou Autocad par exemple). Ce lien très utile décrit les différents formats pris en compte par AIP, que ce soit au niveau du module de protection ou au niveau du module de classification.

Lorsque d’un destinataire va recevoir un contenu protégé par AIP, il devra utiliser un « client » AIP/RMS lui permettant de faire le lien entre une authentification (=son identité) et l’application des règles d’accès au contenu décidées par le créateur du contenu (accès en lecture, en écriture, possibilité de copier/coller ou pas, etc.).

La technologie AIP/RMS nécessite donc un « client » côté device afin de déchiffrer un contenu. A ce niveau il y a globalement deux cas possibles pour déchiffrer et accéder au contenu selon les règles d’accès décidées par l’auteur du contenu:

Ce lien décrit les différentes possibilités en croisant les différents formats de fichiers avec la plateforme du device (=son OS) – ici par exemple, les différents clients AIP/RMS utilisables sur sur plateforme Windows en fonction des formats de fichiers:

De plus, vous retrouverez sur ce lien, la possibilité de télécharger Microsoft Azure Information Protection Viewer ( AZInfoProtectionViewer.exe ) pour Windows qui permettra a un client de consommer (=ouvrir) un contenu protégé par AIP/RMS même si il ne possède pas lui même une application intégrant un client AIP/RMS natif:

En conclusion, il faut bien assimiler plusieurs éléments:

  • AIP permet de protéger du contenu « Microsoft » mais aussi des documents hors format Microsoft (PDF, txt, etc.)
  • AIP fonctionne sur Windows, Mac, Android & iOS (avec quelque différences subtiles entre ces différents OS) – à noter aucun fournisseur tiers ne s’est lancé dans une aventure AIP sur Blackberry, mais il exite des possibilité pour supporter des clients AD RMS sur Blackberry
  • AIP intègre des fonctions de chiffrement & classification mais aussi d’autres fonctions extrêmement intéressantes comme le tracking des documents protégés par exemple
  • AIP permet d’échanger assez simplement du contenu protégé avec des personnes en dehors de l’organisation (au contraire de AD RMS)
  • La personne qui consomme le contenu, c’est à dire la personne qui accède au document/email protégé n’a pas besoin de licence AIP ni besoin d’avoir une application native AIP/RMS, elle peut télécharger le client AIP Viewer pour accéder au contenu protégé

Enfin, cette technologie évolue très très rapidement côté Microsoft, en effet, il s’agit d’une technologie clé pour permettre l’adoption des solutions Cloud tout en protégeant l’accès à l’information de l’organisation.

Si vous avez des questions ou des besoins sur AIP, n’hésitez pas à me contacter. J’ai créé dernièrement un nouveau Workshop d’une demi-journée ou une journée dédié à AIP et qui permet de comprendre comment fonctionne cette technologie et les différentes possibilités offertes pour une organisation.

Annonce de la fusion des portails d’administration pour les fonctions AIP (Azure RMS & Labeling)

Une annonce majeure de la part de Microsoft, attendue depuis longtemps !

Microsoft va proposer une interface de gestion commune des fonctions de protections (ex Azure RMS) et des fonctions de Labeling (ex Secure Island) ainsi qu’un client unifié pour les postes et périphériques mobiles.

Bien sur, cette nouvelle interface de gestion sera disponible depuis la version V2 du portail d’administration Azure: https://portal.azure.com

La stratégie est maintenant de considérer la protection comme une option de la fonction de classification. Je milite pour cette approche depuis longtemps, car c’est la seule possible d’un point de vue structurel & organisationnel – il faut comprendre que la protection RMS n’a pas de sens sans la fonction de classification, car l’utilisateur créateur de contenu est le seul chaînon capable de « définir » la protection via le choix d’une classification (classification au sens large du terme).

Les fonctions de classification et de protection des données non structurées sont absolument essentielles dans le cadre de l’adoption des technologies de Cloud Public. Il s’agit donc de se préparer au déploiement de ce type de fonction, c’est absolument essentiel.

Plus d’information sur le blog EMS: https://blogs.technet.microsoft.com/enterprisemobility/2017/04/26/azure-information-protection-unified-administration-now-in-preview/

Et sur ce lien: https://aka.ms/DanPlastina

 

Le National Institute of Standards and Technology (NIST) met à jour ses recommandations sur « Digital Identity Guidelines »

Le National Institute of Standards and Technology (NIST) est un institut américain délivrant régulièrement des documents de spécifications et des recommandations à l’attention de l’ensemble des autres organisations gouvernementales américaines. Même si les documents publiés ne sont pas exclusivement orientés sur les aspects sécurité (comme par l’exemple l’ANSSI en France) de nombreuses recommandations traitent de ces sujets, et de nombreux documents sont publiés pour aider les organismes américains à l’implémentation de solutions fiables et standardisées.

Le NIST a récemment publié un brouillon (Draft) de trois documents importants traitant de Digital Identity:

Document SP 800-63A: Digital Identity Guidelines – Enrollment and Identity Proofing Requirements

 

 

Document SP 800-63B: Digital Identity Guidelines – Authentication and Lifecycle Management

 

 

Document SP 800-63C: Digital Identity Guidelines – Federation and Assertions

 

 

Ces trois documents, même à l’état de brouillon, sont une véritable mine d’or (et je pèse mes mots…) pour toute personne travaillant dans la sécurité informatique et dans le domaine de la gestion des identités. Le premier document donne par exemple les grandes lignes en ce qui concerne la gestion des identités de façon globale, le deuxième réalise un focus sur les méthodologies d’authentification et fournit des conseils sur les règles de sécurité liées aux mots de passe alors que le troisième traite particulièrement des technologies de Fédération d’Identité.

Ce que j’apprécie particulièrement dans ces documents, c’est qu’ils ne sont pas uniquement un recueil bête et méchant de bonnes pratiques mais liste de façon exhaustives les technologies associées et les standards du moment – par exemple le document traitant de la fédération d’identité ne se contente pas de recenser les bonnes pratiques à suivre autour de la fédération mais liste l’intégralité des termes à connaître et à utiliser – le grand intérêt est que du coup on peut choisir de considérer le document du NIST comme document de référence sur les termes à employer, et dans un monde aussi confus que la Fédération d’Identité par exemple, cela ne fait pas de mal de s’appuyer sur un lexique de référence…

Bref, c’est un peu long, mais c’est à lire absolument…

Quel intérêt à utiliser Ping Identity avec Azure AD Premium ?

 

Il y a quelques mois, Microsoft annonçait son partenariat avec Ping Identity pour renforcer son offre Azure AD Premium:

Mais cette annonce coïncidait avec l’annonce quelques semaines auparavant de la mise en preview d’une fonction de App Gateway au niveau d’Azure AD Connect (fonctionnel mais toujours en preview à ce jour). Ainsi, beaucoup de mes clients et contacts me demandaient au fil des semaines quel pouvait être l’intérêt pour eux d’utiliser Ping Identity alors que Microsoft fournissait maintenant une App Gateway permettant non seulement de publier des applications on-prem au niveau du portail Azure AD Premium sans l’obligation d’ouvrir des ports au niveau des firewall mais également de jouer des authentification sur l’annuaire Active Directory local sans déployer ADFS. Nous allons essayer de répondre à cette question dans cette article.

Déjà, revenons quelques instant sur l’offre Ping Identity. Ping Identity est l’entreprise leader dans le domaine des solutions de fédération d’identité pour les entreprises. Cette entreprise américaine a vraiment été un des pionniers en la matière, principalement pour les organisations avec des besoins complexes ne pouvant pas être couverts avec ADFS et Shibboleth. Mais depuis environ 18 mois, les offres Ping Identity ont été progressivement dépassées par les solutions de IDentity as a Service, qui rappelons le, propose notamment un système de fédération multi-tiers en mode SaaS. Ping Identity a essayé de réagir sur le segment IDaaS, mais leur architecture produit n’a pas convaincu, laissant le champs libre à Microsot, Centrify et Okta sur le marché IDaaS. Il fallait donc régir pour ce leader établi  de la fédération d’identité.

En septembre dernier, Microsoft annonçait donc son partenariat avec Ping Identity:

En parallèle, Microsoft proposa en private preview puis en public review la fonction App Gateway intégrée à Azure AD Connect avec notamment les possibilités suivantes:

  • Fournir un accès aux applications internes sans modification des firewall, des routeurs ou des reverse proxy
  • Sécurisation de l’accès aux applications internes via un mécanisme de « reverse VPN » basé sur la fonction bus d’Azure
  • Publication d’applications web internes utilisant IWA (Integrated Windows Authentication)
  • Publication d’applications Web utilisant « form-based access »
  • Publication d’applications publliées via la fonction Remote Desktop Gateway

Ces avancées notoires permettant nottamment à Microsoft de rattraper son retard sur la fonction Cloud Gateway proposé par Centrify via son offre IDaaS.

Que peut donc me fournir Ping Identity en plus de ces fonctions déjà très intéressantes ?

La raison principale de ce partenariat est de pouvoir traiter des applications web internes utilisant l’authentification de type headers HTTP.

Pour ce, il sera nécessaire d’installer un composant supplémentaire PingAccess au niveau du réseau local, ce composant communiquant avec Azure AD Premium et le connecteur Azure AD Connect:

Pour ce, il est possible directement au niveau de la console Azure AD Premium de publier de telles applications en indiquant quelles seront accédées en passant par le composant PingAccess:

Un des intérêts de cette combinaison est de « contourner » les options de sécurité assez faibles d’une authentification par headers Http en utilisant des APIs Azure spécifiquement développées pour faire communiquer Azure AD Premium et PingAccess: ainsi, il sera possible de définir des règles d’accès et de rôles qui seront transposées et traduites par le composant PingAccess depuis le RBAC Azure:

Quel avenir pour ce partenariat ?

Euhm… bonne question ! Pour ma part je ne suis pas convaincu par le fait que cette fonction sera suffisante a faire décoller le partenariat technologique et commercial, surtout que pour l’instant le modèle de pricing de PingAccess pour Azure AD est assez obscure, Ping Identity n’étant pas spécialement connu pour le côté bon marché de ses produits… (bon, après ce sont de très bons produits, tout se paye). De plus, au travers de mes différentes missions de consulting sur la partie IDaaS, ce type d’authentification (Headers Http) n’étaient pas la priorité des clients…

Un point stratégique important est de comprendre que les offres de IDaaS vont petit à petit éliminer le besoin de solution de fédération d’identité installées localement (ADFS, Shibboleth, Ping, ForgeRock, etc.) et vont remplacer sous forme de service SaaS l’ensemble des composants de fédération. Bien sur, pour des besoins très spécifiques, notamment en ce qui concerne des scénarios complexes dans des grandes entreprises, les passerelles de fédération d’identité installées localement ont encore de beaux jours devant elles, mais dans 5 ou 6 ans ? Pas certain !

Bon, à la fin, cela serait peut-être plus simple si Microsoft rachetait Ping Identity, non ? 😉

Quel avenir pour One Identity ? (ex Quest)

 

Les plus vieux d’entre vous connaissent vraisemblablement l’historique truculent et les tribulations sans fin des actifs de la société Quest Software.

A l’origine cette société a racheté et vendu le produit Toad pour les DBA Oracle dans le monde entier. Toad, véritable vache à lait de la société, a permis à Quest Software de constituer un véritable trésor de guerre, très conséquent (voir très très très conséquent…), permettant à Quest Software de réaliser massivement des acquisitions de sociétés IT et de produits tiers sur le marché des startup américaines, constituant au fil du temps un portfolio impressionnant de produits technologiques destinés aux entreprises. Cette démarche d’acquisition fut à la fois la force et la faiblesse de Quest Software car il n’y avait aucun ciment technologique commun entre les différentes acquisitions aboutissant à un éventail de produits totalement désynchronisés d’un point de vue stratégique et technique.

La solution ActiveRoles a fait partie de ces acquisitions, permettant ainsi à la société de rentrer dans le domaine de la gestion des identités et des accès, notamment en environnement Microsoft. Ensuite, Quest Software a essayé de rationaliser sa stratégie liée à la gestion de l’identité en constituant une « marque » One Identity sensée représenter l’ensemble de la gamme gestion des identités au sein de Quest Software.

S’en est suivi le rachat de Quest Software par DELL, et là, franchement, cela a été un jeu de massacre, les produits non rentables commercialement ont plus ou moins été abandonnés, de nombreuses ressources tant techniques que commerciales sont aller voir ailleurs, et l’activité de la division DELL Software a petit à petit périclité… L’exemple typique est l’abandon d’investissement dans la gamme ex-Vintela, laissant à Centrify le champs libre sur le marché du bridge AD et de la gestion des privilèges sur Unix et Linux. Le nombre de migration ex-Vintela vers Centrify a alors été impressionnant…

DELL a ensuite décidé de rendre sa « liberté » à Quest afin de reprendre du poil de la bête. Désirant certainement modifier sa stratégie, la nouvelle société Quest a ensuite  décidé de se séparer de la division Gestion des Identités, appelée One Identity, afin de constituer une structure juridique indépendante de Quest. Tout ceci est assez surprenant, mais je ne connais pas tous les détails de la « transaction » ni les objectifs cachés de cette décision.

