Une bonne nouvelle n’arrivant jamais seule, une deuxième session aux Microsoft Techdays 2012 vient de m’être accordée !
Cette deuxième session aura pour thème une problématique qui m’est chère: La cohabitation des environnements Linux et Windows au sein de la DSI, et ce depuis un angle technique ET organisationnel.
L’année 2012 se rapproche à grands pas, et l’évènement IT de ce début d’année sera vraisemblablement les Microsoft Techdays 2012, avec son lot de présentations, de sessions techniques, d’exposants, de solutions partenaires et de soirées VIP (spéciale dédicace à David P…..)
Cette année j’aurais la joie de co-animer une session avec Fréderic Esnouf sur le thème: » Protéger le patrimoine informationnel de l’entreprise grâce à AD RMS « – les détails de la session étant accessibles sur le site des Techdays 2012.
En espérant vous voir très nombreux à la session !
Microsoft à délivré l’Update Rollup 1 pour AD FS 2.0. En dehors des habituelles corrections de bugs, de nouvelles fonctions extrêmement intéressantes sont apparues dans ce Rollup. On notera que des fonctions stratégiques autour de la fédération avec Office365 surgissent dans cet update.
>> Tout d’abord, les corrections de bug (en anglais):
KB2254265 (http://support.microsoft.com/kb/2254265) The « 500″ error code is returned when you send an HTTP SOAP request to the « /adfs/services/trust/mex » endpoint on a computer that is running Windows Server 2008 R2 or Windows Server 2008
KB2272757 (http://support.microsoft.com/kb/2272757) An identity-provider-initiated sign-on process is slow in Windows Server 2008 R2 and in Windows Server 2008
The « 400″ error code is returned when sending an authentication request to AD FS 2.0 federation server proxy through Windows integrated authentication endpoint (Nego 2)
Decrease in performance occurs on AD FS 2.0 federation server when a user who is authenticating has a large number of group memberships.
Failure to join an AD FS 2.0 federation server to an existing SQL-based federation server farm when the AD FS 2.0 administrator that tries the join operation does not have admininistrator rights to the SQL Server database.
AD FS 2.0 Federation Service cannot create or verify Security Assertion Markup Language (SAML) tokens when the private keys of an AD FS 2.0 token-signing certificate and/or token decryption certificate are stored by using third-party cryptographic service providers (CSP), for example hardware security mode (HSM).
>> Les nouvelles fonctions:
Fonction 1: « Multiple Issuer Support for Office365« : Une organisation utilisant une forêts avec des différents domaines et donc différents UPN était obligé d’instancier plusieurs serveurs AD FS 2.0 pour gérer les différents UPN vis à vis d’Office365 – cette nouvelle fonction permet de fournir le SSO entre la forêt de l’organisation et Office365 quelque soit le nombre de domaines différents à gérer. Vous trouverez des informations complémentaires ici
Fonction 2: « Client Access Policy Support for Office365« : Cette nouvelle fonction va permettre aux organisations de paramétrer l’utilisation de la fédération ou non pour accéder en SSO à Office365 en fonction de la localisation du client ou même de la nature de l’utilisation du protocole. Vous trouverez des information complémentaires ici
Fonction 3: « Congestion Avoidance Algorithm« : Ce nouveau paramètre permet d’ajuster le comportement du Proxy AD FS en fonction de la charge réelle du serveur AD FS2.0 ; Globalement, l’idée est de permettre de réguler la charge ou plutôt d’éviter la surcharge du serveur AD FS 2.0 en ajustant les requêtes provenant du proxy AD FS. Il faut alors modifier le fichier de configuration du proxy AD FS au niveau de la section <microsoft.identityServer.proxy> en rajoutant une ligne telle que: <congestionControl latencyThresholdInMSec= »2000″ minCongestionWindowSize= »16″ />
Avec les paramètres ajustables suivants:
Fonction 4: « Additional AD FS 2.0 performance counters« : Le serveur AD FS 2.0 et le proxy AD FS possèdent maintenant de nouveaux compteurs de performance tels que décrits dans le tableau suivant:
Microsoft vient d’annoncer la mise à disposition de la version Beta de FIM 2010 R2.
Pour rappel, au rayon des nouveautés:
• Gestion des mots de passe en self service via une interface web complète ( ne nécessite plus que le PC fasse parti du domaine AD pour utiliser la fonction de gestion de mot de passe)
• Amélioration des fonction de rapports et d’historique via une intégration à System Center Service Manager
• Amélioration des performances globales et mise à disposition d’outils de diagnostics
• Support de Microsoft Outlook 2010 et de Microsoft SharePoint Foundation 2010
L’inscription au programme Beta est possible via le site Microsoft Connect
Je voulais profiter de mes tests actuels autour du SP1 pour Forefront UAG 2010 pour mettre sous projecteur une solution logicielle originale créée par vNext, une jeune entreprise Française (et oui c’est possible ) basée en région parisienne.
La société vNext est une jeune société innovante proposant un positionnement bicéphale créateur de logiciels et société de services (principalement dans la sphère Microsoft) – dans le cadre de leur activité de création de logiciel, les membres de cette société ont imaginé une solution permettant de sécuriser l’accès à UAG depuis les terminaux mobiles. Globalement l’idée est d’utiliser les UUIDs des terminaux pour filtrer l’accès à UAG et définir des règles de sécurisation ou de remédiation.
Brjann Brekkan et Mark Wahl nous propose une vidéo extrêmement complète sur les nouveautés qui seront proposées par Forefront Identity Manager 2010 R2. C’est long, mais c’est bon
Centrify propose maintenant une version gratuite permettant de déployer et gérer l’intégration des environnement Mac, Linux et Unix dans Active Directory.
