Author: Sylvain

Quel intérêt à utiliser Ping Identity avec Azure AD Premium ?

SylvainLeave a comment

 

Il y a quelques mois, Microsoft annonçait son partenariat avec Ping Identity pour renforcer son offre Azure AD Premium:

Mais cette annonce coïncidait avec l’annonce quelques semaines auparavant de la mise en preview d’une fonction de App Gateway au niveau d’Azure AD Connect (fonctionnel mais toujours en preview à ce jour). Ainsi, beaucoup de mes clients et contacts me demandaient au fil des semaines quel pouvait être l’intérêt pour eux d’utiliser Ping Identity alors que Microsoft fournissait maintenant une App Gateway permettant non seulement de publier des applications on-prem au niveau du portail Azure AD Premium sans l’obligation d’ouvrir des ports au niveau des firewall mais également de jouer des authentification sur l’annuaire Active Directory local sans déployer ADFS. Nous allons essayer de répondre à cette question dans cette article.

Déjà, revenons quelques instant sur l’offre Ping Identity. Ping Identity est l’entreprise leader dans le domaine des solutions de fédération d’identité pour les entreprises. Cette entreprise américaine a vraiment été un des pionniers en la matière, principalement pour les organisations avec des besoins complexes ne pouvant pas être couverts avec ADFS et Shibboleth. Mais depuis environ 18 mois, les offres Ping Identity ont été progressivement dépassées par les solutions de IDentity as a Service, qui rappelons le, propose notamment un système de fédération multi-tiers en mode SaaS. Ping Identity a essayé de réagir sur le segment IDaaS, mais leur architecture produit n’a pas convaincu, laissant le champs libre à Microsot, Centrify et Okta sur le marché IDaaS. Il fallait donc régir pour ce leader établi  de la fédération d’identité.

En septembre dernier, Microsoft annonçait donc son partenariat avec Ping Identity:

En parallèle, Microsoft proposa en private preview puis en public review la fonction App Gateway intégrée à Azure AD Connect avec notamment les possibilités suivantes:

  • Fournir un accès aux applications internes sans modification des firewall, des routeurs ou des reverse proxy
  • Sécurisation de l’accès aux applications internes via un mécanisme de « reverse VPN » basé sur la fonction bus d’Azure
  • Publication d’applications web internes utilisant IWA (Integrated Windows Authentication)
  • Publication d’applications Web utilisant « form-based access »
  • Publication d’applications publliées via la fonction Remote Desktop Gateway

Ces avancées notoires permettant nottamment à Microsoft de rattraper son retard sur la fonction Cloud Gateway proposé par Centrify via son offre IDaaS.

Que peut donc me fournir Ping Identity en plus de ces fonctions déjà très intéressantes ?

La raison principale de ce partenariat est de pouvoir traiter des applications web internes utilisant l’authentification de type headers HTTP.

Pour ce, il sera nécessaire d’installer un composant supplémentaire PingAccess au niveau du réseau local, ce composant communiquant avec Azure AD Premium et le connecteur Azure AD Connect:

Pour ce, il est possible directement au niveau de la console Azure AD Premium de publier de telles applications en indiquant quelles seront accédées en passant par le composant PingAccess:

Un des intérêts de cette combinaison est de « contourner » les options de sécurité assez faibles d’une authentification par headers Http en utilisant des APIs Azure spécifiquement développées pour faire communiquer Azure AD Premium et PingAccess: ainsi, il sera possible de définir des règles d’accès et de rôles qui seront transposées et traduites par le composant PingAccess depuis le RBAC Azure:

Quel avenir pour ce partenariat ?

Euhm… bonne question ! Pour ma part je ne suis pas convaincu par le fait que cette fonction sera suffisante a faire décoller le partenariat technologique et commercial, surtout que pour l’instant le modèle de pricing de PingAccess pour Azure AD est assez obscure, Ping Identity n’étant pas spécialement connu pour le côté bon marché de ses produits… (bon, après ce sont de très bons produits, tout se paye). De plus, au travers de mes différentes missions de consulting sur la partie IDaaS, ce type d’authentification (Headers Http) n’étaient pas la priorité des clients…

Un point stratégique important est de comprendre que les offres de IDaaS vont petit à petit éliminer le besoin de solution de fédération d’identité installées localement (ADFS, Shibboleth, Ping, ForgeRock, etc.) et vont remplacer sous forme de service SaaS l’ensemble des composants de fédération. Bien sur, pour des besoins très spécifiques, notamment en ce qui concerne des scénarios complexes dans des grandes entreprises, les passerelles de fédération d’identité installées localement ont encore de beaux jours devant elles, mais dans 5 ou 6 ans ? Pas certain !