Un nouveau site est en ligne afin de présenter cette nouvelle entité juridique et les activité de One Identity: https://www.oneidentity.com/

 

Ce site web présente les produits historiques de la gamme de Quest Software en ce qui concerne la gestion des identités:

J’avoue que je ne sais plus trop quoi penser de ces produits…ni de leur avenir à moyen terme. De sources sures, les développeurs originels de ces différentes solutions se sont majoritairement fait la malle… Donc…

Quelle est la stratégie globale à moyen et long terme de cette nouvelle entité ?

Quel support technique pour les clients ?

Quel support commercial & technique pour les partenaires ? (abominable à l’époque de Quest Software)

Tout ceci est encore un peu nébuleux pour moi… et je n’ose imaginé ce qu’il en est pour les clients…

Pourtant certains produits, si ils sont véritablement repris en main, modifiés et adaptés aux nouvelles contraintes en terme d’IAM, possèdent un énorme potentiel, je pense notamment au couple Identity Manager +  Active Roles qui pourraient devenir une alternative crédible à MIM dans des grosses PME ou des ETI.

Si cette nouvelle entité possède les moyens de ses ambitions, cela mérite véritablement de garder un œil sur les futures mises à jour de ces produits et de suivre l’évolution de tout ceci dans les prochains mois.

A suivre donc, pour le meilleur ou pour le pire, nous verrons bien  😉

 

Comment Microsoft peut il vous accompagner dans votre démarche de certification ou conformité ?

Travaillant actuellement pour une grande organisation internationale désireuse de différentes certifications afin d’atteindre certains principes de conformité, je me suis trouvé pris à parti lors du dernier comité de pilotage. Lors d’une réunion garnie de chefs à plumes, le CISO du client, du haut de son piédestal, de ses certitudes et de son Anglais parfait d’Oxford m’a demandé comment les technologies Microsoft pouvaient aider son organisation dans cette démarche… La question ne m’avait jamais été posée sous cette angle… Bon il faut dire que le personnage n’avait pas l’air super fan des technologies Microsoft, cela sentait le piège… son œil malicieux était vif et brillant…

J’ai travaillé sur de nombreux projets PCI-DSS, des projets ISO, etc… souvent les solutions implémentées en réponse à ces demandes étaient réalisées via un ensemble de technologies différentes: Active Directory, Centrify, principes de moindre privilège, FreeBSD, système d’audit et de tableaux de bord, FIM/MIM, méthodologie BPM, scripts, utilisation de cartes à puce, etc. Jamais un RSSI ne m’avait « attaqué » sous l’angle « moqueur » du tout Microsoft…

Suite à sa demande et à quelques recherches, je suis tombé sur un site web de Microsoft vraiment intéressant proposant une source d’information quasi exhaustive sur le « comment Microsoft me permet d’avancer dans mon projet de Compliance »: https://www.microsoft.com/en-us/trustcenter/compliance/complianceofferings

Tout n’est pas parfait, mais ce site a le mérite d’exister. Il permet en effet de sélectionner les différents type de certification par type ou par région du monde:

Après une brève description de la certification, exemple ici avec ISO27001:

Le site permet d’obtenir tout d’abord des informations concernant les certifications obtenues par les produits ou services Microsoft dans le domaine considéré:

Puis de consulter de nombreuses sources additionnelles:

Bien évidement, en fonction de la certification, les données proposées et la structure de présentations diffèrent quelque peu.

Pour ceux qui recherchent sur la certification PCI-DSS, notamment dans le cadre de l’utilisation des services Azure, Microsoft met à disposition un fichier Excel vous permettant de définir, en fonction des objectifs PCI-DSS, quels sont les éléments sous la responsabilité de Microsoft et quels sont les éléments sous votre responsabilité. Très utile pour structurer son approche conjointe Cloud + PCI-DSS:

Je vous rappelle également l’existence d’un outil souvent méconnu de Microsoft, Security Compliance Manager (SCM), qui est une boite à outils extraordinaire pour ce type de projet – de plus l’outil est totalement gratuit et peut fournir des modèles prêts à l’emploi à utiliser via les GPOs, DSC ou SCCM afin d’appliquer des modèles de « compliance » sur les workstations ou les serveurs. Une nouvelle version de SCM prend d’ailleurs en compte Windows Server 2016 et Windows 10: https://technet.microsoft.com/fr-fr/solutionaccelerators/cc835245.aspx

Bref, une mine d’or pour ceux qui travaillent sur des projet de certification et de conformité.

Et bien oui, Microsoft pouvait bel et bien aider mon RSSI imbus de lui même…

En pièce jointe de cet article, en bonus, je vous ai rajouté un document réalisé par McAfee sur la liste des événements à auditer au sein d’Active Directory dans le cadre d’un projet PCI-DSS. Néanmoins ce document peut s’utiliser dans d’autres projets de conformité ou même dans une démarche toute simple de sécurisation ou de réduction de la surface d’attaque Active Directory: wp-pci-guidance-microsoft-windows-logging

Pour rappel: https://www.microsoft.com/en-us/trustcenter/compliance/complianceofferings

Bonne recherche et bonne lecture !

RegTechLab délivre un panorama des startups qui comptent dans l’IAM

Le cabinet RegTechLab a réalisé une étude très intéressante, en identifiant 187 startups qui comptent dans le domaine de la gestion des Identités et des Accès sur la scène internationale.

Ils ont catégorisé ces 187 startups en 7 segments:

  • Gestion des attributs

  • Authentification/Autorisation

  • Identity Access Management (IAM)

  • Identité Digitale

  • Identité pour l’Internet des Objets
  • Solution de monitoring
  • Technology Providers

Honnêtement, je trouve la segmentation pas très bien choisie, mais bon, c’est une erreur de jeunesse.

Au final, c’est un travail assez minutieux, il faudrait maintenant que RegTechLab puisse réaliser une étude plus en profondeur de chaque segment, puis de chaque startup.

Vous retrouverez l’intégralité de l’article sur ce lien: https://www.regtechlab.io/the-identity-startup-landscape

 

Directory as a Service (DIRaaS) : Découverte de JumpCloud [4/4]

Directory as a Service (DIRaaS) : Découverte de JumpCloud [4/4]

Au travers de ce quatrième et dernier article, nous allons découvrir comment utiliser l’annuaire JumpCLoud comme un LDAP as a Service.

Activation et paramétrages de base du service « LDAP service »

Tout d’abord, il faut activer la fonction, pour ce, il faut se rendre dans la section SETTINGS et activer la fonction via le bouton ON/OFF :

Une fois que la fonction est activée, cela génère un « Organization ID », cet ID est utilisé pour identifier l’instance LDAP de l’organisation au niveau du service JumpCloud, une connexion vers cet ID sera renvoyé au niveau de la branche de notre organisation. En effet, chaque entité cliente de JumpCloud utilise le même annuaire LDAP mais avec des branches complètement indépendantes. Dans notre exemple, notre branche sera :

o=585322a6bc0b5b5c277062ee,dc=jumpcloud,dc=com

Il faut ensuite créer un compte LDAP qui servira de compte de service pour la connexion sur l’annuaire LDAP :

Et lui donner un mot de passe :

Bien sûr, il est possible d’activer la fonction « LDAP BINDING USER SERVICE ACCOUNT » pour n’importe lequel des utilisateurs, disons que dans notre exemple, nous considérons que la connexion doit être réalisée par un compte de service, comme le ferait une application cherchant des attributs dans le LDAP par exemple.

Test du service LDAP

Pour tester la connexion, nous allons utiliser une browser LDAP, il en existe de nombreux, mais nous utiliserons le freeware LDAP Browser 4.5 téléchargeable ici : http://www.ldapadministrator.com/download.htm

Il suffit d’installer le client LDAP sur une machine Windows et de lancer l’utilitaire puis de créer une nouvelle connexion :

La connexion doit avoir les caractéristiques suivantes :

Host (serveur LDAP) : ldap.jumpcloud.com

Port : 389

Base DN : ou=Users,o=585322a6bc0b5b5c277062ee,dc=jumpcloud,dc=com

Ici, 585322a6bc0b5b5c277062ee est notre organisation ID que l’on peut récupérer depuis la section SETTINGS de l’interface web de JumpCloud :

Il faut ensuite indiquer le compte de service avec lequel nous allons nous connecter sur l’annuaire LDAP et son mot de passe :

Dans notre exemple, le principal utilisé pour la connexion est:

uid=ldapservive,ou=Users,o=585322a6bc0b5b5c277062ee,dc=jumpcloud,dc=com

Nous avons ensuite accès à l’annuaire LDAP:

Avec par exemple, l’objet Sylvain Cortes :

Rajouter des groupes LDAP

Il est possible de rajouter des groupes LDAP dans l’annuaire en utilisant la fonction TAGS.

Définir un nom pour le TAG, qui sera aussi le nom du groupe LDAP et activer la fonction « Create LDAP groups for this tag » :

Puis rajouter des membres au groupe :

Il est alors possible de vérifier la présence du groupe et de ses membres depuis le browser LDAP :

Ce groupe LDAP pourra alors être utilisé depuis une application se basant sur des groupes LDAP pour fournir l’accès à certaines partie de l’application par exemple.

Les attributs utilisateurs : attention, rien à voir avec LDAP !

Dans l’interface de modification des comptes utilisateurs, il est possible de rajouter des attributs :

Attention, pour l’instant, ces attributs sont uniquement exploitables via l’API JumpCLoud et ne sont pas rajoutés dans le schéma LDAP. Il est prévu dans la roadmap de pouvoir rajouter des attributs LDAP et donc de rendre le schéma extensible, ce qui serait une fonction bien utile !

Voilà, cette série d’articles destinés à la découverte de l’offre JumpCloud est terminée. Je réaliserai vraisemblablement deux autres articles sur les fonctions avancées : les TAGS et la fonction de SSO via Fédération. En sachant que cette dernière fonction, pour moi, s’éloigne quelque peu de la fonction mise en avant qui est du DIRaaS et se rapproche plutôt des fonctions de IDaaS que l’on retrouve chez Microsoft, Okta et Centrify.

Si vous avez des questions sur le sujet ou si vous avez un projet allant dans ce sens, n’hésitez pas à me contacter par email ou via mon compte twitter : http://www.identitycosmos.com/sylvain-cortes_mvp

Directory as a Service (DIRaaS) : Découverte de JumpCloud [3/4]

Directory as a Service (DIRaaS) : Découverte de JumpCloud [3/4]

Dans la deuxième partie de cet article, nous avons évoqué l’intégration des systèmes Windows et Linux dans l’annuaire JumpCloud. Nous allons maintenant explorer une autre fonction intéressante de cet annuaire : la fonction Serveur RADIUS as a Service.

Paramétrage du service RADIUS

Dans une première étape, nous allons activer le RADIUS as a Service dans l’interface JumpCloud :

Il faut fournir un nom à notre service RADIUS, ici : jumpcloud_radius1

Il faut indiquer l’adresse IP publique du réseau qui va interagir avec le serveur RADIUS, il s’agit de l’adresse IP publique utilisée au niveau de votre routeur ou firewall pour la connexion à votre fournisseur de services Internet – vous pouvez traditionnellement trouver cette adresse IP dans l’interface de configuration de votre routeur/firewall.

Un « SHARED SECRET » est généré pour vous, mais vous pouvez tout à fait définir le vôtre, il est possible de visualiser le secret en cliquant sur le bouton représentant un œil afin de faire un copier/coller.

L’onglet TAGS permettrait d’associer des groupes d’utilisateurs avec ce serveur RADIUS afin de restreindre l’utilisation de ce service à des utilisateurs en particulier – ici nous ne paramétrons aucun TAGS, donc tous les utilisateurs de l’annuaire peuvent utiliser le service RADIUS.

Test du service RADIUS

Pour tester l’authentification sur le service RADIUS, il est possible de réaliser le test avec un client RADIUS de test. L’un de mes favoris est le client qui a été réalisé par la défunte société MasterSoft : NTRadPing test Utility. L’outil est encore téléchargeable sur le site de Novell, ici : http://www.novell.com/coolsolutions/tools/downloads/ntradping.zip

Dans l’interface, il suffira d’indiquer les informations suivantes :

Radius Server : 104.154.91.253 ou 104.196.54.120

Port Radius : 1812

Radius Secret Key : il faut ici copier/coller le « SHARED SECRET » que l’on a configuré dans l’étape précédente dans l’interface JumpCloud

Il faudra ensuite renseigner le login et mot de passe d’un utilisateur présent dans l’annuaire JumpCloud et qui a le droit d’utiliser le service Radius configuré.

Il ne reste plus qu’à appuyer sur le bouton « Send » pour tester la connexion et la réponse du serveur. Si la réponse est « response : Access-Accept » c’est que tout va bien et fonctionne correctement.

Si le mot de passe renseigné n’est pas correct, le message serait le suivant :

La plupart des articles pouvant guider sur le paramétrage du service Radius se trouvent sur ce lien : https://support.jumpcloud.com/customer/portal/topics/926833-radius-as-a-service/articles

Bien évidement l’usage classique d’un service Radius serait de permettre à des utilisateurs de s’authentifier auprès un point d’accès wifi avec leur login et mot de passe provenant de l’annuaire Cloud.

Directory as a Service (DIRaaS) : Découverte de JumpCloud [2/4]

Directory as a Service (DIRaaS) : Découverte de JumpCloud [2/4]

Dans la première partie de cet article, nous avons évoqué la prise en main de la solution ainsi que la création des comptes utilisateurs, nous allons maintenant explorer l’intégration des systèmes Windows et Linux dans l’annuaire JumpCloud.