Bien sur, certaines fonctions ne sont pas présentes, donc pas de possibilité ici de gérer plusieurs UIDs/GIDs, de supporter les SmartCard ou de faire des GPOs sur les systèmes (fonctions intégrées dans la version payante) – néanmoins, il est possible ici de gratuitement intégrer les systèmes hétérogènes dans Active Directory.
Il donc possible de réaliser une intégration transparente dans l’annuaire Microsoft et donc de permettre aux utilisateur d’utiliser le même mot de passe sur tous les systèmes et de profiter d’un SSO utilisateur basé sur kerberos. Cela est déjà génial !
Depuis plusieurs années Microsoft travaille très activement dans le domaine de l’interopérabilité, tant sur la partie standard de document, sur les domaines des plateformes de développement (PHP) ou même sur la partie système (kerberos, LDAP, etc…). Si vous êtes sensible à ces éléments, il est à noter un site Microsoft extrêmement intéressant www.interoperabilitybridges.com qui traite de cette thématique.
Ce site web est dédié au travail collaboratif lié à l’interopérabilité entre les technologies Microsoft et les technologies non-Microsoft. Ce site est est géré par le groupe « Interoperability Strategy Group » de Microsoft. Le blog de l’équipe étant lui accessible à cette adresse: http://blogs.msdn.com/b/interoperability/
De plus, je vous invite fortement à suivre le porteur du message interopérabilité Microsoft en France http://twitter.com/#!/Alfonso_Castro pour vous informer au quotidien sur ces notions stratégiques et techniques.
Une des grandes nouveautés d’Office365 par rapport à BPOS réside dans le support de la fédération, via ADFS, pour accéder aux ressources Office365 hébergées par Microsoft. Cette technique permet globalement aux utilisateurs finaux de bénéficier du Single Sign On (SSO) et aux DSI de ne pas avoir à gérer les règles de gestion des identités des utilisateurs au niveau du cloud de Microsoft.
Cette vidéo présente en des termes extrêmement simples les différentes pièces techniques de la fédération et vous donne les clés pour un premier niveau de compréhension technologique:
Frédéric Esnouf, Tech Specialist IAM chez Microsoft France a réussi la performance de présenter FIM 2010 en 1 heure condensée. Si vous vous posez des questions sur FIM 2010 et sur les scénarios d’utilisation, je vous invite a regarder ce webcast enregistré directement pendant les Techdays 2011.
Le démantèlement annoncé de Novell a donc eut lieu. Finalement valorisés à hauteur de 2.2 Milliards de Dollars, les actifs de Novell sont donc « rachetés » par Attachmate et Microsoft.
Microsoft se contente de racheter via un consortium de sociétés un ensemble de brevets pour environ 450 Millions de dollars. Le contenu exact de ces actifs n’est pas connu précisément pour l’instant. Pour rappel, lors d’un billet datant de 2009, je conseillais à Microsoft de racheter Novell, je ne sais pas si Steve B. lit mon blog ou si quelqu’un lui fait une traduction anglais->francais
Attachmate de son coté, remporte le gros des actifs, en divisant à priori (il y a fort à parier que la stratégie globale de gestion des actifs Novell n’est pas encore pleinement définie) cela en deux grandes familles: une famille Suse contenant les actifs Linux éponyme, et une famille Novell qui contient la nébuleuse de produits du catalogue Novell. Il est à noter que la stratégie produits de Novell n’était pas très claire depuis quelques mois, avec une multitude de domaines très différents, le patchwork technologique de Novell a perdu en visibilité, au détriment, d’ailleurs, de l’offre IAM.
Quel avenir pour les produits IAM de Novell ? Si il est incontestable que les produits IAM de Novell ont révolutionné le marché de la gestion des identités en leurs temps, il est maintenant évident que l’influence de ces produits va en déclinant. Il est d’ailleurs tout à fait remarquable de constater que malgré un effort minium en la matière, Microsoft tire son épingle du jeu dans le marché de l’IAM grâce au sabordage technologique de ses concurrents. D’abord SUN, puis Novell vont disparaitre petit à petit de l’échiquier IAM, laissant le champs libre aux trois acteurs principaux que sont maintenant IBM, Oracle et Microsoft.
Une consolidation inquiétante pour les clients ? En effet, l’effet pervers de ces rachats successifs (MaxWare, Sentillon, SUN, Novell, etc…) est de réduire l’offre et la concurrence potentielle face à la demande des clients. Lorsque l’on comprend l’engagement hautement stratégique que représente le choix d’un fournisseur IAM dans une grande organisation, il est regrettable de constater que le choix se réduit comme peau de chagrin pour ces clients grands comptes, amenant l’effet pervers de la hausse des prix et surtout celui d’un engagement technologique moindre de la part des fournisseurs. En effet, SUN et Novell étaient les leaders incontestés du marché IAM, du moins d’un point de vue technologique, que deviennent leurs technologies ? Je vous invite à poser la question aux équipes SUN qui « étaient » responsables du développement de OpenDS et OpenSSO ou de deviner la réponse…
Microsoft fournit un article très intéressant sur la taxonomie à utiliser lorsque l’on publie des objets dans Active Directory. Cet article est accessible [ ici ] et présente dans les grandes lignes les chartes de nommages en fonction des différents objets, Nom Netbios Ordinateur, Nom FQDN Ordinateur, Nom Netbios de domaine, Nom de domain DNS, Nom des sites Active Directory, nom des OUs, et tout cela en relation avec les règles d’usage liées à Active Directory ou aux différentes RFCs officielles.