Bon, à la fin, cela serait peut-être plus simple si Microsoft rachetait Ping Identity, non ? 😉

Quel avenir pour One Identity ? (ex Quest)

SylvainLeave a comment

 

Les plus vieux d’entre vous connaissent vraisemblablement l’historique truculent et les tribulations sans fin des actifs de la société Quest Software.

A l’origine cette société a racheté et vendu le produit Toad pour les DBA Oracle dans le monde entier. Toad, véritable vache à lait de la société, a permis à Quest Software de constituer un véritable trésor de guerre, très conséquent (voir très très très conséquent…), permettant à Quest Software de réaliser massivement des acquisitions de sociétés IT et de produits tiers sur le marché des startup américaines, constituant au fil du temps un portfolio impressionnant de produits technologiques destinés aux entreprises. Cette démarche d’acquisition fut à la fois la force et la faiblesse de Quest Software car il n’y avait aucun ciment technologique commun entre les différentes acquisitions aboutissant à un éventail de produits totalement désynchronisés d’un point de vue stratégique et technique.

La solution ActiveRoles a fait partie de ces acquisitions, permettant ainsi à la société de rentrer dans le domaine de la gestion des identités et des accès, notamment en environnement Microsoft. Ensuite, Quest Software a essayé de rationaliser sa stratégie liée à la gestion de l’identité en constituant une « marque » One Identity sensée représenter l’ensemble de la gamme gestion des identités au sein de Quest Software.

S’en est suivi le rachat de Quest Software par DELL, et là, franchement, cela a été un jeu de massacre, les produits non rentables commercialement ont plus ou moins été abandonnés, de nombreuses ressources tant techniques que commerciales sont aller voir ailleurs, et l’activité de la division DELL Software a petit à petit périclité… L’exemple typique est l’abandon d’investissement dans la gamme ex-Vintela, laissant à Centrify le champs libre sur le marché du bridge AD et de la gestion des privilèges sur Unix et Linux. Le nombre de migration ex-Vintela vers Centrify a alors été impressionnant…

DELL a ensuite décidé de rendre sa « liberté » à Quest afin de reprendre du poil de la bête. Désirant certainement modifier sa stratégie, la nouvelle société Quest a ensuite  décidé de se séparer de la division Gestion des Identités, appelée One Identity, afin de constituer une structure juridique indépendante de Quest. Tout ceci est assez surprenant, mais je ne connais pas tous les détails de la « transaction » ni les objectifs cachés de cette décision.

Un nouveau site est en ligne afin de présenter cette nouvelle entité juridique et les activité de One Identity: https://www.oneidentity.com/

 

Ce site web présente les produits historiques de la gamme de Quest Software en ce qui concerne la gestion des identités:

J’avoue que je ne sais plus trop quoi penser de ces produits…ni de leur avenir à moyen terme. De sources sures, les développeurs originels de ces différentes solutions se sont majoritairement fait la malle… Donc…

Quelle est la stratégie globale à moyen et long terme de cette nouvelle entité ?

Quel support technique pour les clients ?

Quel support commercial & technique pour les partenaires ? (abominable à l’époque de Quest Software)

Tout ceci est encore un peu nébuleux pour moi… et je n’ose imaginé ce qu’il en est pour les clients…

Pourtant certains produits, si ils sont véritablement repris en main, modifiés et adaptés aux nouvelles contraintes en terme d’IAM, possèdent un énorme potentiel, je pense notamment au couple Identity Manager +  Active Roles qui pourraient devenir une alternative crédible à MIM dans des grosses PME ou des ETI.

Si cette nouvelle entité possède les moyens de ses ambitions, cela mérite véritablement de garder un œil sur les futures mises à jour de ces produits et de suivre l’évolution de tout ceci dans les prochains mois.

A suivre donc, pour le meilleur ou pour le pire, nous verrons bien  😉

 

40 minutes pour tout comprendre de Microsoft EMS

SylvainLeave a comment

Microsoft Cloud Platform vient de poster une vidéo de présentation de Microsoft EMS (Enterprise Mobility & Security) extrêmement bien réalisée. La vidéo mêle la présentation globale de chaque module EMS et les enjeux rattachés en termes de productivité ou de sécurité ainsi que des démonstrations techniques extrêmement bien ciblées.

En 40 minutes, cette vidéo permet à chacun de comprendre le positionnement d’EMS et les fonctionnalités principales des différents modules. cette vidéo est tellement simple qu’elle peut même être envoyée à un manager, c’est dire !  😉

L’ensemble des modules est passé en revue, Azure AD Premium, AIP, Conditional Access, etc.

La vidéo est accessible ici:

 

 

Activer une fonction MFA telle que Google Authenticator sur un système Linux ou MacOS

SylvainLeave a comment

 

L’authentification forte à deux facteurs (MFA) est une solution commune pour sécuriser l’accès aux applications SaaS. Mais il est aussi parfois nécessaire de sécuriser via MFA l’accès aux systèmes qu’ils soient exécutés sur le LAN ou sur une plateforme IaaS telle que Azure ou AWS.