Référencement de systèmes (OS) dans l’annuaire JumpCloud

Il est possible de renseigner des systèmes, c’est-à-dire des OS dans l’annuaire JumpCloud. JumpCloiud est compatibles avec des clients Windows, MacOS et Linux. Il faut alors installer un agent JumpCloud sur le système qui fera office de client pour l’annuaire, un peu comme un client Active Directory pour un système Windows ou un client Active Directory sur un système Linux ou MacOS grâce à la technologie Centrify.

Le client jumpCloud communique avec une session sur le port 443 avec l’annuaire JumpCloud, la communication depuis l’annuaire JumpCloud vers l’OS se fera via cette connection sécurisée, il n’y a donc pas besoin d’ouvrir de port entre l’extérieur et l’intérieur de l’entreprise car cette session sur port 443 est initiée depuis le client JumpCloud :

Vous trouverez ici la liste des systèmes supportés par le client JumpCloud : https://support.jumpcloud.com/customer/portal/articles/2390451-jumpcloud-agent-compatibility-and-system-impacts

Vous trouverez ici la liste des ports TCP/IP nécessaire pour la communication entre le client JumpCloud et l’annuaire JumpCloud : https://support.jumpcloud.com/customer/portal/articles/2390681

Pour rajouter un système depuis l’interface d’administration :

Référencement d’un système Windows

Choisir l’onglet Windows, télécharger le client JumpCloud :

Le lien de téléchargement direct est : https://s3.amazonaws.com/jumpcloud-windows-agent/production/JumpCloudInstaller.exe

Bien évidemment, nous prendrons ici comme exemple un PC sous Windows 10 qui est en Workgroup et qui n’est donc pas intégré dans un domaine. Nous explorerons au travers de prochains articles la liaison possible entre une infrastructure Active Directory existante et JumpCloud, mais dans tous les cas, il n’est pas possible d’installer l’agent JumpCloud sur une machine Windows liée à un domaine Active Directory (c’est-à-dire qui possède un compte machine dans un annuaire Active Directory).

Installation de l’agent :

Copier/Coller la clé disponible depuis l’interface web JumpCloud :

Réaliser un redémarrage du système après la fin de l’installation. Après le premier redémarrage, le système Windows apparait dans l’interface :

En cliquant sur le bouton détails, il est possible de visualiser les attributs principaux de la machine :

Par défaut, les utilisateurs présents dans l’annuaire sont vus dans l’interface mais ils n’ont pas le droit de se connecter sur le système, il faut donc sélectionner explicitement les utilisateurs que l’on autorise sur ce système en les sélectionnant et en cliquant sur le bouton « save system » :

Le système des TAGS nous permettrait d’automatiser cette sélection explicité, mais nous découvrirons cela dans un prochain article.

L’utilisateur provenant de l’annuaire JumpCloud est alors créé dans la base SAM locale de la machine :

Comme il a été décidé que cet utilisateur possède des droits d’administration sur les machines de l’annuaire JumpCloud, il est aussi rajouté automatiquement dans le groupe des Administrateurs locaux de la base SAM :

Le compte utilisateur créé possède les propriétés suivantes :

Il est maintenant possible de s’authentifier avec le compte utilisateur JumpCloud sur la machine Windows en utilisant le mot de passe du directory JumpCloud :

Un nouveau profil utilisateur est créé sur la machine lors de la première authentification :

Changement du mot de passe de l’utilisateur et impact sur le système Windows

Via l’interface en ligne, l’utilisateur final peut changer son mot de passe depuis son portail utilisateur :

L’administrateur peut lui aussi réinitialiser le mot de passe d’un utilisateur de l’annuaire :

Le nouveau mot de passe devra être conforme aux exigences liées à la politique de mot de passe définies dans le portail administrateur :

Le nouveau mot de passe sera alors automatiquement poussé sur le système lors de la prochaine connexion avec l’agent du système.

Référencement d’un système Linux

Ici les tests seront réalisés avec une CentOS 7.

Lors de la première étape, nous allons indiquer que pour un même utilisateur, nous souhaitons avoir le même UID sur les différents systèmes Linux sur-lesquels nous allons provisionner ce compte – de cette façon, quand un compte utilisateur sera provisionné sur des systèmes Linux différents, l’UID associé sera toujours le même. Voir cet article : https://support.jumpcloud.com/customer/en/portal/articles/2439908-manually-assigning-uid-gid-to-users

Pour cela il faut se rendre dans la partie SETTINGS :

Puis désigner l’UID et GID pour les utilisateurs qui vont se connecter sur les différents systèmes Linux :

Maintenant, tout est prêt pour rajouter un système Linux :

Sur le système Linux, passer en root (su) pour vérifier que vous êtes bien en root, taper la commande « id », l’id retourné doit être «zéro»:

Ouvrir un terminal sur le système Linux, puis Copier/Coller la commande qui se trouve dans l’interface JumpCloud dans la fenêtre de terminal sur le système Linux :

L’installation de l’agent se déroule, le système doit avoir accès à Internet pour télécharger le package de l’agent.

Il est possible de redémarrer le système Linux pour s’assurer que tout fonctionne bien au démarrage, mais le système doit apparaitre sur l’interface de JumpCloud sans redémarrage :

Ensuite, il faut rajouter l’utilisateur que l’on souhaite provisionner sur le système (sans passer par le système des TAGS que nous verrons dans un prochain article) :

Après un redémarrage de l’agent JumpCloud :

service jcagent stop

service jcagent start

Le nouvel utilisateur est créé avec le bon UID/GID dans le fichier /etc/passwd :

Après avoir ouvert une session sur le système avec le nouveau compte, il est possible de vérifier son ID :

Pour avoir un statut de l’agent depuis le système Linux :

service jcagent status

Pour des détails sur le fonctionnement de l’agent sous Linux, voir l’article suivant : https://jumpcloud.desk.com/customer/portal/articles/2399128

Dans notre prochain article, nous allons explorer les fonctions liées à RADIUS et l’annuaire JumpCloud.

Directory as a Service (DIRaaS) : Découverte de JumpCloud [1/4]

Directory as a Service (DIRaaS) : Découverte de JumpCloud [1/4]

Les différents fournisseurs de services d’identités hébergés dans le cloud se sont concentrés soit sur les fonctions de Identity as a Servive (IDaaS) ou de Cloud Access Security Broker (CASB), mais très peu ont tenté de proposer une véritable offre d’annuaire (DIRaaS) sous forme de SaaS.

Les seuls qui ont tenté la chose sont pour moi Microsoft (avec l’offre Azure Directory Services, nécessitant Azure Active Directory comme back-end), Amazon (AWS Directory Service, mais avec de nombreuses limitations techniques) et la société JumpCloud.

L’approche de JumpCloud est tout à fait innovante, car ils se positionnent comme des « pure player » fournisseur de DIRaaS et non pas comme fournisseur de IDaaS (bon, dans les faits, ils n’ont pas pu s’empêcher de mettre une brique de SSO basée sur SAML…). En effet l’idée est ici de fournir un « véritable » annuaire, dans le cloud qui est compatible par exemple avec LDAP ou RADIUS et demain pourquoi pas avec Kerberos.

L’idée de JumpCloud est donc de fournir un annuaire sous la forme d’un service. La difficulté de cet exercice réside dans le fait que les annuaires modernes ne sont pas simplement des annuaires LDAP – si l’on prend Active Directory par exemple, l’intégration avec Kerberos, la gestion des certificats ou dans une moindre mesure le lien Radius sont tout à fait remarquables. De plus, les annuaires modernes doivent pouvoir servir d’IdP pour les applications désirant consommer un service de fédération pour l’authentification des utilisateurs.

L’exercice de style n’est donc pas simple pour JumpCloud, voyons donc comment ils s’en sortent dans une série de quatre articles traitant de la découverte de cette offre en ligne. Si j’ai des retours positifs, j’aborderais ensuite dans une courte série de deux articles les fonctions avancées.

Pour se créer un compte d’évaluation, il faut se rendre sur cette page : https://jumpcloud.com/signup – une fois le formulaire rempli et le traditionnel lien de confirmation par email cliqué, le compte d’administration est prêt et l’on peut se connecter sur l’interface de gestion.

JumpCloud laisse à disposition une liste de « QuickStart Guide » pour bien prendre les choses en main – la liste de ces guides est accessible ici : https://support.jumpcloud.com/customer/portal/topics/947955-getting-started/articles

Le premier login administrateur sur le service JumpCloud

Voici le lien pour se connecter sur l’interface de gestion : https://console.jumpcloud.com/login

Il faut bien comprendre qu’il y a deux parties dans la mire de login, la partie « user » à gauche et la partie « administrator » à droite, il faut faire le bon choix car l’interface qui sera proposée derrière est différente en fonction de ce choix :

Une fois connecté à l’interface d’administration, un menu apparait sur la gauche permettant de sélectionner la zone d’administration, la partie de droite changera en fonction de ce choix.

  • USERS : Gestion des comptes utilisateurs, qu’ils soient créés directement dans l’annuaire manuellement ou qu’ils proviennent d’une synchronisation (depuis Active Directory par exemple)
  • SYSTEMS : Gestion des OS qui seront connectés à l’annuaire (Windows, Linux et MacOS) et qui pourront recevoir des règles de gestion depuis l’annuaire JumpCloud
  • TAGS : La gestion des TAGs permet de multiples choses, mais notamment l’association d’utilisateurs à des ressources ou à des objets (groupes)
  • APPLICATIONS : C’est la partie SSO vers des applications compatibles avec SAML (fédération d’identité)
  • COMMAND : Permet de programmer l’exécution de commandes sur les systèmes (OS) gérés dans l’annuaire
  • RADIUS : Utilisation d’un service serveur RADIUS as a Service

Création du premier utilisateur dans l’annuaire JumpCloud

La première connexion à l’interface d’administration permet de créer immédiatement des utilisateurs depuis la section USERS :

Ici nous allons choisir de créer un utilisateur qui aura des droits d’administration, il sera donc « Global Administrator », il pourra invoquer sudo sur les systèmes Linux et mais devra s’authentifier. De plus, l’utilisateur aura le droit de faire un Bind LDAP et de réaliser des recherches sur l’annuaire via LDAP. Enfin, nous lui définissons son mot de passe.

Un point important, ici, « Global Administrator » ne signifie pas que ce compte a des droits d’administration sur le service JumpCLoud en tant que tel, mais uniquement qu’il a des droits avancés sur les systèmes sur lesquels il pourra s’authentifier.

Après avoir cliqué sur le bouton « save user », nous avons notre premier utilisateur dans l’annuaire JumpCloud :

Quand on regarde les détails de sa fiche utilisateur, il est possible de constater que l’utilisateur à bien un « LDAP DISTINGUISHED NAME »:

Il est tout à fait possible de modifier ses attributs existants, par exemple son email :

Premier login utilisateur

Si maintenant on utilise cet utilisateur pour se connecter à l’annuaire JumpCloud en précisant qu’il s’agit d’un login utilisateur via l’URL suivante : https://console.jumpcloud.com/login

Nous constatons que l’utilisateur peut de lui-même éditer un certain nombre d’attributs ou de champs dans l’annuaire (attributs qui lui sont liés bien sur) :

Et qu’il a accès à des applications, la possibilité de rajouter des clés ainsi que la possibilité d’activer le MFA via Google Authenticator :

Distinction entre les comptes utilisateurs et les comptes administrateurs JumpCLoud

Attention, il faut bien comprendre qu’il y a trois types de comptes :

Type de compte Stockage Etendue d’administration
Administrateurs de l’instance JumpCloud Dans une base des administrateurs séparées de la base de l’annuaire en tant que tel Administrators

Administrators with Billing

Command runner

Command runner with Billing

Utilisateurs de l’entreprise Dans l’annuaire JumpCloud Aucune
Utilisateurs de l’entreprise avec des droits d’administration sur les systèmes Dans l’annuaire JumpCloud Certaines droits d’administration sur les systèmes eux-même

Base de comptes des Administrateurs JumpCloud:

La base de comptes des utilisateurs dans l’annuaire JumpCloud (représente les utilisateurs « end users » de l’entreprise :

Il est donc tout à fait possible d’avoir deux comptes avec le même login, un qui est administrateur JumpCloud et l’autre qui représente l’utilisateur au sens « end-user » avec deux mots de passe différents, lors de l’authentification en ligne, il faudra choisir sur quelle base de comptes (users ou administrators) se connecter :

Voilà ce premier article nous a permis de prendre en main la solution JumpCloud et de comprendre les bases de comptes utilisées. Dans le prochain article nous explorerons l’intégration des OS Windows et Linux au sein de cet annuaire.

Quel futur pour Active Directory et Azure Active Directory ?

eic_kimcameron

La 10ème conférence European Identity & Cloud (eic) est terminée. Elle a été très riche en sessions techniques ou stratégiques. Un des points culminants de cet événement a été la présentation de Kim Cameron sur le futur des technologies Active Directory (en local donc) et Azure Active Directory (dans le cloud donc).