En oubliant pas qu’il existe une liste de noms interdits pour les nouveaux objets car déjà utilisés par le système:
Microsoft a mis en ligne un ensemble d’outils et de documents afin de permettre un apprentissage en douceur de FIM 2010. Ce cours introduit et explique les fonctions et les capacités de FIM 2010 et fournit un ensemble de scénarios reliés au solutions couvertes par FIM 2010 dans le cadre des organisations. Le « ramp up » « implementing Forefront Identity Manager 2010″ est accessible [ ici ]
OCG organise conjointement avec Microsoft, les 22 & 23 septembre prochains un évènement européen autour de FIM 2010. Cet » OCG European Identity and Access Summit 2010 » prendra place à Reading, UK. Ne résistant pas aux sirènes marketing du « cloud », le thème de cet annné sera « Identity and Security on Premise and in the Cloud ».
Microsoft implémente le support des identités tierces telles que Google, Facebook, LiveID et OpenID à sa plateforme cloud Azure via une mise à jour du composant Windows Azure AppFabric.
Windows Azure AppFabric est le nom d’un service .NET qui ne permet pour l’instant qu’un service de control d’accès simple. La mise à jour du mois d’Aout va grandement améliorer les processus et les fonctionnalités autour de l’authentification et du control d’accès :
Intégration avec Windows Identity Foundation (WIF) et les outils connexes à WIF
Support des fournisseurs d’indentité suivants : Windows Live ID, OpenID, Google, Yahoo et FaceBook
Support d’ADFS 2.0
Support des protocoles OAuth WRAP, WS-Trust et WS-Federation
Support des formats SAML 1.1, SAML 2.0 et Simple Web Token (SWT)
Fonction « Home Realm Discovery » permettant à l’utilisateur final de choisir son fournisseur d’identité
Un service « OData-based Management » permettant un accès via du code à la configuration ACS
Un portail web permettant la configuration en ligne d’ACS
Plus d’information (en anglais) sur cette mise à jour [ ici ]
Cette date est passée inaperçue, doucement, comme si cela était normal… N’oublions pas qu’il y a donc un peu plus de 10 ans, Microsoft ne proposait « que » la base SAM NT 4.0 comme annuaire de comptes. Le véritable annuaire étant en fait à l’époque l’annuaire proposé par Exchange Server 5.5. La pression exercée par Novell sur les NOS fut alors totalement retournée contre Novell, et il faut bien reconnaitre que Microsoft a largement réussi son OPA sur les NOS… Quel est maintenant l’avenir d’Active Directory ? in the cloud ? ou pas ? Geneva sera t-il le prochain Active Directory ? j’ai personnellement du mal a y croire… Est ce que votre entreprise veut mettre son creuset identitaire chez un tiers ? « in the cloud » ? sans aucun contrôle technique et éthique ? cela semble plutôt improbable… ou suicidaire… au choix.
Microsoft a annoncé il y a peu la mise à disposition en RTM de FIM 2010 ( enfin !!! ) – Il est possible de télécharger une version d’évaluation sur le site de Microsoft. Après les annonces en cascade autour de Geneva, le rachat de Sentillion et les accords autour de l’interopérabilité, il était extrêmement important pour Microsoft de lancer la version définitive de sa solution de gestion des identités. L’attitude des « ex »-partenaires IAM de Microsoft qui sont maintenant des concurrents directs va être très intéressante à observer…
Microsoft met à disposition des architectes ou administrateurs ILM un jeux de Commandlets pour paramétrer le moteur de synchronisation d’ILM 2007 FP1. Il est clair que pendant l’installation, on sent bien que MIIS est toujours dans les parages… le Wizard d’installation se nommant « MIIS Management Agent Configuration Resource Kit Setup ». Excepté ce petit détail cosmétique, il est extrêmement intéressant de pouvoir bénéficier de ces commandes natives PowerShell. Téléchargement [ ICI ]
La prochaine réunion de la CADIM aura lieu le 17 Mars 2010 dans les nouveaux locaux de Microsoft France, à Issy-les-Moulineaux – Cette prochaine réunion sera l’occasion d’évoquer les nouveautés produit de chez Microsoft sur les annuaires et la gestion des identités:
FIM 2010 – les nouveautés sur le portail utilisateurs et le système de Workflow
Utilisation de Kerberos en tant que système de Single Sign On (SSP) à l’ensemble des systèmes et des applications
Couplage de la gestion des accès physique (accès aux bâtiments) et logique (gestion de l’ouverture de session Windows) via la solution HID on the Desktop
Comme d’habitude, les démonstrations et l’interaction entre les personnes présentes seront privilégiées. Venez découvrir des éléments techniques que vous ne verrez QUE dans le cadre de la communauté CADIM !
Attention !!! Une vulnérabilité dans Kerberos due à un traitement incorrect de certaines requêtes permet à une personne mal intentionnée de provoquer un déni de service sur un contrôleur de domaine Windows. Il s’agit bien évidemment d’une faille majeure qu’il faut absolument corriger.
La faille impacte les systèmes d’exploitation suivants:
– Windows 2000 Server Service Pack 4
– Windows Server 2003 Service Pack 2
– Windows Server 2003 Édition x64 Service Pack 2
– Windows Server 2003 avec SP2 pour systèmes Itanium
– Windows Server 2008 pour systèmes 32 bits etWindows Server 2008 pour systèmes 32 bits Service Pack 2
– Windows Server 2008 pour systèmes x64 et Windows Server 2008 pour systèmes x64 Service Pack 2
Microsoft délivre le correctif de sécurité MS10-014 pour corriger le problème, à appliquer de toute urgence.