L’idée est ici par exemple de sécuriser via un facteur d’authentification supplémentaire (en plus d’un password) l’exécution d’une sessions SSH sur un système Linux. JumpCloud nous permet de faire cela sur les systèmes Linux et MacOS en utilisant un MFA totalement gratuit et très répendu, Google Authenticator. Je ferais prochainement un tutoriel pour implémenter cette fonction car pour moi ceci est une demande courante de nombreux clients que je rencontre.

En attendant, voici deux vidéos présentant cette fonction sur un système Linux et un système MacOS:

Vidéo sur Linux:

Vidéo sur MacOS:

Okta rachète Stormpath

SylvainLeave a comment

La nouvelle est tombée hier, la société Okta a réalisé l’acquisition de la société Stormpath. Pour ceux qui ne connaissent pas Strompath, la société propose une solution d’AUTHentification as a Service à destination des développeurs Web.

Attention, on ne parle pas ici d’une solution complète IDaaS comme  le propose déjà Microsoft, Centrify ou Okta, mais d’une brique à destination des développeurs permettant d’intégrer dans des services ou des applications web n’importe quel type d’authentification directement au niveau du code de l’application. Typiquement la solution Stormpath ne propose pas son propre annuaire Cloud (du moins pas du même niveau fonctionnel que Microsoft/Centrify/Okta) mais va permettre d’utiliser de nombreuses sources d’authentification différentes en intégrant au passage des mécanismes d’authentification forte ou de SSO:

Je m’étais intéressé à cette société quand elle avait fournie une Gateway permettant d’utiliser directement dans les applications SaaS un modèle d’authentification basé sur Active Directory ou LDAP:

Un modèle technique extrêmement intéressant axé sur les développeurs mais vraisemblablement un modèle trop réducteur pour résister aux points lourds de l’IDaaS qui commencent à proposer ce type d’API en standard dans leurs propres solutions. Voir par exemple chez Centrify:

Centrify Cloud API Guide: http://developer.centrify.com/site/global/documentation/api_guide/index.gsp
Centrify Cloud API Reference: http://developer.centrify.com/site/global/documentation/api_reference/index.gsp

Reste à savoir la raison de ce rachat de la part d’Okta. Pour moi la raison majeure n’est pas au niveau des APIs d’intégration (Okta a commencé à travailler sur ses propres APIs depuis quelques mois) mais au niveau de la technologie de gateway avec les éléments on-premises tels qu’un annuaire LDAP, Active Directory ou même un ADFS. En effet, sur cette brique majeure pour une entreprise d’une certaine taille, Okta était bien mal équipé… voulant imposer une vision à l’Américaine basée sur une approche pure Cloud Public à ses clients.

A noter, que la plupart des analystes ne sont pas d’accord avec moi et mettent en avant la partie API – voir par exemple: https://techcrunch.com/2017/03/06/okta-stormpath/ – ceci est normal puisque Stormpath est majoritairement connu pour cela… Mais pour moi ce n’est pas la raison principale, à moins que les équipes interne d’Okta aient vraiment fait du mauvais travail depuis quelques mois..

Il sera intéressant de suivre et comprendre comment les technologies Stormpath vont être intégrées à l’environnement Okta… Quelles briques technologiques vont être abandonnées… A suivre…

Comment Microsoft peut il vous accompagner dans votre démarche de certification ou conformité ?

SylvainLeave a comment

Travaillant actuellement pour une grande organisation internationale désireuse de différentes certifications afin d’atteindre certains principes de conformité, je me suis trouvé pris à parti lors du dernier comité de pilotage. Lors d’une réunion garnie de chefs à plumes, le CISO du client, du haut de son piédestal, de ses certitudes et de son Anglais parfait d’Oxford m’a demandé comment les technologies Microsoft pouvaient aider son organisation dans cette démarche… La question ne m’avait jamais été posée sous cette angle… Bon il faut dire que le personnage n’avait pas l’air super fan des technologies Microsoft, cela sentait le piège… son œil malicieux était vif et brillant…

J’ai travaillé sur de nombreux projets PCI-DSS, des projets ISO, etc… souvent les solutions implémentées en réponse à ces demandes étaient réalisées via un ensemble de technologies différentes: Active Directory, Centrify, principes de moindre privilège, FreeBSD, système d’audit et de tableaux de bord, FIM/MIM, méthodologie BPM, scripts, utilisation de cartes à puce, etc. Jamais un RSSI ne m’avait « attaqué » sous l’angle « moqueur » du tout Microsoft…