Pour ceux qui ne connaissent pas Kim Cameron, il s’agit de « monsieur identité » chez Microsoft, il est Chief Architect of Identity et donne la mesure et bâtie la stratégie de Microsoft en ce qui concerne la gestion des identités. Son blog est une référence sur ce sujet dans le monde anglophone: http://www.identityblog.com/

Dans cette session, Kim Cameron a tenté de présenté des pistes pour les décideurs IT, leur donnant sa vision du futur et de la cohabitation des technologies Active Directory et Azure Active Directory, en faisant notamment un focus sur le service Azure AD Directory Services permettant d’exposer Azure Active Directory au travers de services généralement utilisés localement sur un Active Directory local (kerberos, LDAP, etc.).

Pour ma part, je pense que dans 2 ou 3 ans, le couple Azure Active Directory + Azure AD Domain Services permettra de fournir un ensemble de services équivalents à ce que nous connaissons actuellement avec un Active Directory local, il s’agit vraisemblablement du futur des annuaires dans le cloud, avec une multitude d’applications ou de systèmes qui pourront se connecter et utiliser ce service global. Sans vouloir faire le « Microsoft Fan Boy » de base, il n’y a aucun équivalent à cette offre chez les autres fournisseurs cloud, Microsoft est en train de créer une offre de services IAM dans le cloud sans aucun concurrent valable ou valide. Cela est même assez étonnant de voir la pauvreté de l’offre Amazon et Google dans ce domaine…

Vous pouvez consulter la présentation de Kim Cameron ici:

 

Ubuntu: Mise à jour de la documentation intégration Kerberos/LDAP

ubuntu_kerberos_ldap

Comme vous le savez certainement, il est possible d’utiliser un annuaire LDAP comme conteneur des utilisateurs utilisés dans un royaume Kerberos. Sous Active Directory, cette « association » se fait naturellement, Active Directory proposant cette fonction de native et transparente pour les administrateurs.

Dans le monde Linux/Unix, cela est très différent, il faut expressément paramétrer le royaume Kerberos pour que celui-ci utilise un back-end LDAP pour stocker les informations utilisateurs, ensuite, en terme de protocole, on est sur du connu, Kerberos pour la partie authentification, LDAP pour la partie autorisations.

Franchement, quand on a compris le concept, ce n’est pas très compliqué, je dois avoué que l’avantage sur Unix/Linux, est une plus grande séparation des fonctions, donc une meilleure compréhension globale de l’architecture: Comme les choses ne sont pas faite automatiquement, et bien du coup, on comprend précisément les différences entre Kerberos et LDAP, cela rend vraisemblablement les choses plus simple à conceptualiser pour les débutants même si bien sur cela occasionne un paramétrage supplémentaire non nécessaire sous Active Directory.

Les concepts sont identiques sur l’ensemble des plateformes Linux mais chaque distribution a bien sur ses petites particularités. Ubuntu a mis jour dernièrement la documentation présentant cette intégration: dans ce scénario, les comptes utilisateurs sont donc créés dans LDAP, si la réplication LDAP est paramétrée, on a donc « l’équivalent » d’une réplication multi-maitres comme des contrôleurs de domaine Active Directory (enfin presque…) et un royaume Kerberos qui peut s’appuyer sur l’annuaire LDAP au lieu de s’appuyer sur une base de données Berkeley (ce qui est la configuration native d’un royaume Kerberos) pour stocker les objets utilisateurs.

La documentation pour Ubuntu, en Français est accessible [ ICI ]

Pour une référence plus générique et globale, vous pouvez aussi consulter la documentation MIT Kerberos [ ICI ]

 

 

Comprendre les fonctions PAM de MIM et les nouveautés sur PAM apportées par MIM SP1

privilaged-access

 

La gestion des privilèges et des accès à des comptes d’administration est une problématique récurrente chez les clients d’une certaine taille. Plus l’infrastructure grossie, plus les applications sont nombreuses, plus les services IT sont découpés (merci ITIL…) plus les comptes dits « à pouvoir » se multiplient dans l’écosystème IT des entreprises.

Ici, point de salut avec le Cloud, IT locale ou délocalisée, le nombre de comptes à privilèges ne réduit pas dans le nuage, parfois, il augmente, car la situation actuelle est hybride, de l’IT locale et de l’IT dans le nuage, donc multiplication des comptes à privilège, représentant  des populations d’administrateurs ou de responsables IT parfois différentes.

De nombreuses solutions sur le marché existent pour gérer ces comptes, j’ai commencé un article qui parcourra les différents modèles, mais je voulais mettre en avant la solution proposée notamment par Microsoft car elle a un caractère innovant.

De prime abord, la fonction PAM proposée par MIM semble lourde, elle l’est. En effet, le principe est globalement (je fais simple) de créer une forêt dédiée à la gestion des comptes ou des groupes qui contiennent des comptes à privilèges. On parle ici d’un forêt « bastion », oui vous avez bien lu, il faut une nouvelle forêt, et cela peut rebuter les comptes de tailles moyennes, car cela signifie, de nouvelles procédures, des outils de backup, de supervision, etc…

Mais, pour les comptes d’une certaine taille, je dirais au delà de 10 000 comptes, cette approche d’architecture peut apporter des avantages:

1/ on utilise ici des technologies connues & fiables: Active Directory

2/ la solution sera de facto compatible avec tous les systèmes acceptant  Active Directory comme référentiel de comptes et de groupes, les technologies Microsoft bien sur, mais aussi, Linux, Unix, MacOS, etc… ca commence donc à devenir intéressant

3/ la solution se base sur des protocoles reconnus, tel que Kerberos par exemple

Je vous conseille cette page sur le site de documentation de Microsoft: https://docs.microsoft.com/en-us/microsoft-identity-manager/pam/privileged-identity-management-for-active-directory-domain-services qui décrit les fonctionnalités dans les grandes lignes et l’infrastructure afférente.

Les nouveautés du SP1 de MIM 2016.

Bon, le SP1 de MIM 2016 apporte des choses intéressantes à la solution, comme par exemple le support officiel des différentes browsers web du marché, mais concernant le module PAM, ce qui me semble le plus intéressant, c’est la possibilité de scripter l’intégralité de l’installation du module PAM via PowerShell. Cela ouvre de nouveaux horizons car les scripts de configurations ne s’arrêtent pas uniquement à la partie PAM de MIM mais prennent aussi en compte les paramètres nécessaires comme la partie Active Directory, le SID filtering, la partie Silo Active Directory, etc…

mimsp1_pam_powershell

Il est donc imaginable, soyons fous, de déployer des instances dédiées pour des environnements différents au sein d’une même entreprise; pourquoi pas modéliser la chose sous forme d’appliance prête à l’installation et dont le setup final se ferait via une interface web pilotant le PowerShell ?

Si la gestion des privilèges est dans votre périmètre, et que vous travaillez dans une entreprise de plus de 10 000 employés, regardez la solution PAM de MIM, elle peut être une voie parmi d’autres…

 

 

 

 

XACML is dead or not ?

xacml.plain.logo

 

Depuis maintenant plusieurs années, je m’intéresse à l’évolution du « standard » XACML, en me posant bcp de questions… En effet, d’un point de vue technologique, je pense qu’il s’agit d’une excellente manière de gérer les rôles applicatifs au sein des grandes entreprise. Pour faire simple, XACML est plutôt un langage structuré (basé sur XML) qui permet de décrire des rôles et surtout des politique de contrôle d’accès – ces politiques peuvent être simples, très complexes et peuvent se baser sur des éléments dynamiques ou contextuels: par exemple mes « droits » définis dans le code XACML peuvent s’adapter en fonction de l’adresse IP que j’ai, ce qui permettrait d’adapter mes droits si je suis sur le LAN ou depuis un VPN, etc. Encore une fois, d’un point de vue technique, je pense que c’est le top, c’est un peu monolithiques, mais au final on peut gérer des cas très complexes – le problème est que l’adoption (en tout cas en France) de ce standard est très faible – il y a peu de changements depuis 4 ans, quelques POC, mais pas de mise en production – en effet, le problème majeure est qu’il faut écrire une partie des applications « in house » pour bénéficier de XACML, il y a déjà peu d’entreprises qui font du profiling applicatif dans un annuaire LDAP, alors XACML…on imagine… Je suis retombé sur un article d’un consultant Forester qui date maintenant de 3 ans, voir: http://blogs.forrester.com/andras_cser/13-05-07-xacml_is_dead – ce qui est amusant c’est que l’on pourrait avoir écrit l’article hier 😉 Les commentaires sont extrêmement intéressants également, un peu partisans, mais intéressants !

Donc que conseiller ? XACML or not XACML ? et bien je ne sais pas… Je pense que je conseillerais à une entreprise (à partir de 50 000 users) d’au moins faire un POC de la technologie, et de comparer avec le mode de profiling et de contrôle d’accès actuel. De plus, je pense que nous ne verrons jamais des plug-in applicatifs « sur étagère » (ce qui est bien dommage…) genre un plug-in XACML pour SharePoint, pour SAP, pour Apache, etc… ce qui sous-entend que chaque entreprise devra écrire et maintenir le module XACML pour chaque application importante.

Quels liens pour aller plus loin:

https://en.wikipedia.org/wiki/XACML

https://www.axiomatics.com/ (pour moi le seul fournisseur XACML qui respectent vraiment les standards OASIS avec Oracle)

https://www.oasis-open.org/committees/tc_home.php?wg_abbrev=xacml

 

Connaissez vous Connectwave ?

 

connectwave

Bon, les lecteurs assidus qui me connaissent personnellement savent que je ne suis un fan absolu des différentes organisations gouvernementales dans le domaine des nouvelles technologies. Certains de ces organisations ne sont que des gouffres financiers ou se perdent des fonds qui pourraient pleinement servir les jeunes pousses françaises qui en ont bien besoin.

Néanmoins, je dois bien avoué que j’ai été conquis par l’initiative Connectwave. Connectwave est un organisme jouant le rôle de catalyseur et de mise en relation entre les différentes sociétés françaises innovant dans le monde du sans-contact (RFID, NFC) et les entreprises clientes ayant besoin de ces technologies.

Une présentation de Connectwave [ ici ]

Une description de Connectwave provenant de leur site web:

“ Basée en région Provence-Alpes-Côte d’Azur, berceau du Sans-Contact, Connectwave est une plateforme d’essai et un espace de démonstration au cœur de l’écosystème national qui se décline en concept d’exposition itinérante dédié aux Objets Connectés et au Sans-Contact. Véritable vitrine technologique grandeur nature créée par le CNRFID, Connectwave est un lieu unique de tests et de compréhension des usages et des technologies. “

L’idée est excellente, le sujet porteur, les acteurs français performants, bref tout est réuni pour faire des technologies sans contact l’un des fers de lance de la “nouvelle” industrie française.

De mon côté, j’ai eu l’occasion de travailler sur des projets “multi-carte”, avec des carte intégrant l’ensemble des technologies (contact, sans contact voir bande magnétique) et je dois bien avouer que sur des scénarios d’indentification ou d’authentification secondaire, les technologies sans contact sont extrêmement intéressantes et peuvent fournir des solutions innovantes et pratiques dans le monde de l’authentification logique.

Pour finir, il faut savoir que Connectwave travaille de façon étroite avec le CNRFID, dépendant directement du Ministère de l’Economie de l’Industrie et du Numérique, qui a notamment un rôle de normalisation des technologies sans contact sur le territoire nationale.

Cnrfid

Je vais suivre de mon côté l’initiative Connectwave, je pense que de nombreux acteurs du sans-contacts peuvent se rallier à la cause !

Microsoft annonce la suppression du support de Identity Management for Unix (IDMU) & NIS Server Role dans Windows Server 2016 Technical Preview (et après)

 

Depuis plus de dix ans, Microsoft propose le support des services NIS au sein d’Active Directory. Bon, ok, NIS c’est complètement pourri et le stockage des mots de passe NIS et leur transport sur le réseau sont un gouffre béant de sécurité sur une infrastructure d’entreprise.

Neanmoins, certaines entreprises utilisent encore NIS (et oui !) et certaines entreprises utilisent les Services for Unix sous la forme ou NIS Server Role dans Active Directory (bon, ok, pas beaucoup, mais j’en connais…)

Sur ce post, Microsoft révèle l’abandon de deux composants liés aux services Unix depuis Active Directory à partir de Windows Server 2016:

  • – NIS Server Role (rôle Windows Server)
  • – Extension IDMU pour la MMC: cette extension à la MMC permet de visualiser les attribut Posix définis dans la RFC2307 directement depuis l’interface ADUC

Pour rappel, voici un exemple d’interface IDMU:

Unix_tab

Attention, cela ne veut pas dire que la RFC2307 n’est plus supportée dans l’annuaire Active Directory, bien au contraire, cela signifie que si l’on veut modifier ces attributs, il faudra utiliser l’onglet Attribute Editor, comme pour tous les autres attributs prévu dans le schéma ou utiliser ADSIEDIT ou encore un client LDAP en écriture.

Pour rappel, voici la listes des attributs RFC2307 utilisés dans Active Directory:

RC2307

Par contre, cela signifie qu’il ne sera plus possible d’utiliser un contrôleur de domaine en émulation d’un service NIS en utilisant uniquement les technologie Microsoft.

Cela va ouvrir la porte vers les ISVs spécialistes de l’intégration Unix/Linux dans Active Directory et surtout à Centrify et Dell qui sont les seuls à proposer une NIS Gateway digne de ce nom.