Microsoft met à disposition la Beta 2 de CardSpace 2.0.
Pour rappel, CardSpace est le composant pour que les utilisateurs finaux puissent accéder à des applications dont l’authentification a été développée selon le modèle « Claims ».
Microsoft met à disposition le SP1 pour ILM 2007 FP1 – il s’agit donc de ILM 2007 FP1 SP1… Le service pack est téléchargeable ici [ Téléchargement de ILM 2007 FP1 SP1 ] – Au delà de fournir un package reprenant l’ensemble des correctifs sortis depuis le FP1, ce service pack permet surtout d’utiliser GALSync Management Agent ou un agent Active Directory personnalisé pour réaliser le provisioning vers Exchange Server 2010.
Pour utiliser cette fonctionnalité, les conditions suivantes doivent être remplies :
Le compte de service d’ILM 2007 synchronisation doit être un compte de domaine.
Le serveur ILM 2007 synchronisation doit être associé à un domaine. Toutefois, le serveur est connecté au domaine dans lequel la mise en service se produit.
PowerShell 2.0 doit être installé sur le serveur ILM. En outre, PowerShell 2.0 doivent être installés et configuré pour l’accès à distance sur Exchange Server 2010 Client Access Server (CAS)
Pour effectuer le provisionnement de boîtes aux lettres pour Exchange Server 2010, il faut utiliser le code qui appelle la méthode ExchangeUtils.CreateMailbox ou un autre code personnalisé. Il faut veiller à ajouter l’attribut msExchHomeServerName dans le code de mise en service pour créer une boîte aux lettres.
La maison blanche a choisi de nommer Howard Schmidt au poste de « White House Cybersecurity Coordinator », avec comme focus une action sur le vol d’identité au travers du réseau Internet. Cet ex employé de Microsoft a déjà travaillé en profondeur dans le domaine de la protection des identités numériques lors de sa mission chez l’éditeur.
Microsoft annonce l’acquisition « surprise » de la société Sentillion, par cette acquisition, Microsoft fait d’une pierre deux coups:
Microsoft conforte son positionnement sur le marché de la santé, en effet Sentillion se positionne comme un fournisseur vertical de solution de gestion des identités sur ce marché précis – Microsoft complète donc son « portofolio santé » commencé avec l’acquisition d’Amalga il y a quelques années
Microsoft affiche sa volonté de se renforcer sur le marché de la gestion des identité et des accès en se positionnant sur le marché concurrentiel du Single Sign On (SSO) – il y a fort à parier que la volonté est de venir à terme compléter les fonctionnalités de Forefront Identity Manager avec une couche SSO
Il y a pour l’instant aucune visibilité sur l’intégration à court terme au sein des solutions Microsoft ni sur la disponibilité des solutions en dehors des Etats-Unis, mais il sera extrêmement intéressant de suivre cela pendant les deux prochaines années…
Microsoft annonce la disponibilité de la RC1 de FIM 2010 (Forefront Identity Manager 2010). Cette nouvelle release propose des changements majeurs en terme fonctionel. La RC1 est disponible en téléchargement ICI. Voici les nouveautés par rapport à la RC0 d’ILM:
Nouveau nom : ILM « 2 » devient FIM 2010 (pour Forefront Identity manager)
Améliorations sur la gestion
Management Policy Rules (MPR)
MPR Explorer permet de trouver rapidement les MPRs suivant différents critères
Désactivation possible des MPRs
Plus d’événements logués dans l’Event Viewer
Management Pack SCOM
Sur le déploiement
Configuration Migration Tools , ensemble de commandes Powershell pour faciliter le transfert de configuration entre environnements de test vers production, par exemple
A partir de cette RC1 les patches seront délivrés par Windows Update
Sur les Usages
Nouveau portail
Personnalisation de tous les emails
XP SP2 supporté pour le scénario de « Password Reset »
Mise à jours des MAs pour la partie synchronisation
Support des langues suivantes, Chinois (Simplifié & Traditionnel), Hollandais, Anglais, Français, Allemand, Italien, Japonais, Portugais, EspagnolSur la partie « Certificate Management »
Sur la partie « Certificate Management »: API et documentation pour le support d’ACs tierces
Exit ILM V2, c’est sous le nom de Forefront Identity Manager 2010 (FIM 2010) que Microsoft lancera très prochainement (Q1 2010 ?) la nouvelle mouture de sa suite de gestion des identités et des accès.
Ce changement de nom retranscrit il un virage « sécuritaire » de la vision de Microsoft sur le segment de la gestion des identités ? Ce qui est certain, c’est que la sortie de FIM 2010 coïncide avec un besoin croissant de la part des entreprises à gérer de façon efficace le cycle de vie des utilisateurs ainsi que les habilitations de chaque utilisateur au sein des processus métier: L’intégration de FIM avec .NET et WS-* permettra de réaliser des portails web utilisateurs et des workflow d’approbation de façon extrêmement simple pour la plupart des administrateurs et des gestionnaires de « provisioning »dans l’ensemble des organisations.
La migration NIS est une des problématiques majeures de l’ensemble des grands groupes que j’ai pu rencontrer. En effet, les domaines NIS ou NIS+ ne sont plus supportés par SUN, l’inventaire du protocole. De plus, le protocole d’authentification NIS n’étant pas sécurisé (en fait, vraiment pas sécurisé…), il est important de migrer pour des raisons sécuritaires ou pour des besoins de compatibilité SOX ou PCI.