Suite à sa demande et à quelques recherches, je suis tombé sur un site web de Microsoft vraiment intéressant proposant une source d’information quasi exhaustive sur le « comment Microsoft me permet d’avancer dans mon projet de Compliance »: https://www.microsoft.com/en-us/trustcenter/compliance/complianceofferings

Tout n’est pas parfait, mais ce site a le mérite d’exister. Il permet en effet de sélectionner les différents type de certification par type ou par région du monde:

Après une brève description de la certification, exemple ici avec ISO27001:

Le site permet d’obtenir tout d’abord des informations concernant les certifications obtenues par les produits ou services Microsoft dans le domaine considéré:

Puis de consulter de nombreuses sources additionnelles:

Bien évidement, en fonction de la certification, les données proposées et la structure de présentations diffèrent quelque peu.

Pour ceux qui recherchent sur la certification PCI-DSS, notamment dans le cadre de l’utilisation des services Azure, Microsoft met à disposition un fichier Excel vous permettant de définir, en fonction des objectifs PCI-DSS, quels sont les éléments sous la responsabilité de Microsoft et quels sont les éléments sous votre responsabilité. Très utile pour structurer son approche conjointe Cloud + PCI-DSS:

Je vous rappelle également l’existence d’un outil souvent méconnu de Microsoft, Security Compliance Manager (SCM), qui est une boite à outils extraordinaire pour ce type de projet – de plus l’outil est totalement gratuit et peut fournir des modèles prêts à l’emploi à utiliser via les GPOs, DSC ou SCCM afin d’appliquer des modèles de « compliance » sur les workstations ou les serveurs. Une nouvelle version de SCM prend d’ailleurs en compte Windows Server 2016 et Windows 10: https://technet.microsoft.com/fr-fr/solutionaccelerators/cc835245.aspx

Bref, une mine d’or pour ceux qui travaillent sur des projet de certification et de conformité.

Et bien oui, Microsoft pouvait bel et bien aider mon RSSI imbus de lui même…

En pièce jointe de cet article, en bonus, je vous ai rajouté un document réalisé par McAfee sur la liste des événements à auditer au sein d’Active Directory dans le cadre d’un projet PCI-DSS. Néanmoins ce document peut s’utiliser dans d’autres projets de conformité ou même dans une démarche toute simple de sécurisation ou de réduction de la surface d’attaque Active Directory: wp-pci-guidance-microsoft-windows-logging

Pour rappel: https://www.microsoft.com/en-us/trustcenter/compliance/complianceofferings

Bonne recherche et bonne lecture !

European Identity Cloud Conference 2017

SylvainLeave a comment

Comme tous les ans, le cabinet de conseil Kuppingercole organise un évènement Européen centré sur la gestion des identités et le cloud. Cette année, l’EiC se tiendra du 9 au 12 mai 2017 à Munich, en Allemagne.

L’agenda vient d’être mis en ligne, vous le retrouverez [ ICI ]

Certains speakers sont de grande qualité, comme tous les ans Kim Cameron sera de la partie. Je préfère vous prévenir, ce n’est pas donné, mais c’est le prix de l’excellence ? non ? 😉

 

 

RegTechLab délivre un panorama des startups qui comptent dans l’IAM

SylvainLeave a comment

Le cabinet RegTechLab a réalisé une étude très intéressante, en identifiant 187 startups qui comptent dans le domaine de la gestion des Identités et des Accès sur la scène internationale.

Ils ont catégorisé ces 187 startups en 7 segments:

  • Gestion des attributs

  • Authentification/Autorisation

  • Identity Access Management (IAM)

  • Identité Digitale

  • Identité pour l’Internet des Objets
  • Solution de monitoring
  • Technology Providers

Honnêtement, je trouve la segmentation pas très bien choisie, mais bon, c’est une erreur de jeunesse.

Au final, c’est un travail assez minutieux, il faudrait maintenant que RegTechLab puisse réaliser une étude plus en profondeur de chaque segment, puis de chaque startup.

Vous retrouverez l’intégralité de l’article sur ce lien: https://www.regtechlab.io/the-identity-startup-landscape

 

Meetup MUG à Tours – Microsoft Azure & co

SylvainLeave a comment

J’anime le 08/02/2017 à 19h sur Tours un meetup sur Microsoft Azure, au programme:

•  Le Cloud – késako

•  IaaS, PaaS & SaaS

•  Microsoft Azure

•  Relation entre Azure et Office 365

•  La gestion des identités dans Microsoft Azure

Venez nombreux sur place, afin d’échanger, discuter Cloud, Azure et nouvelles technologies !

Pour s’inscrire: https://www.meetup.com/fr-FR/Meetup-Mug-Tours/events/235774905/?wt.mc_id=AID541758_QSG_SCL_12885

Merci encore au MUG Tours pour m’accueillir en tant que speaker.