Si vous êtes utilisateur SFU ou NIS Server Role, n’hésitez pas à me contacter pour définir comment anticiper ce changement majeur au niveau de Windows Server.

Installation de Solus 1.1

 

Solus est un OS Linux destiné à un usage desktop uniquement. Il a été créé par une communauté désirant désigner un OS desktop devenant une véritable alternative à Windows ou MacOS

Pour ma part, je suis convaincu que le fait de faire un focus unique sur la partie desktop est une excellente idée. Ici pas d’OS serveur, pas d’optimisation pour la partie serveur mais au contraire une optimisation de l’OS et des applications disponibles pour un usage workstation – c’est à mon sens le seul moyen de bien faire les choses, faire un focus fonctionnel précis répondant à des usages précis

Vous trouverez un article à propose de Solus sur le site de Korben: https://korben.info/solus-linux-user-friendly-refuse-de-devenir-usine-a-gaz.html

Télécharger l’ISO en version 1.1 depuis: https://solus-project.com/download/

Transformer une clé USB en clé USB bootable depuis l’ISO téléchargé – par exemple, sous Windows avec l’outil Rufus disponible sur http://rufus.akeo.ie/?locale=fr_FR

Démarrer sur la clé USB, après quelques secondes, vous obtenez un écran d’accueil, choisir “Instal Solus”

capture20160305121638720

Cliquer sur “Find my location automatically”

capture20160305123306338

Choisir la langue désirée

capture20160305123508918

Garder les options de clavier par défault, à moins que vous ayez des besoins particuliers

capture20160305123610657

Sélectionner le disque sur lequel l’installation doit être effectuée

Cliquer ensuite sur le bouton “Launch Partition Editor”

capture20160305123733104

Nous considérons ici que le disque est vierge, sans partition existante et sans données

Cliquer sur le menu Device et choisir “Create Partition Table”

capture20160305124113354

Choisir le type de table de partition “gpt” et cliquer sur le bouton “Apply”

capture20160305124304198

Ensuite, réaliser un clic-droit sur la zone “unllocated” et choisir “New”

capture20160305124615569

Sélectionner le menu “File system” et choisir “linux-swap”

capture20160305124847712

capture20160305125024381

capture20160305125105895

Dans la zone “New size” entrer la valeur 2048 – Puis cliquer sur le bouton “Add” – Pour rappel, la partition de swap sert de zone tampon si votre espace en mémoire vive est saturé, pour un poste de travail une valeur à 2Go est largement suffisante

capture20160305130011535

Réaliser à nouveau un clic-droit sur la zone “Unallocated”, choisir New

capture20160305131520143

Laisser les valeurs par défaut: Pour “File system”, laisser “ext4” et laisser la taille maximum possible au niveau de l’attribut “New size” ; puis cliquer le bouton “Add” – La partition ext4 prendra donc l’intégralité du restant sur le disque. Pour rappel, la partition ext4 sert à stocker les fichiers ou les répertoires du systèmes et des applications

capture20160305131808047

Au final, vous devez obtenir quelque chose qui ressemble à ceci:

capture20160305135031526

Cliquer ensuite sur la coche verte à droite de la barre d’outils afin de formater les différentes partitions

capture20160305135142166

Cliquer sur le bouton “Apply”

capture20160305135251889

A la fin de l’opération de formatage, vous devez obtenir le message “All operations successfully completed”

capture20160305135348272

Cliquer sur le bouton “Close”

Aller dans le menu “GParted” de l’utilitaire de partition et choisir la fonction “Quit”

capture20160305135649348

Vous revenez alors à l’utilitaire d’installation. Sélectioner la partition “swap” puis cliquer sur le bouton “Assign as swap partition”

capture20160305135838294

Sélectionner la partition “ext4” puis cliquer sur le bouton “Assign as root partition ext4”

capture20160305140120348

Puis cliquer le bouton “Next”

capture20160305140350262

Choisir la TimeZone puis cliquer sur le bouton “Next”

capture20160305140448573

Rajouter au moins un utilisateur qui pourra se connecter au système une fois l’installation terminée – cliquer le bouton [+] et rajouter autant d’utilisateurs que désiré puis cliquer sur le bouton “Next”

capture20160305140812465

capture20160305141105156

capture20160305141148729

Fournir un nom (hostname) qui permettra d’identifier le système sur le réseau – Activer la fonction “Should we install a boot loader on ths computer ?” en cliquant sur la coche – Cliquer sur le bouton “Next”

capture20160305141427214

Vous arrivez ensuite à un écran présentant le récapitulatif de l’ensemble des paramètres que vous avez choisis. Vérifier les paramètres et cliquer sur le bouton “Next”

capture20160305141707741

L’installation de l’OS Solus 1.1 sur le système de fichiers commence

capture20160305141907985

A la fin du procesus d’installation, cliquer sur la croix rouge en haut à droite de la fenêtre – puis déclencher un redémarrage du système après installation

capture20160305142710594

Le système redémarre

capture20160305143248700

L’écran d’accueil avec la mire de login apparait – par défaut l’utilisateur créé pendant le processus d’installation est présent  il suffit alors de renseigner le mot de passe et de tester ce nouvel OS plein de promesses !

capture20160305143512570

capture20160305144316504

Les prédictions de CA Technologies en ce qui concerne l’IAM en 2016

Comme tous les ans, les experts de CA technologies fournissent leurs prédictions sur la marché IAM. Force est de constater que leur prédiction 2015 n’étaient pas si mauvaises, donc il semble intéressant de de regarder attentivement les prédictions 2016…

Le WebCast proposant les prédictions 2016 est accessible ici: https://www.brighttalk.com/webcast/7845/171013/ca-briefings-part-5-the-rise-of-the-user-security-predictions-for-2016

Le blog de CA Technologies propose un condensé de cette présentation en quelques paragraphes: [ source: https://blogs.ca.com/2016/01/05/five-identity-centric-security-predictions-for-2016/ ]

What’s ahead in 2016

For 2016, CA Technologies predicts the following five trends will emerge and have the greatest impact on security professionals dealing in identity this year.

  • Identity services will be used by increasing numbers of business users, as the function moves from IT to the Business.  This will require improvements in the user experience so that it is more intuitive and business-oriented. This will begin to result in improved engagement with customers and business users, as well as reduced risk.
  • Breach attack surfaces increase and the ramifications of a successful breach extend beyond financial loss. Increased reliance on DevOps/Agile development and virtual/cloud technologies opens new attack vectors, while cybercrime shifts to cyberespionage, threatening homeland security and opening the potential for cyberterrorism attempts.
  • Risk analytics moves from financial sector to the enterprise. As enterprises struggle to identify consumers from identity thieves using just a password for authentication, they will turn to risk-based analytics to protect their Internet sites and mobile applications.
  • As identity and access security and management (IAM) become more strategic to the business, there will be an increase in demand for IAM expertise in 2016. A greater focus on privileged identities, identities extending to the cloud, and third-party identities incorporated into the security framework makes the security challenge around identities more complex.
  • As the Internet of Things permeates the marketplace, it is increasingly clear it must become identity-centric. IoT will also stand for “identity” of things. As information passes across the internet and is stored on these IoT devices, they need to be confirmed and trusted just as a person’s identity needs authenticating.

Les points 3 et 4 sont pour moi très importants. Même si il s’agit d’un « vendor », le Webcast est extrêmement intéressant à regarder pour des spécialistes IAM qui veulent aller plus loin que la simple partie technique et qu’ils veulent comprendre un certain nombre d’enjeux business liés à l’IAM.

 

Microsoft Azure Stack: enfin !!!!!!!!!

Je veux vous faire partager mon excitation (comme dirait un américain « i am so excited ») à la sortie de Microsoft Azure Stack. En effet, cette nouvelle offre de Microsoft va permettre de créer son propre cloud interne, en se basant sur une « stack » de type « cloud service model ». Que l’on comprenne bien, pour moi l’intérêt du cloud n’est pas principalement de mettre ses « données » ou « services » à l’extérieur et d’externaliser sa propre responsabilité. Pour moi, l’intérêt majeur du cloud est de fournir un « cloud service model » est de permettre une plate-forme agile pour les utilisateurs, les développeurs, les responsables applicatifs ou les responsables business.

Il est en effet primordial de fournir « à la demande », « as a service » les ressources, au sens large du terme, que nécessitent les métiers au sein de l’entreprise: des serveurs, des applications, du stockage, etc. Cela doit être rapide, peu coûteux, automatisé – avec à la clé: des tableaux de bords clairs, du reporting, un système de facturation et de suivi. C’est effectivement le modèle proposé par de nombreux fournisseurs de service tels que Microsoft, Amazon ou Rackspace. Néanmoins, ce service s’exécute dans un cloud public (ok, il y a des exceptions possibles, mais restons simples…) – et cela limite grandement l’utilisation de ces services: gouvernance non adaptée, règles de sécurités ou de conformités non couvertes, bande passante Internet insuffisante, dépendance même de la connectivité Internet, mauvaise réversibilité, etc.

Depuis quelques années, se développe une tendance au cloud hybride, voir au cloud privé basée notamment sur OpenStack. La difficulté réside dans le mode « puzzle » des briques technologiques impliquées dans OpenStack, avec peu de consistance et un besoin très élevé de ressources internes pour faire fonctionner la bête.

Microsoft sort maintenant Azure Stack, qui est une installation « locale », en cloud privé du modèle « cloud service » proposé par Microsoft dans son cloud public Azure. Et franchement, je pense que cette solution a énormément d’avenir, en apportera de la consistance, du support professionnel et des évolutions programmées au modèle « internal cloud service ».

L’avenir des équipe IT est de travailler sur l’architecture de ce type de modèle, et de permettre l’agilité complète du SI, maintenant cela va être possible de façon simple pour toutes les tailles d’entreprise ou même à l’échelle d’un service particulier au sein d’une entreprise. A terme, les entreprises qui ne vont pas adopter ce type de modèle verront un handicap croissant se greffer sur leur performance et rentabilité, année après année. Bien sur, cela suppose des briques essentielles qui ne sont pas des briques purement IT, pour moi 3 briques essentielles sont nécessaires à ce type de modèle:

  • un sponsoring direct du CTO & du CFO
  • un système de facturation interne
  • la définition d’un catalogue de service

J’encourage tous mes lecteurs à planifier d’ici la fin de l’année une évaluation de Microsoft Azure Stack, car celui ci sera peut être au centre de leurs activités futures dans les années à venir. Le service IT interne a de la valeur, de l’expérience, des idées et bien maintenant prouvons le.

Quelques explications complémentaires disponibles sur cette vidéo:

 » And, i am so excited 😉 « 

TOP 100 des blogs anglophones sur la cyber-sécurité

 

top-cyber-security-blogs

 

Un article intéressant avec un recensement des différents blogs anglophones dans le domaine de la cyber-sécurité.

Bien sûr, c’est un peu subjectif, mais c’est une liste intéressante pour quelqu’un voulant se documenter sur le sujet.

La liste est accessible [ ICI ]

Pour ma part, le top-five serait celui-ci:

http://www.darkreading.com/ – blog généraliste sur la cyber-sécurité

https://googleonlinesecurity.blogspot.fr/ – le blog de google, bien sur très orienté technologie Google, mais pas que – traite d’Internet en général

http://www.net-security.org/ – un blog historique, généraliste

https://blog.malwarebytes.org/ – le blog de malwarebytes, très orienté malware forcément, mais très bien documenté

https://blogs.technet.microsoft.com/mmpc/ – le blog de Microsoft sur les malwares, souvent très interressant et souvent mise à jour

Directory as a Service, c’est parti !

AzureADDoma1Ça y est ! Microsoft rend public Azure AD Domain Services (à ne pas confondre avec Azure AD ou avec le fait d’installer un DC sur la plateforme IAAS d’Azure… Bon, je sais, ca devient un peu compliqué) qui est la première brique d’une approche qui fait fantasmer énormément de monde: le Directory As A Service ou DaaS. Alors oui, vous allez me dire le DaaS c’est aussi le « Data as a Service », le « Desktop as a service », etc… bon d’accord, alors écrivons le comme cela: DIRaaS, cela sera plus clair…

Donc pour faire simple, Microsoft rend public un nouveau service Azure permettant de créer un service online « simulant » un Active Directory dans Azure (côté SaaS, pas côté IaaS): Azure AD Domain Services. Les objectifs de ce service sont multiples:

(1) Permettre aux entreprise qui possèdent des applications AD dépendantes dans l’IaaS d’Azure (donc des applications hébergées sur des machines virtuelles Azure pour faire simple) de consommer un service Active Directory standard (enfin presque…) sans être obligé d’installer et de maintenir des DCs sur des machines virtuelles Azure uniquement pour des besoins applicatifs

(2) Permettre à des petites entreprises de pouvoir TOUT consommer sous la forme de service d’infrastructure depuis la plateforme Azure – Mais attention, à ce stade il n’est possible que de joindre des machines qui sont des VMs dans Azure, donc ici, pas possible de joindre un domaine Azure AD Domain Services depuis par exemple une machine Windows 10 qui est « on premises » (alors que cette fonction existe avec AD Azure, oui je sais c’est un peu compliqué…)

(3) A terme, fournir un véritable DIRaaS pour les grandes entreprises. Sur ce point, oui, je sais,  j’extrapole, mais je sens bien les choses comme cela, et franchement c’est assez intéressant. Bien sur il y a encore pas mal de dev à faire, mais cela va venir, j’en suis persuadé…

Faire des tests !