Classiquement, le premier réflexe est d’imaginer migrer les informations contenues dans les domaines NIS ou NIS+ vers un annuaire LDAP. Après ce premier réflexe, les ennuis commencent… La première problématique étant bien évidemment la collision des UIDs. En effet, dans le monde réel (et pas celui de PowerPoint) un utilisateur physique unique possède plusieurs profils Unix en fonction du système sur lequel il doit se connecter, il est alors très compliqué de consolider potentiellement des dizaines d’UIDs vers un seul attribut UID stocké dans un annuaire LDAP.
C’est ici qu’Active Directory peut venir à l’aide des administrateurs ou architectes Unix !!! En effet, selon certaines conditions, il sera possible de migrer et conserver plusieurs UIDs dans l’annuaire Active Directory et ainsi conserver les accès aux ressources Unix sans modifier les UIDs sur l’ensemble des systèmes migrés.
Un site extrêmement bien construit www.nis-migration.com explique (en anglais) l’ensemble de la problématique et des possibilités techniques de la migration NIS -> Active Directory – Je reviendrais plus tard sur cette problématique très répandue dans les grands entreprises utilisant Unix ou Linux.
Ce document est basé sur une présentation réalisée par Kim Cameron au Microsoft PDC 2008 [ Microsoft Professional Developers Conference ] à Los Angeles en Novembre 2008.
Il est principalement orienté pour une audience de développeurs et d’architectes, mais il est « lisible » par toutes les personnes qui s’intéressent à la gestion des identités et des accès.
Vous découvrirez la vision stratégique de Microsoft sur ces sujets, notamment la future infrastructure Geneva et les prévisions autour des « Metasystem », qui représentent la vision des systèmes interopérables tel que l’imagine Microsoft .
Mais que se passe t-il avec la version « 2″ d’ILM ?
Petit rappel des faits…
ILM 2007, la version actuelle de la suite de gestion des identités et des accès de Microsoft comporte en fait deux « anciens » produits du même éditeur, MIIS 2003 avec Feature Pack 1 + ex-CLM (CLM: produit qui n’a jamais vu le jour en tant que tel, mais qui a pourtant été dispo en Beta…)
Ces deux produits proviennent en fait du rachat de deux société, Zoomit pour MIIS et Alacris pour ex-CLM, preuve si en est besoin, qu’à une certaine époque Microsoft cherchait a se positionner de façon active sur le marché de la gestion des identités et des accès. Cela semblait en effet cohérent, le password étant « dead« , il est important d’associer la gestion des certificats et des cartes à puces (smartcard) dans une suite de gestion des identités digne de ce nom.
Mais où en sommes nous ? En effet, si nous regardons froidement les faits, Microsoft n’a pas fourni de mise à jour réelle de sa suite de gestion des identités depuis 2003, soit bientôt 7 ans ! Cela fait beaucoup pour une société qui ne nous a pas habitué a faire les choses à moitié. Il est de plus très surprenant de ne voir aucune communication officielle sur la sortie du tant annoncé « ILM V2″, solution de gestion des identités porteur de promesses fonctionnelles très intéressantes, mais qui ne sont pour l’instant que des vœux pieux tant qu’une véritable version RTM ne verra pas le jour.
Il y a donc pour moi deux alternatives.
1 – Microsoft jète l’éponge dans le domaine de la gestion des identités et des accès: connaissant quelque peu Microsoft cela semble plus que surprenant, surtout si on considère la portée hautement stratégique de ce type de solution dans le cadre des grand groupes internationaux: conquérir la gestion des identités et des accès, c’est un peu comme mettre le pied entre l’ouvrant et le dormant d’une porte…
2 – Microsoft prépare le rachat d’un « gros » fournisseur de gestion des identités et des accès. Et là, pas besoin de se poser des millions de questions, il y en a deux, ou plutot il y en avait deux qui étaient de taille « rachetable »: Novell et Sun. Le deuxième à déjà été l’objet d’une acquisition de la part d’Oracle, il ne reste donc que le second, Novell. Rajoutons à cela que les accords en terme d’interopérabilité sont très nombreux avec Novell, cela aurait du sens.
En conclusion, il serait donc de bon ton de la part de Microsoft de se positionner clairement sur le domaine de la gestion des identités et des accès, d’autant plus que la version RC d’ILM V2 a clairement démontré des fonctions extrêmement réussies en terme de développement, notamment pour ce qui est du portail web utilisateur permettant des services avancés de self-management.
L’équipe du MIT Kerberos a annoncé la disponibilité de la version 5 1.7 de la librairie Kerberos. Cette nouvelle version corrige un certain nombre de bugs, notamment pour les plate-formes Windows.
Follow client principal referrals in the client library when obtaining initial tickets.
KDC can issue realm referrals for service principals based on domain names.
Extensions supporting DCE RPC, including three-leg GSS context setup and unencapsulated GSS tokens inside SPNEGO.
Microsoft GSS_WrapEX, implemented using the gss_iov API, which is similar to the equivalent SSPI functionality. This is needed to support some instances of DCE RPC.
NTLM recognition support in GSS-API, to facilitate dropping in an NTLM implementation for improved compatibility with older releases of Microsoft Windows.
KDC support for principal aliases, if the back end supports them. Currently, only the LDAP back end supports aliases.
Support Microsoft set/change password (RFC 3244) protocol in kadmind.
Implement client and KDC support for GSS_C_DELEG_POLICY_FLAG, which allows a GSS application to request credential delegation only if permitted by KDC policy.