En effet, dans le cadre de la gestion de VMs qui sont dans Azure et qui possèdent des applications dépendantes à AD, il faut voir globalement le service Azure AD Domain Services comme un service qui expose les protocoles Kerberos, NTLM, LDAP et GPOs – les VMs Azure peuvent donc joindre ce domaine. Mais attention, on est pas ici exactement comme un domaine AD, donc il est important de faire des tests pour valider que vos applications sont fonctionelles dans ce contexte technique et être certain qu’elles fonctionnent avec ce service – à ce jour, je ne suis pas sur qu’il existe un catalogue officiel d’applications certifiées pour le service, cela viendra certainement.

En bref.

Super intéressant, à tester. Plus d’informations [ ici ]

Gestion des privilèges et protection de la donnée : quelle stratégie adopter ?

Les 2, 3 & 4 décembre 2014, Las Vegas a hébergé la convention annuelle sur la gestion des identités : « The Gartner IAM Summit ». J’avais assisté au Summit de l’année dernière (version Europe), et l’une des sessions qui m’avait laissé le plus dubitatif portait sur la gestion des privilèges… En effet, la session s’appelait « The Death of Least Privilege » – ce qui me semble être au mieux un rêve fou, au pire un postulat complètement improbable dans certains secteurs d’activité comme par exemple le secteur bancaire, soumis à des règles de régulation de type PCI-DSS…

Les échos que j’ai reçus de la suite de cette session, cette année, m’ont conforté dans certaines convictions… L’approche du Gartner a quelque peu évoluée… L’idée est maintenant de séparer en deux populations et deux périmètres distincts les employés d’une organisation :

  1. Une population à « haut risque » représentée par les administrateurs systèmes, les gestionnaires applicatifs, les responsables de la production de données, etc… qui représente environ 20% de la population d’une entreprise => La gestion des privilèges est ici un enjeu majeur
  2. Une population « Lambda » qui consulte les données et en créé très peu, avec des comptes systèmes qui n’ont aucun pouvoir => ici, l’approche n’est pas de gérer finement les privilèges mais de résonner en mode « IAM People centric » – ce qui signifie globalement que l’effort investi dans la gestion des privilèges dans cette population n’a pas de ROI possible – qu’il faut plutôt investir dans des solutions IAM simples, sans gestion des privilèges, bénéficiant d’une approche unitaire des choses, par exemple, en basant le contrôle d’accès sur un annuaire et des groupes, mais rien de plus complexe

Encore une fois, l’idée est ici de pouvoir fournir un véritable retour sur investissement ou pas – et pour en avoir réalisé – fournir un retour sur investissement du déploiement d’une solution de gestion de privilèges sur des postes de travail standardisés pour une population sans compte administrateur local… c’est comme qui dirait… pas évident…

Cette slide résume bien la situation actuelle et la tendance en termes de stratégie :

Source: Gartner IAM Summit 2014

En effet, l’avènement de la multiplicité des supports et formes d’accès aux données (PC, navigateur, mobile, tablette, etc.) m’amène à penser que seul une protection au niveau de la donnée elle-même est valide. Ici, point besoin de gestion des privilèges au niveau du « poste de travail », mais il faut :

  1. Décider des critères de classification et de diffusion de la donnée
  2. Appliquer cette stratégie de classification et de diffusion via des règles automatiques sur les supports de données permettant un traitement automatique
  3. Implémenter une solution de choix de la classification et du critère de diffusion des données au niveau du créateur de la donnée elle-même : la classification basée sur le choix du créateur de l’information est réellement la seule valide et indiscutable
  4. Déployer une solution de DLP voir d’IRM basée sur ces critères de classification et de diffusion

Le nouveau monde nous amène à penser différemment la protection de l’information et des privilèges des utilisateurs au niveau du SI – Ne dépensez pas de l’argent dans un projet de gestion des privilèges au niveau des utilisateurs « normaux » mais consacrez l’investissement là où il y a de la valeur, c’est-à-dire au niveau de la donnée.

En parallèle, investissez immédiatement dans un projet de gestion des privilèges au niveau des personnes possédant des comptes à pouvoir, là où vous trouverez un ROI immédiat en termes de sécurité et même de continuité de service, donc un intérêt fort pour le business.

Cette slide résume cette idée, les analystes du Gartner indiquent que cette transformation de l’approche de protection des données dure en moyenne 3 ans, ce qui me semble un très bien chiffre – Un projet de classification et de protection de l’information couplé à une solution de gestion des privilèges est effectif très rapidement, après 6 mois, mais l’ensemble des périmètres critiques n’est couvert qu’après au moins une vingtaine de mois. Le problème, c’est que notre approche « française » des choses biaise ce type d’approche – combien de RSSI m’ont indiqué : «  si je ne peux pas couvrir l’ensemble du périmètre, je ne bouge pas ! » – je pense que c’est l’argument le plus consternant qu’une personne en charge de la « sécurité » peut me fournir, à priori, plutôt que de protéger 20% du périmètre, il vaut mieux être à poil, curieuse approche…

Source: Gartner IAM Summit 2014

Pour finir, une slide résumant l’approche d’un projet de gestion des privilèges selon le Gartner, pour moi, les deux points cruciaux sont « Limit Scope » et « Monitor access » :

Source: Gartner IAM Summit 2014

En espérant vous avoir donné quelques pistes sur vos futures projets – n’hésitez pas à laisser vos commentaires ou à me contacter pour des retours d’expérience.

Les communautés techniques Microsoft

Juste un post éclair pour fêter la nouvelle année 2015 et pour vous conseillez de faire un tour sur le site web des communautés techniques Microsoft – c’est une vraie mine d’or concernant les communautés numériques du monde entier. Quel que soit votre expertise ou votre question, quelque part, un « esprit communautaire » est prêt à vous aider dans votre quête !

Un bon résumé visuel de l’offre Microsoft Azure

Microsoft a publié une mise à jour de son infographie représentant les différents services Microsoft Azure. Pour être honnête, le schéma global n’est pas très précis et certaines briques de services ne sont pas présentes, mais il s’agit tout de même d’un très bon moyen de se représenter l’offre Microsoft Azure quand il faut l’expliquer à des profanes. De toute façon, par nature, il est très compliqué d’obtenir un schéma complet à 100% car les évolutions des services en ligne se font à un rythme effréné…Voici quelques copies d’écran partielles de cette infographie :

La version PDF complète est téléchargeable [ ICI ]

Retour du Microsoft MVP Summit 2014

 

Et voilà, un nouveau MVP Summit vient de s’achever avec son lot de nouveautés, de soirées endiablées et de repas américains.

 

Au-delà des sessions techniques proposées par Microsoft, comme d’habitude, ce fut un réel plaisir de pouvoir échanger avec la communauté des MVPs venant du monde entier.

 

Quelques annonces « marketing » intéressantes qui sont devenues publiques depuis, comme le changement de nom de Lync pour la prochaine année [ voir le blog skype ici ] ou d’autres annonces que je ne peux pas divulguer à cet instant.

Des sessions techniques passionnantes sur Azure Active Directory et ses évolutions futures, avec un seul mot en tête : « cloud, cloud et encore cloud »…

 

Pour finir, une spéciale dédicace à Joris Faure, qui assistait à son premier Summit.

   

 

Kuppingercole Analysts publie un Executive View sur Centrify Server Suite

Kuppingercole, cabinet d’analystes spécialisé dans la gestion des identités publie un Executive View » sur l’éditeur Centrify (spécialisé sur les offres IAM on-premise et cloud) et son offre principale Centrify Server Suite. Kuppingercole Analysts reste pour moi le dernier cabinet indépendant qui a une vraie vision à la fois technique et stratégique sur le monde de la gestion des identités et des accès – profitons de son savoir-faire : http://www.kuppingercole.com/report/70886executiveviewcentrifyserversuite140714

Microsoft annonce que FIM devient MIM

Dans son billet daté du 23 Avril 2014, Microsoft annonce le changement de nom de FIM (Forefront Identity Manager) vers MIM (Microsoft Identity Manager). Cette évolution naturelle fait suite à la volonté de Microsoft de sortir du marché de la sécurité, et donc « d’éliminer » la gamme Forefront. La gamme Forefront avait pourtant trouvé son public, c’est assez bizarre à la vue des efforts déployés pour investir le marché de la sécurité – gageons qu’il s’agit d’une gestion des priorités – et qu’il fallait trouver des développeurs pour Azure et les autres services Cloud à effectif constant.

Un des seuls survivants de cette gamme est donc « ex-FIM », mais il fallait trouver un autre nom… MIM est important pour le dispositif Cloud de Microsoft, car il s’agit d’une brique primordiale pour le lien entre les architectures « on-premise » et « cloud » – grâce à MIM, Microsoft possède le moteur du cloud hybride en ce qui concerne la gestion des identités et capitalisera sur une bonne quinzaine d’années d’expérience sur le sujet (rachat de ZoomIT en 1999).

Voir le billet originel sur le « Microsoft server & cloud blog » : Forefront Identity Manager vNext roadmap (now Microsoft Identity Manager)

Ou ici :

Back in December we announced that we would be shipping the next version of Forefront Identity Manager in the first half of 2015. 

Today we would like to provide an update with further details of this release, including our approach and the investments we are making to enhance our on-premises, private cloud and hybrid cloud identity management solutions. 

Forefront Identity Manager helps your organization ensure users have appropriate access corporate information regardless of where it is located—in your datacenter or in the cloud, by providing self-service identity management, automated lifecycle management across heterogeneous platforms, a rich policy framework for enforcing security policies, and detailed audit capabilities. 

Our approach to the next version of Identity Manager is guided by the following customer feedback and innovation goals: 

  • Continue to address risks to critical assets, by enhancing and expanding the available protections for enterprise identity, ensuring the enterprise’s identity infrastructure is resilient to targeted attacks 
  • Enable the mobile access scenarios that customers are looking to adopt and manage from a broad range of devices across on-premises and cloud services 
  • Connect with Azure Active Directory to integrate with its features and extend the reach of enterprise identity to a range of Software-as-a-Service applications  
  • Deliver easy-to-deploy end-to-end scenarios that complement investments in Windows, Office, Microsoft Azure, and Active Directory with end user self-service, delegation and configurable policies 

We have three major investment areas for this release of Identity Manager: 

  • Hybrid scenarios that leverage cloud-based services delivered in Microsoft Azure, including Multi-Factor Authentication, Azure Active Directory application integration, analytics and reporting  
  • Support for the latest platforms and mobile devices with modern user interfaces  
  • Improved security with additional controls, analytics and auditing of administrative and privileged user identities and their access to Active Directory, Windows Server and applications  

As part of the next release, we will also move Identity Manager under the Microsoft brand, so this release will be known as Microsoft Identity Manager.  

More details will be available next month at the TechEd North America 2014 breakout session PCIT-B328, scheduled for May 14th at 5:00 PM US Central time. We will also have more to share and later in the year including timelines for preview programs and the release schedule.   

If you have any further questions please contact your Microsoft or partner sales representative. 

Microsoft UAG: chronique d’une mort annoncée…

rip-tombstoneCa y est, c’est fait, après quelques mois de rumeur, la nouvelle est tombée: Microsoft arrête UAG (Unified Access Gateway). Il ne reste qu’environ 6 mois pour acheter des licences UAG depuis le tarif Microsoft.

Ma première remarque: quel gâchis…

Rappelons qu’UAG provient du rachat de la société Whale Communications et a été le fer de lance de la publication de la publication d’applications Microsoft telles qu’Exchange ou Sharepoint depuis plusieurs années.

L’arrêt de TMG avait annoncé la couleur: Microsoft ne souhaitait pas continuer dans le firewall applicatif, mais il semblait nécessaire de conserver une solution pour publier de manière sécurisée les différentes services applicatifs, de plus, on pouvait trouver des redondances entre TMG et UAG, donc cela pouvait sembler logique…

Mais là, la nouvelle est brutale, que d’énergie dépensée pour rien, quid des nombreux clients qui utilisent la solution, il y avait à mon avis beaucoup mieux à faire.

Ma deuxième remarque: les constructeur de firewall/reverse-proxy se frottent les mains…

C’est clair, déjà depuis la mort de TMG, c’était la fête du slip, mais là c’est la fête au village ! tous les constructeur de firewall avec des notions de filtrage applicatif et des fonctions de publication avancées ont le sourire des bons jours – Il n’y a qu’à regarder leur communication, elle est même de plus en plus spécialisée du genre « venez vers moi, mon produit le meilleur pour remplacer TMG »…

Bref, le cloud continue ses ravages, certaines personnes chez MS doivent penser que comme il ne faut plus rien mettre on-premise, il n’y a plus rien à publier, je crois qu’ils rêvent un peu, voir beaucoup…

Plus d’infos ici: http://blogs.technet.com/b/server-cloud/archive/2013/12/17/important-changes-to-the-forefront-product-line.aspx

 

Windows Azure Active Directory: les nouvelles fonctions

waadMicrosoft vient juste de mettre en ligne tout un ensemble de nouvelles fonctionnalités pour WA AD (Windows Azure Active Directory). Tout d’abord, petit rappel, WA AD n’est PAS Active Directory dans Azure… Si une organisation veut un DC Active Directory dans Azure ou même faire une forêt complète dans Azure, la démarche est d’utiliser le service Infrastructure As A Service d’Azure et de faire une installation « classique » de Windows, suivi du rôle AD DS.