Les Groupes Utilisateurs font leur show ! -La Communauté Active Directory et Identity Management -Interopérabilité Windows-Linux-Unix-Mac
L’intéropérabilité ! C’est ce thème d’actualité que traîte la Communauté Active Directory et Identity Management lors de cette web TV dédiée au Groupes Utilisateurs,les experts Sylvain Cortes ( Président de la CADIM ) et Christophe Dubos (Microsoft) en font un tour d’horizon des solutions pour gérer les authentifications et les autorisations des systèmes Unix, Linux et Mac dans Active Directory, tout cela en 17 min ! Profitez de l’expertise de ces deux intervenants !
L’interopérabilité peut se définir de diverses manières. Il est communément admis qu’elle correspond à la capacité des produits et services informatiques disparates à échanger et à utiliser des données. Espérons simplement qu’il ne s’agisse pas que d’un site web mais d’une véritable volonté de l’éditeur de travailler avec des formats ouverts.
De façon très objective, cela semble être le cas, Microsoft semblant redoubler d’efforts pour contenter ses clients dans cette période économique difficile. Cela suffira t-il à pousser notre gendarmerie nationale a quitter OpenOffice pour Office 2010… rien n’est moins sur
Avecto Privilege Guard est une solution qui permet aux entreprises d’adopter le principe du minimum de privilèges rattaché aux utilisateurs.Il n’est en effet plus nécessaire de donner des droits administrateurs aux utilisateurs, alors que ces droits peuvent être donnés dynamiquement aux applications, tâches et scripts.Privilege Guard permet aux utilisateurs […]
Avez-vous déjà entendu parlé de classification documentaire ? Bien souvent cette notion est laissée de coté par les différents intervenants techniques, nous parlons plus volontier de GED, d'Archivage, de DRM, ou même de DLP, mais avons nous conscience que sans la classification des documents et des emails, ces briques technologiques travaillent en Aveug […]
Un nouveau portail (site en anglais) vient de se mettre en place et propose un contenu de référence sur le thème de la biométrie. www.planetbiometrics.com Ce portail semble être promis à un bel avenir, car le contenu, bien que tout jeune est extrèmement bien renseigné et cohérent. […]
La faiblesse des mots de passe sur votre réseau vous inquiète ? je vous conseille la lecture de ce nouvel article IdentityCosmos, a consulter sur http://www.identitycosmos.com/http:/www.identitycosmos.com/non-classe/password-online pour plus d'information. […]
Scriptlogic organise un nouveau Webinar portant sur la gestion des stations de travail dans les environements Active Directory. L'inscription au webinar est ici: http://www.cerberis.com/actualite-webinar-script-logic---solving-desktop-management-challenges-with-desktop-authority--107.html La majeure partie de la présentation portera sur les aspects sécu […]
Forefront UAG 2010 SP1 : Fonctionnalités nouvelles et améliorées de DirectAccess - Support de One-time-password incluant : agent RSA SecurID et le support des solutions OTP tierces partie basés sur RADIUS - Ajout de paramètres optionnels dans chaque étape des scenarios de déploiement avancés - Support du déploiement des GPO DirectAccess sur plusieurs domai […]
Quand la sécurité numérique s’immisce dans la vie quotidienne Les éditeurs du jeu en ligne Star Wars – The Old Republic proposent d’utiliser un token OTP pour sécuriser l’accés à votre compte en ligne lorsque vous jouer. En effet le principe de l’OTP fait que le code généré par le token que vous possédez est […]
Totalement inutile, donc indispensable ! Microsoft propose un Widget pour Visual Studio permettant de débloquer des badges au fur et à mesure d’accomplissements, histoire de prendre Visual Studio pour un jeu Steam Les badges sont rangés dans plusieurs catégories, un pop-up s’affiche dans Visual studio à chaque fois que vous gagnez un nouveau badge et […]
Un livre blanc intéressant pour mieux comprendre les offres de Cloud Privé, ce que présentent ici Microsoft dans un livre blanc publié le mois dernier étant en effet assez simailaire aux offres des autres géants du cloud tels qu’IBM, Oracle ou Amazon. Bonne lecture à tous. Le livre blanc en téléchargement ici : Solutions de […]
Lorsque l’on utilise PowerShell pour créer des objets dans ActiveDirectory, il peut être intéressant dans le cas d’une OU ou d’un container d’appliquer le paramètres de Protection de l’objet des suppressions accidentelles, comme le fait si bien la case à cocher disponible dans la MMC. Bon, une case à cocher c’est très bien, mais quand […]
Lorsque l’on se connecte en SSH sur une machine Linux (ou Unix) pour effectuer des commandes à distance depuis un script ou pour effectuer des tâches administratives, il peut être très intéressant d’éviter d’utiliser une authentification par mot de passes, souvent simplistes. D’autant plus dans le cas de script, ou même lorsque l’on utilise des […]
Voici la suite de mon article sur la création d’une Custom Activity pour FIM 2010. Cette activité a été créé dans la FIMCustomActivityLibrary préparée dans la première partie de ce guide : FIM Custom Activity – Guide de création (partie 1) Un deuxième article montre comment ajouter des activités et écrire le code source de […]
Après le guide sur la fédération d’identité voici le tour des Stratégies de Groupes. Microsoft utilise évidement un grand nombre de GPO en interne pour des besoins diverses et variés, mais comment gérer efficacement des GPO pour un société internationale de cette taille ? Par exemple en suivant un ensemble de bonnes pratiques (et également […]
Si vous vous intéressez de près ou de loin à la fédération d’identité avec ADFS, sachez que la version 2.0 du guide “A Guide to Claims-Based Identity and Access Control” écrit par l’équipe Microsoft Patterns and Practices est disponible en téléchargement sur le site de MS: A Guide to Claims-Based Identity and Access Control Merci […]