WA AD est en fait une nouvelle brique dans a stratégie de Microsoft, et c’est franchement très intéressant Il faut voir WA AD, principalement comme une offre de Fédération As A Service. En effet, l’instance WA AD d’une société va permettre en faite de connecté cette instance soit à des applications en ligne : Office365 bien sur, mais aussi SalesForce par exemple et/ou d’utiliser d’autres sources d’authentification comme étant le recueil d’utilisateur: l’instance WA AD d’un partenaire, un compte Google ou même un compte Facebook.

Comme l’instance WA AD de l’organisation est vraisemblablement « connectée »  à l’Active Directory on premise (dirsync + ADFS ou dirsync + Centrify for saas), et bien la boucle est bouclée.

WA AD débarque en deux mode, le standard et le premium – ce qui est bien avec le mode standard, c’est qu’il est gratuit, et franchement les fonctions de base sont assez impressionnantes.

Voici un détail des deux mode, en sachant que la version Premium est actuellement en beta, et donc gratuite elle-aussi jusqu’à la release finale:

WAAD_program

 

Une backdoor dans Linux ???

icon_linux

 

Il faut regarder cette vidéo, à partir de la 24ème minute… soudain une question du « monsieur loyal » qui amène les « panelists » à une situation inconfortable, la gène est perceptible…. et les démentis d’après conférence n’y feront rien… Si la NSA a une backdoor côté Windows, il n’y a aucune raison qu’il n’y en est pas côté Linux, Android etc… La négation orale conjointe à l’affirmation gestuelle de Linus Torvalds ne nous rassurent guère…

UNIX toujours jeune ;-)

pilipili

Malgré les prévisions « alarmistes » du Gartner prévoyant la mort d’UNIX dans les prochaines années (rien que ça !), je trouve que les ventes de serveurs UNIX ne vont pas si mal que cela ! En 2012, rien qu’en zone EMEA, le marché des serveurs UNIX a représenté presque 3 millions d’unités, ce n’est tout de même pas rien… Certes une vague de renouvellement des serveurs UNIX vers des serveurs Linux sous x86 est en cours, mais les applications stratégiques des mondes bancaires et industriels sont toujours confiées à des systèmes UNIX – Dans ce cadre, au travers des projets que je mène pour la sécurisation des différents systèmes, je dois dire que je suis toujours surpris de la qualité du système IBM AIX, je pense qu’il n’y a pas d’équivalent en terme de stabilité et de sécurité. Le seul bémol vient peut être du système RBAC AIX qui est une énorme « usine à gaz » pas vraiment fonctionnelle, mais dans ce cas, Centrify Direct Authorize fait des merveille en collaboration avec IBM AIX 😉

En conclusion, que le Gartner et les autres arrêtent de prendre leurs désirs pour des réalités, les systèmes UNIX sont bien là encore pour de nombreuses décennies – le tout est de pas avoir une approche partisane ou « religieuse », chaque systèmes possèdent ses avantages et ses inconvénient, il faut juste respecter cela et ne pas se tromper en terme de positionnement…

 

Gartner: Cool Vendors IAM 2013

 

coolvendors

 

 

 

C’est désormais un rituel annuel, le 29 Avril 2013, Gartner a publié la liste des « cool vendors » dans le domaine de la gestion des identités et des accès – comprendre – les sociétés qu’il faut surveiller si vous travaillez dans le domaine IAM, car leur technologies pourrait s’imposer dans les années à venir. Cette année, les sociétés à surveiller sont:

BioCatch
Brainwave
STEALTHbits Technologies
Victrio
Veriphyr

le document est [ ici ]  et coûte  495 $

Que les dieux du CyberEspace bénissent Patrick Pailloux !

  Patrick Pailloux est le directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI). L’ANSSI est l’autorité nationale en matière de sécurité et de défense des systèmes d’information. Elle a pour principales missions d’assurer la sécurité des systèmes d’information de l’État et de veiller à celle des opérateurs nationaux d’importance vitale, de coordonner les actions de défense des systèmes d’information, de concevoir et déployer les réseaux sécurisés répondant aux besoins des plus hautes autorités de l’État et aux besoins interministériels, et de créer les conditions d’un environnement de confiance et de sécurité propice au développement de la société de l’information en France et en Europe.

Autant dire que l’ANSSI est une organisation plus qu’importante dans le dispositif de réflexion des entreprises et organisations françaises dans le cadre de la sécurisation de leur SI et est l’auteur de nombreuses publications.

Patrick Pailloux était invité à ouvrir les Assises de la sécurité 2012 par un discours d’ouverture attendu. Les « spectateurs » n’ont pas été déçus… en effet Patrick Pailloux a réalisé un discours de TRES grande qualité, je vous invite à le lire [ ICI ]

Si je devais résumer ce discours:

  1. La DSI a le pouvoir, pardon le devoir, de dire « NON » à toutes les demandes hurluberlus
  2. Au travers de la mission d’intérêt public, l’ANSSI travaille sur un document décrivant « L’hygiène informatique en entreprise – Quelques recommandations simples » – un appel à commentaires sur cette version « draft »é est posté [ ICI ]
  3. Le BYOD est une escroquerie intellectuelle: MERCIIIIIIII !!!!!!!!!!!!!!!!!!!!!!!!! [ Voir un article précédent ]

Qu’il soit béni.

En effet, je suis jour après jour de plus en plus stupéfié par:

  1. La lâcheté des directions informatiques face aux demandes de la « Direction »
  2. Les risques induits par les « technologies » à la mode du moment: Cloud public, BYOD et autre délire des équipes dites « métier »
  3. L’impact extrêmement négatif des fameux « analystes » sur les décisions prises par les DSI

Les « analystes » et autres auteurs de « carré magique » deviennent les assurances tout risque des DSI: Les DSI ont peur de prendre une décision, donc elles s’en remettent aux « décisions » des analystes, qui sont devenus les oracles des temps modernes, ils ont la bonne parole, c’est certain ! Il est tout à fait étonnant de constater l’attrait quasi mystique qui accompagne chacune des publications réalisées par ces « analystes ».

Il est tout de même étonnant de constater que les DSI n’ont pas le courage (j’ai failli écrire autre chose…) de leur propre analyse et choix. A oui, pardon, « ce n’est pas leur métier » – ah bon ? et c’est quoi le métier d’une DSI alors ? de planter des fraises ?

Les clients finaux nourrissent les Fournisseurs de Technologies, les Fournisseurs de Technologies nourrissent les analystes, les analystes nourrissent les clients finaux: la boucle est bouclée !

Pour finir, je tire mon chapeau à Patrick Pailloux qui le courage de ses opinions et qui n’a pas cédé aux sirènes « du cocktail réputé des Assises de la sécurité » pour modifier son discours et dévier de sa vrai mission. En effet, année après année, les cocktails des Assises de la sécurité sont plus réputés que le niveau technique des sessions, c’est bien dommage….

 

La désillusion du VDI ou la nouvelle version de l’imposture informatique

  Une fois n’est pas coutume, cet article n’est pas spécifiquement orienté vers le thème de l’IAM, mais porte sur un sujet qui m’est cher: « L’imposture informatique« .

Toute personne travaillant dans l’informatique doit avoir lu le livre « L’imposture informatique« , c’est une nécessité afin de bien comprendre l’industrie dans laquelle « nous » travaillons. Notez, je suis tout à fait conscient de participer très activement à cette imposture, mais je ne suis pas dupe. Malheureusement il se trouve que je gagne en partie ma vie grâce aux nouveaux besoins que le couple Gartner/IDC invente jour après jour, je sais, c’est mal (c’est comme « croiser les effluves »).

Le livre « L’imposture informatique » explique brillamment (à mon avis) comment l’industrie informatique construit elle-même les besoins de ces futurs clients, et comment ces nouveaux besoins nourrissent à nouveau la genèse d’autres besoins – un exemple simpliste: d’abord inventons la messagerie électronique, puis inventons l’anti-spam après quelques années, puis inventons des software de relais en masse déjouant les anti-spam. Ce livre est vraiment bien vu, je le conseille à toutes les personnes qui travaillent dans l’informatique, quel que soit le poste.

Au fait, en parlant d’imposture, discutons donc du Cloud ! Ceux qui me suivent et lisent ce blog régulièrement connaissent ma « passion » pour le Cloud et ce que j’en pense. Bref, voilà encore une belle invention conjointe de Gartner/IBM/MSFT/Google/IDC/etc…. Mais bon, il faut bien assurer les nouveaux relais de croissance, quitte à rendre friable l’informatique de ses propres clients, de toute façon ils reviendront ! ils ont besoin d’informatique !

La nouvelle imposture à la mode: le BYOD, et son âme damnée: le VDI. Non, mais sans blague, vous connaissez personnellement une entreprise qui « fait » du BYOD ? et je ne parle pas des pseudo articles dans « 01 » ou dans « l’informaticien » mais de quelque chose que vous avez vu de vos propres yeux…

Le cas du VDI est plus complexe. En effet, la promesse « fonctionnelle » est réelle et peut être considérée comme intéressante. Néanmoins:

1/ pourquoi payer avec le VDI 3 à 4 fois le prix d’une infrastructure classique client-serveur ? existe t-il un ROI intéressant sur la durée d’un vie d’une telle infra ? -> NON

2/ pourquoi déployer du VDI, alors qu’une infra client-serveur bien réalisée couvre à 99% (voir 100%) les même besoins ? -> PAS DE REPONSE

3/ pourquoi se rajouter des problèmes techniques et fonctionnels et sachant que le VDI ne couvre pas actuellement techniquement ce que l’on attend de lui ? Sur ce point le VDI me fait penser à l’ASP de 1999: belle idée, mais une idée trop en avance par rapport aux possibilités techniques du moment.

Je sais, tous mes potes travaillant dans la Virtu et le VDI vont me jeter des tomates – tant pis – et d’ailleurs, comme leur dieu s’appelle Brian Madden, je leur conseille de lire » le nouveau testament« : « The VDI delusion » – c’est fascinant.

 

Post = le message d’un inconnu

Il y a qq jours, j’ai eu un message via le formulaire de contact du blog, message intéressant, incongru, piquant, mais sans signature électronique, je ne peux donc pas répondre !

Que l’individu se reconnaisse et laisse un message sur ce post – nous pourrons alors débattre !

 » Bonjour, un point qui me turlupine depuis quelques années (si, si) et pour lequel je ne vois aucun développement concret aboutir. Il y a bien Shibboleth mais seules des centres de recherche sont impliqués et non le vulgum pecum. Or, je considère cela comme fondamental dans le monde électronique actuel et nous pourrons en discuter ensuite : la réappropriation par l’usager de son identité (et de ses authentifiants). Depuis quelques années on assiste à une centralisation forcée des identités et c’est volontairement que les multinationales avancent masquées sur le  sujet : l’identité individuelle recèle un gisement important de monétisation. Ben tiens. Qui plus est, avec les attaques que subissent régulièrement les offreurs de service hébergeant des bases d’identité on sera bientôt obligé de changer son mot de passe (80% des gens utilise le même mot de passe pour tous leurs services) toutes les heures. Il y a bien OpenId ou équivalent mais nous sommes toujours dans une optique de centralisation de l’identité. Et ça ce n’est pas tolérable. L’identité  ne DOIT PAS être délégable mais offrir malgré tout de la résilience. En fait, l’identité DOIT être un service  comme le DNS : distribué, individualisable (j’ai mon propre serveur DNS pour les domaines que je possède) et résistant (j’ai un secondaire qui n’est pas sur le même réseau). Les esprits chagrins objecteront que la sécurité est un sujet trop sérieux pour être laissé au particulier. Je leur répondrai que sans DNS l’Internet n’existerait pas et pourtant celui-ci est dans mon placard chez moi. Mais bon, il est vrai que je ne demande pas à Mme Michu d’héberger michu.com chez elle. Il existe des produits que l’on nomme HSM qui peuvent se matérialiser sous la forme d’une simple carte à puce connectée à un lecteur USB. La carte bancaire, ça, tout le monde connaît non ? On peut donc imaginer un boîtier homologué et certifié (EAL4+) qui assurerait la gestion de ou des identités des personnes qui souhaitent assurer cette gestion en propre. Pour les autres, comme il y a les serveurs DNS des hébergeurs, des registres ou des FAI et bien, il y aurait les fédérateurs d’identité commerciaux (sorte de FAI dédiés à l’identité). D’où la question : pourquoi ne pas commencer à développer une telle solution (coût de l’ordre de la centaine d’euros pour un équipement et donc 200 euros pour le système redondant) ? Votre question : pourquoi votre blog pour cette question ? Le hasard 🙂 db  « 

Mandriva va ou va pas ?

Nouveaux rebondissements autour de la société Mandriva. Faites vos jeux…Rien de va plus… La société Mandriva SA ne va plus gérer le développement de l’OS Mandriva… et laisse donc à la « communauté » le soin de gérer les futures évolutions. Quelle future cohabitation attendre avec le fork Mageia ? mystère et boule de gomme.

Au delà des dysfonctionnements évidents de la société Mandriva SA, ce nouvel évènement met sous la lumière la difficulté du modèle économique de distribution Linux.