La version 2012 de la suite Centrify est disponible depuis fin septembre, j’attendais la version mise à jour pour m’étendre sur le sujet. Voilà l’Update 1 disponible. La Suite 2012 intègre un grand nombre de nouveautés : DirectControl 5.0, DeployManager 2.0, DirectAudit 2.0, etc. Dans les nouveautés les plus attendues, on peut noter les Zones […]
Après FIM 2010, voici SQL Server qui obtient sa publication en RC.Cette version de SQL Server orientée « Cloud » apporte également sont lot de nouvelles fonctionnalités et d’amélioration du moteur. Un effort particulier sur la partie SaaS a été fait. Pour télécharger SQL Server 2012 RC : Download Microsoft SQL Server 2012 Release Candidate Pour en […]
A hotfix rollup package for Forefront Identity Manager 2010 (FIM 2010) is now available. The hotfix (build 4.0.3594.2) addresses a number of issues and provides some feature improvements. See the KB article at http://support.microsoft.com/kb/2520954 for a complete list and full description of changes in this release. Notably, this package improves performanc […]
A hotfix rollup package for Forefront Identity Manager 2010 (FIM 2010) is now available. The hotfix (build 4.0.3547.2) addresses a number of issues and provides some feature improvements. See the KB article at http://support.microsoft.com/kb/2028634 for a complete list and full description of changes in this release. Notably, this package resolved a issues i […]
A hotfix rollup package for Forefront Identity Manager 2010 (FIM 2010) is now available. The hotfix (build 4.0.3558.2) addresses a number of issues and provides some feature improvements. See the KB article at http://support.microsoft.com/kb/2272389 for a complete list and full description of changes in this release. Notably, this package provides a new redu […]
A hotfix rollup package for Forefront Identity Manager 2010 (FIM 2010) is now available. The hotfix (build 4.0.3576.2) addresses a number of issues and provides some feature improvements. See the KB article at http://support.microsoft.com/kb/2502631 for a complete list and full description of changes in this release. Notably, this package improves the SQL MA […]
A hotfix rollup package for Forefront Identity Manager 2010 (FIM 2010) is now available. The hotfix (build 4.0.3573.2) addresses a number of issues and provides some feature improvements. See the KB article at http://support.microsoft.com/kb/2417774 for a complete list and full description of changes in this release. Notably, this package significantly reduc […]
The AD RMS team recently had some inquiries on behalf of our customers about how to design an AD RMS solution that supports client-side storage of encryption keys and certificates. So we looked into it and now have an update on this topic that was just added to our current AD RMS FAQ on the TechNet Wiki site. Big thanks to Kevin Miller for providing the deta […]
When using the ActiveDirectory Rights Management Services Bulk Protection Tool (http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=11122)with Microsoft Outlook 2007 or 2010 Personal Store (.pst) files, you mayexperience a file truncation problem if Microsoft Outlook is set to process filesasynchronously. To prevent this issue, you can co […]
There is now an Active Directory Rights Management Frequently Asked Questions AD RMS FAQ on the TechNet Wiki. Please, feel free to review, contribute to, and update this FAQ. Great thanks to Enrique Saggese for answering the vast majority of these questions and to Jim Groves for collecting most of those questions, and Brad Mahugh for driving this forward! Th […]
Hello, Alexey here again. Today I want to start the deep diving into client bootstrapping. Client bootstrapping occurs the first time each AD RMS user tries to protect or consume protected content (such as documents or messages) on an AD RMS client computer or device and includes three consecutive steps: Security Processor Certificate (SPC) creation also kn […]
Today I'm acting as a conduit for one of the many AD RMS experts at Microsoft. Thanks to Alexey for sharing his knowledge about the inner workings of RMS! First of all let me introduce myself. My name is Alexey Goldbergs and I’m a Technology Solutions Professional on Security from Microsoft Russia. With this blog post I want to start the series which I […]
Service Pack 1 for Microsoft Windows Server 2008 R2 provides a very cool new feature in AD RMS: You can federate with organizations running Microsoft Exchange Server 2010 through the Microsoft Federation Gateway. In case you haven't heard about the Microsoft Federation Gateway, this is how it's described by MSDN (http://msdn.microsoft.com/en-us/lib […]
There's a new article in the TechNet Wiki that explains the purpose of the various reports you can generate in AD RMS: http://social.technet.microsoft.com/wiki/contents/articles/ad-rms-reports.aspx. It's a start, but we've put it in the Wiki so you can share with others how you've found the AD RMS reports useful. […]
The AD RMS setup wizard assumes that the SQL database server you use for the AD RMS configuration and logging databases is listening on the standard SQL TCP port, 1433. If your SQL server is configured to use a different port, this can create problems when you install AD RMS. There are a couple ways to work around this. The first is simply to specify the por […]
As a technical writer assigned the task of creating and maintaining documentation for AD RMS in the TechNet Library (http://technet.microsoft.com/en-us/library/cc771234.aspx), I like to think that our docs are the best place to go to get information about RMS. And in many ways they are: We strive to create a comprehensive set of documents about RMS that have […]
When the RMS v1 SP2 client is installed the following folder is automatically created on the machine: %allusersprofile%\AppData\Microsoft\DRM\Server. This folder is created to allow non-admin users, such as Network Service, to create the folder and licenses in the folder. This information only pertains to organizations running RMS v1, it is not applicabl […]