La société Mandriva avait commencé une initiative intéressante consistant en la création d’un package Annuaire des Identités, il est vraiment dommage que ce « produit » n’est pas évolué depuis plusieurs années, car il y a de la place à prendre sur ce secteur…

Néanmoins, très bonne chance à eux (j’ai un copain là-bas…).

Connaissez vous l’ANTS ?

  L’Agence Nationale des Titres Sécurisés (ANTS) est un établissement public administratif, placé sous tutelle du ministère de l’Intérieur, de l’Outre-Mer et des Collectivités Territoriales.
L’Agence a pour mission de répondre aux besoins des administrations de l’Etat en matière de titres sécurisés : le certificat d’immatriculation (communément appelée carte grise), le passeport biométrique, le permis de conduire, la carte nationale d’identité électronique (CNIE) et le titre de séjour électronique (TSE). Ces titres sont des documents qui sont délivrés par l’Etat et qui font l’objet d’une procédure d’édition et de contrôle sécurisée.

La création de cet établissement s’inscrit dans la volonté de réforme, de modernisation et de rationalisation des moyens de l’Etat. L’Agence est amenée à se développer dans un contexte national et européen de renforcement de la sécurité des titres délivrés par l’Etat.

L’Agence Nationale des Titres Sécurisés a aussi en charge de la définition, l’évangélisation, le développement et le support des middleware liés aux cartes dite IAS ECC, qui sont utilisées dans le cadre. Il reste à noter qu’il peut être très intéressante d’utiliser ces cartes dans des projets non gouvernementaux, en effet, cela permet d’obtenir des middlewares développés et maintenus gratuitement (sauf nos impôts…) par un organisme gouvernemental à but non lucratif et d’être certain d’obtenir une interopérabilité complète quelque soit le fournisseur de la carte: Gemalto, Oberthur ou Sagem.

Il reste à déplorer que cette spécification n’est trouvé l’élan de développement à l’échelle Européenne, alors qu’il s’agissait à priori d’une volonté affichée par les organismes gouvernementaux.

 

 

Active Directory dans le nuage, est ce bien raisonnable ?

Le service d’authentification rattaché à l’offre de Cloud Public de Microsoft, dont Office365, vient de changer de nom: il s’appelle dorénavant Windows Azure Active Directory (WAAD), et oui, carrément !

Attention, pas de confusion, pour l’instant il s’agit toujours d’un annuaire différent de l’annuaire « On premise » – En clair, il faut implémenter le service de synchronisation fournit par Microsoft afin de faire du push des comptes Utilisateurs et Groupes depuis l’Active Directory On Premise vers « l’annuaire » WAAD dans le nuage de Microsoft, et les fonctions ne sont pas les même.

Vous trouvez cela nuageux ? vous n’avez encore rien vu !

pour le push des objets, vous utiliserez le composant DirSync V2, qui est en fait un packaging spécifique du moteur de synchronisation d’ILM (oui, j’ai bien dit ILM, pas FIM, donc 32bits only) réalisé par l’équipe Cloud de Microsoft US. Cette synchronisation vous permettra alors de provisionner « automatiquement » une partie de vos objets dans l’annuaire en ligne utilisé par vos applications hébergées sur le service en ligne de Microsoft (ah, oui, j’oubliai, on ne dit plus ASP ou service en ligne, on dit Cloud…)

Pour un certain nombre de raisons techniques, cette synchronisation est actuellement obligatoire pour faire ensuite de la fédération d’identité et donc du SSO basé sur un scénario de fédération entre l’annuaire Active Directory local et le service d’annuaire dans le « cloud » de Microsoft.

Depuis quelques mois, une nouvelle brique à fait son apparition, il s’agit de ACS 2.0, pour être tout à fait honnête, je n’ai pas encore totalement intégré les subtilités fonctionnelles additionnelles de ce composant (d’ailleurs si certains veulent laisser des commentaires sur ce post…) à part le fait que je devrais être en théorie capable de fédérer des fournisseurs des services tel que Google ou Facebook, ce que je n’ai pas réussi à faire… et on ne peut pas dire que la documentation sur ce sujet me brule les yeux…

Bref, cela avance à petit pas, mais cela avance.

Le changement de nom du service d’authentification en Windows Azure Active Directory semble vouloir démontrer un futur « véritable » Active Directory dans le cloud de Microsoft. Pourquoi ne pas imaginer avoir des contrôleurs de domaine répliquant directement les informations « On premise » vers le cloud de Microsoft, au delà de la Fédération qui reste compliqué à implémenter pour beaucoup d’entreprises; pourquoi ne pas imaginer une abolition des frontières classique en terme de couverture d’annuaire ?

Pourquoi ne pas l’imaginer, oui, mais… est ce souhaitable ? c’est là pour moi la vraie question… j’avoue être assez émerveillé (ou horrifié, cela dépend…) par le peu de précaution que prennent les organisations avec ce type de sujet. Je vous laisse seul juge, mais voulez vous vraiment mettre votre Active Directory dans le nuage ???

Ca sent le sapin chez Omada…

La nouvelle est tombée le 23 septembre dernier: Microsoft a racheté « certains actifs » de la société BHOLD.

Pour ceux qui ne connaissent pas BHOLD, cette société, est, pour faire simple, un concurrent direct d’Omada sur la partie RBAC (Role Based Access Control) pour l’environnement FIM 2010. Rappelons que FIM 2010 n’est pas « équipé nativement » pour faire du RABC, donc dans les cas clients qui désirent cette fonction, 4 choix possibles:

1/ développement spécifique

2/ acheter la fonction RBAC chez Omada

3/ acheter la fonction RBAC chez BHOLD

4/ revenir sur sa décision après avoir calculer le ROI des trois premiers choix 😉

En achetant les sources de la fonction RBAC chez BHOLD, Microsoft démontre clairement son désir d’intégrer cette fonction de façon  native au sein de FIM – il est certainement trop tard pour l’intégrer dans la prochaine version FIM 2010 R2, mais vraisemblablement dans la V. Next suivante à R2.

Il est clair qu’une telle acquisition compromet disons fortement l’avenir de l’éditeur Danois Omada- en effet – après une telle annonce, et même si la fonction intégrée dans FIM parait lointaine, quelle société voudra investir dans une technologie vouée à disparaitre ? De plus, le site Pathway laisse planer un doute malicieux sur les fonctions précises et sur le planning à venir, laissant sous-entendre que le produit RBAC serait peut-être disponible à court terme, en tant que module supplémentaire, pour la version actuelle ou R2 de FIM 2010… « More information will be disclosed at a future date« … je vous laisse apprécier…

Bref, cette acquisition est une excellente nouvelle pour les clients utilisant FIM 2010, une excellente nouvelle pour la position de Microsoft vis à vis des concurrents IAM (IBM, Oracle, Novell), une excellente nouvelle pour la pérennité de l’offre FIM et de la société BHOLD, mais une très mauvaise surprise pour le « Identity and Security Partner of the Year 2011« …

Pour en savoir plus, se rendre [ ici ]

J’espère de nombreux commentaires de la part des consultants FIM 😉

 

 

Etude comparative des solutions d’intégration gratuites à Active Directory pour les systèmes Unix et Linux

Une étude extrêmement intéressante a été réalisée par Rodney Ruddock, consultant au sein de la société Interop Systems, qui est un cabinet d’expertise Américain spécialisé dans les études de marché techniques en ce concerne les problématiques d’interopérabilité.

Cette excellente étude compare les différentes solutions logicielles gratuites permettant d’intégrer les systèmes Unix, Linux et Mac dans Active Directory, et qui permettent aux organisations d’utiliser Active Directory comme annuaire centralisant pour les authentifications des utilisateurs quel que soit le système utilisé. cette approche apportant de nombreux avantages tels que: unicité du nom utilisateur et du mot passe utilisateur sur l’ensemble des systèmes, centralisation des logs d’authentification sur les contrôleurs de domaine AD, stratégie de politique et de complexité de mot de passe unifiée sur l’ensemble des systèmes, etc.

En substance, voila les conclusions de Rodney Ruddock dans le tableau suivant, les cases en jaune indiquant les éléments significatifs et importants selon Rodney Ruddock:

Rodney Ruddock préconisant donc Centrify Express comme la solution idéale pour l’intégration gratuite des environnements hétérogènes dans Active Directory.

L’étude complète est accessible [ ICI ]

 

C’est officiel, NetIQ récupère le portofolio IAM de Novell

C’est fait ! on y voit un peu plus clair au niveau de l’avenir et du traitement de la gamme IAM de chez ex-Novell. En effet, de nombreux clients Novell étaient dans l’expectative afin de connaitre l’avenir consacré à leur module stratégique de gestion des identités interne, poussant certains clients vers les bras de Microsoft et de FIM 2010. N’oublions pas que Novell est, et, était un acteur majeur dans le domaine de la gestion des identités et des accès avant le rachat par Attachmate – rappelons que NetIQ est une division d’Attachmate. Le 19 Mai dernier, une communication nous donne les informations suivantes:

Les produits de la gamme IAM de chez Novell rejoignent la Business Unit NetIQ avec les détails en terme de répartition dans les divisions produits de chez NetIQ:

•Identity and access management – Novell Identity Manager, Novell Access Governance Suite, Novell Cloud Security Service, Novell Access Manager, Novell SecureLogin, Novell Privileged User Manager
•Security and compliance management – Novell Sentinel, Novell Sentinel Log Manager, Novell Compliance Management Platform
•Data centre management – Novell Operations Centre, Novell Cloud Manager, PlateSpin Forge, PlateSpin Migrate, PlateSpin Orchestrate, PlateSpin Protect,PlateSpin Recon

Cette communication met en exergue le fait qu’il y a au final très peu de recouvrement entre l’offre ex-Novell et l’offre NetIQ, ceci nous amenant à imaginer que cette fusion amènera de vraies synergies et une véritable complémentarité de fonctions et de solutions. Il est clair que NetIQ-Attachmate est en train de devenir un acteur majeur dans le domaine de la gestion des identités et des accès, remplissant le trou béant laissé par feu-SUN et par feu-Novell. Cette neo-stratégie Novell faisant suite à l’intégration de Centrify DirectControl en OEM dans le produit NetIQ Identity Integration Suite afin d’étendre la gestion des identités NetIQ aux environnements Unix, Linux et Mac.

Souhaitons bon vent à cette nouvelle gamme et à cette initiative IAM !

Microsoft Interoperability Strategy Group

Depuis plusieurs années Microsoft travaille très activement dans le domaine de l’interopérabilité, tant sur la partie standard de document, sur les domaines des plateformes de développement (PHP) ou même sur la partie système (kerberos, LDAP, etc…). Si vous êtes sensible à ces éléments, il est à noter un site Microsoft extrêmement intéressant www.interoperabilitybridges.com qui traite de cette thématique.

Ce site web est dédié au travail collaboratif lié à l’interopérabilité entre les technologies Microsoft et les technologies non-Microsoft. Ce site est est géré par le groupe « Interoperability Strategy Group » de Microsoft. Le blog de l’équipe étant lui accessible à cette adresse: http://blogs.msdn.com/b/interoperability/

De plus, je vous invite fortement à suivre le porteur du message interopérabilité Microsoft en France http://twitter.com/#!/Alfonso_Castro pour vous informer au quotidien sur ces notions stratégiques et techniques.

31 mai 2011: OpenSSO Community Day à San Francisco

Oracle organise le 31 mai prochain à San Francisco les rencontres « OpenSSO Community Day » permettant de fédérer les acteurs communautaire autour des technologies:

Pour être honnête, la communauté Open Source dans le monde de l’IAM a été quelque peu orpheline après le rachat de SUN par Oracle, et je ne suis pas sur que cette journée dédiée à OpenSSO représente la résurrection massive des projets Open Source chez Oracle.

Dans l’intervalle, et si vous n’avez pas la possibilité de vous rendre à SF pour cet évènement, je vous conseille de surveiller les posts sur le « OpenSSO Ressource Center« . L’activité n’est pas très soutenue, mais bon, nous pouvons rêver à un redémarrage du projet.

Au niveau des projets dits « open » chez SUN, je regrette tout particulièrement le projet OpenDS, qui est en perte de vitesse (à l’arrêt ?) depuis le rachat de SUN par ORACLE, et cela est bien dommage… techniquement innovant, animé par une équipe SUN motivée, ce projet aurait pu devenir une référence, même dans le monde des entreprises… espérons que le projet puisse continuer, sous une forme ou sous une autre…

OCG propose un livre blanc pour évaluer le ROI d’un projet IAM

whitepaper Si vous ne connaissez pas encore Oxford Computer Group (OCG), OCG est une société anglaise spécialisée dans les problématiques IAM en général, et sur MIIS-ILM-FIM en particulier. En effet, OCG est le partenaire privilégié de Microsoft UK pour les projets FIM 2010 outre-manche. OCG possède une très forte expertise des sujets IAM, et met en ligne un livre blanc permettant d’évaluer les retours sur investissements des projets IAM. Il ne s’agit pas là d’avoir une matrice Excel complète mais plutôt de lister quels sont les objectifs à courts et moyens termes, et surtout évaluer quels peuvent être les bénéfices pour le business à mettre en œuvre ce type de projet. Même si ce livre blanc est en anglais, il présente une approche plutôt pragmatique de la problématique IAM. A télécharger [ ICI ]