Previously, Office Integration with SharePoint secured by forms based authentication was not possible. The new ability of the Office client applications in Office 2007 SP2 to perform a forms login helps to solve this problem. You will need to install this post SP2 fix to your client machines to gain this functionality. What is needed in conjunction with i […]
The updated tool can be found here. The attachment contains both 32 and 64 bit installers. A cool new feature - Claim Flow Analysis has been added to this version. I'll write up a quick blog on how to use this feature soon. […]
I'm going on an hour trying to get the screen shots formatted correctly. Live Writer is making them too small. I'll just attach the word document to the end if you want to see the pictures better. I'm done messing around with this for now! If you know what I'm doing wrong - please send me a comment! In this blog, I will discuss the st […]
I am working on a blog post (step-by-step) for the Proxy component and I ran into a problem yesterday that ran me around pretty good. We have seen this issue or variations of it on some support cases recently, so I thought the actual problem itself would make a good post. The problem is caused by permissions to the private key on the Client Authentication C […]
With ADFS - the authentication token issued is good for the web server with the agent installed. It is a local RPC token and cannot go off the box. With some additional configuration, you can configure ADFS to go off the box and delegate with a kerbitized back-end. There are some caveats - namely, a shadow account must exist in the resource forest. If yo […]
More great tools by the ADFS team... Problems with the web.config files are one of the more common issues we see with ADFS/MOSS cases in PSS. Now there is a script with will make the modifications for you. It is located on the SharePoint team blog and can be accessed here. […]
A huge thanks to the ADFS test team for developing such a great tool. Here is a quick "how to" The tool is very simple to use and provides a graphical UI. In order to perform distributed diagnosis, i.e. diagnose failures based on the configuration of multiple machines in the scenario, it’s necessary to copy the out file generated by the tool e […]
====================================================================================== UPDATE: I'm not going to remove this blog or the original blog on the web.config entries - but I do want to make note that these web.config files should not be modified directly anymore. Please use the SetupSharePointADFS.vbs file to configure the MOSS applications […]
We are seeing quite a few support calls relating to certificate problems. Many of these are due to a misunderstanding of how the various certificates are used. ADFS/PKI issues are often very difficult to diagnose for the following reason – a lack of logging telling you what the problem is. For example – if the SSL certificate on your Web Server is incorrec […]
Une bonne nouvelle n’arrivant jamais seule, une deuxième session aux Microsoft Techdays 2012 vient de m’être accordée !
(spéciale dédicace à David P…..)
Frédéric Esnouf, Tech Specialist IAM chez Microsoft France a réussi la performance de présenter FIM 2010 en 1 heure condensée. Si vous vous posez des questions sur FIM 2010 et sur les scénarios d’utilisation, je vous invite a regarder ce webcast enregistré directement pendant les Techdays 2011.
Le démantèlement annoncé de Novell a donc eut lieu. Finalement valorisés à hauteur de 2.2 Milliards de Dollars, les actifs de Novell sont donc « rachetés » par Attachmate et Microsoft.
Microsoft fournit un article
Microsoft a mis en ligne un ensemble d’outils et de documents afin de permettre un apprentissage en douceur de FIM 2010. Ce cours introduit et explique les fonctions et les capacités de FIM 2010 et fournit un ensemble de scénarios reliés au solutions couvertes par FIM 2010 dans le cadre des organisations. Le « ramp up » « implementing Forefront Identity Manager 2010″ est accessible [ 
OCG organise conjointement avec Microsoft, les 
Microsoft implémente le support des identités tierces telles que Google, Facebook, LiveID et OpenID à sa plateforme cloud Azure via une mise à jour du composant Windows Azure AppFabric.
aintenant 10 ans !!!
Microsoft a annoncé il y a peu la mise à disposition en RTM de FIM 2010 ( enfin !!! ) – Il est possible de télécharger une version d’évaluation sur le
Microsoft met à disposition des architectes ou administrateurs ILM
Attention !!! Une vulnérabilité dans Kerberos due à un traitement incorrect de certaines requêtes permet à une personne mal intentionnée de provoquer un déni de service sur un contrôleur de domaine Windows. Il s’agit bien évidemment d’une faille majeure qu’il faut absolument corriger.
Microsoft met à disposition la Beta 2 de CardSpace 2.0.
Microsoft annonce l’acquisition « surprise » de la société Sentillion, par cette acquisition, Microsoft fait d’une pierre deux coups:
Exit ILM V2, c’est sous le nom de
La migration NIS est une des problématiques majeures de l’ensemble des grands groupes que j’ai pu rencontrer. En effet, les domaines NIS ou NIS+ ne sont plus supportés par SUN, l’inventaire du protocole. De plus, le protocole d’authentification NIS n’étant pas sécurisé (en fait, vraiment pas sécurisé…), il est important de migrer pour des raisons sécuritaires ou pour des besoins de compatibilité SOX ou PCI.
Ce document est basé sur une présentation réalisée par Kim Cameron au Microsoft PDC 2008 [ Microsoft Professional Developers Conference ] à Los Angeles en Novembre 2008.
L’équipe du MIT Kerberos a annoncé la disponibilité de la version 5 1.7 de la librairie Kerberos. Cette nouvelle version corrige un certain nombre de bugs, notamment pour les plate-formes Windows.
Les Groupes Utilisateurs font leur show ! -La Communauté Active Directory et Identity Management -Interopérabilité Windows-Linux-Unix-Mac
Microsoft réalise la mise à jour de son site sur l’interopérabilité: 