Fournir un véritable service d’annuaire pour les organisations utilisant Google G Suite

La solution de Google, Google G-Suite est une solution très utilisée aux USA, notamment pour son coût extrêmement faible à destination des petites organisations par rapport à la concurrence. Ensuite, c’est une affaire de goût et d’habitude, personnellement, j’ai toujours eu des « difficultés » avec les interfaces proposées par Google, mais c’est un autre débat !

Un des problèmes majeurs que rencontrent les clients Google G-Suite provient du manque de fonctionnalités autour de la gestion des identités, en effet, Google ne propose pas un véritable service d’annuaire en mode SaaS, on sent bien que les fonctions sont uniquement là pour supporter l’usage de G-Suite et point. Il est donc très compliqué pour une organisation de se passer d’un Active Directory local, et généralement les organisations synchronisent leurs informations provenant de l’annuaire Active Directory vers le Google Directory via les outils Google Cloud Directory Sync et G Suite Password Sync. Cette approche ne convient pas aux organisations désirant justement éliminer l’usage d’Active Directory et s’affranchir des frais de gestion et d’administration des serveurs locaux.

Spécialement conçu pour les organisation ayant besoin de beaucoup d’agilité au niveau de la gestion de leur annuaire, JumpCloud propose via un partenariat avec Google de fournir un véritable service d’annuaire pour les client Google G-Suite et propose donc la brique manquante aux clients Google. Lire la suite

Le National Institute of Standards and Technology (NIST) met à jour ses recommandations sur « Digital Identity Guidelines »

Le National Institute of Standards and Technology (NIST) est un institut américain délivrant régulièrement des documents de spécifications et des recommandations à l’attention de l’ensemble des autres organisations gouvernementales américaines. Même si les documents publiés ne sont pas exclusivement orientés sur les aspects sécurité (comme par l’exemple l’ANSSI en France) de nombreuses recommandations traitent de ces sujets, et de nombreux documents sont publiés pour aider les organismes américains à l’implémentation de solutions fiables et standardisées.

Le NIST a récemment publié un brouillon (Draft) de trois documents importants traitant de Digital Identity:

Document SP 800-63A: Digital Identity Guidelines – Enrollment and Identity Proofing Requirements

 

 

Document SP 800-63B: Digital Identity Guidelines – Authentication and Lifecycle Management

 

 

Document SP 800-63C: Digital Identity Guidelines – Federation and Assertions

 

 

Ces trois documents, même à l’état de brouillon, sont une véritable mine d’or (et je pèse mes mots…) pour toute personne travaillant dans la sécurité informatique et dans le domaine de la gestion des identités. Le premier document donne par exemple les grandes lignes en ce qui concerne la gestion des identités de façon globale, le deuxième réalise un focus sur les méthodologies d’authentification et fournit des conseils sur les règles de sécurité liées aux mots de passe alors que le troisième traite particulièrement des technologies de Fédération d’Identité.

Ce que j’apprécie particulièrement dans ces documents, c’est qu’ils ne sont pas uniquement un recueil bête et méchant de bonnes pratiques mais liste de façon exhaustives les technologies associées et les standards du moment – par exemple le document traitant de la fédération d’identité ne se contente pas de recenser les bonnes pratiques à suivre autour de la fédération mais liste l’intégralité des termes à connaître et à utiliser – le grand intérêt est que du coup on peut choisir de considérer le document du NIST comme document de référence sur les termes à employer, et dans un monde aussi confus que la Fédération d’Identité par exemple, cela ne fait pas de mal de s’appuyer sur un lexique de référence…

Bref, c’est un peu long, mais c’est à lire absolument…

Azure AD Application Gallery

Azure AD Application Gallery
Azure AD Application Gallery

Comme vous le savez déjà si vous travaillez avec les concepts de fédération d’identité et d’IDentity as a Service (IDaaS), notamment via Azure AD Premium, il est parfois difficile de connaître la liste des applications supportées ainsi que le mode de fédération ou de SSO que ces applications SaaS acceptent. Microsoft publie un site web « Azure AD Application Gallery » permettant de consulter la liste des applications supportées et de déterminer quel type de SSO elles sont capables de « comprendre ».

Pour faire simple, il existe 4 types d’applications SaaS selon la terminologie utilisée par Microsoft – notons toutefois, que les protocoles acceptés par l’application ne dépendent pas directement de Microsoft mais de l’application elle même, il y a toutes les chances pour que les « capacités » de l’application en termes de SSO ou de Fédération soient exactement les même quelques soit la solution d’IDaaS employée:

# Application de type « federated SSO only »: ces applications supportent la fédération et le SSO via la fédération de façon basique, généralement elles requièrent de mettre en œuvre un système de provisioning des comptes coté applicatif,  rappelez vous que la fédération d’identité ne vous élimine pas le fait de devoir créer les comptes côté applicatif de façon à lister les personnes acceptées et pouvoir définir le profiling applicatif (en gros qui a droit à quoi dans l’application)

# Application de type « federated SSO and provisioning »: ces applications supportent la fédération et le SSO via la fédération, et permettent aussi de gérer le provisioning des comptes via la solution d’IDaaS elle-même. Ici, on définie des règles, et la création des comptes, voir l’appartenance aux bons groupes côté applicatif, se fait via la solution IDaaS, plus besoin de penser un système de provisioning en parallèle.

# Application de type « federated SSO and consent »: ces applications supportent la fédération et le SSO via la fédération, et supportent la fonction « consent » – pour faire simple, cela permet à un utilisateur lorsqu’il utilise la passerelle de fédération d’accepter que ces identités soient utilisées et passées à l’applications SaaS pour valider son identité. Ce mécanisme est assez peu utilisé, permet sous certaines législation de demander la permission à l’utilisateur de transmettre son identité à l’application demandée. Qq explications sur le « consent » dans cet article: https://identitynetworks.wordpress.com/2009/03/09/ready-able-and-willing-federated-consent/

# Application de type « password SSO only »: ces applications ne supportent pas la fédération, et ne sont capable de faire du SSO que sur la transmission d’un couple username+password. Il y a un effet de bord principal à ce type d’authentification, c’est lorsque l’on veut utiliser le service d’IDaaS depuis un périphérique de type smartphone ou tablette, mais ceci est un autre débat, je ferais un article prochainement sur ce sujet. Ici, il faudra alors mémoriser le couple username+password ou éventuellement se baser sur l’authentification AD, mais il faudra alors aligner ce couple avec le compte dans l’application SaaS.

Sur l’interface « Azure AD Application Gallery », il suffit de choisir le type d’applications que l’on veut lister, et le site vous propose la liste des applications supportées par Azure AD Premium dans ce cadre. Par exemple:

consent_federation_applications

 

 

Personnaliser les pages web d’ADFS 3.0

Planet Très bon article récap de Maxime Rastello sur la personnalisation des page web ADFS 3.0. C’est à noté, car la dernière fois que j’ai fait cela pour un client (il y a 2 ans), les ressources sur le net concernant ce type de personnalisation étaient très rares, et encore plus rare en français ! L’article est disponible [ Lien vers l’article ADFS 3.0]

Par hasard…. Tools for ADFS

Je suis tombé par hasard (si il existe…) sur le site d’un ISV que je ne connaissais pas et qui semble produire des outils pour ADFS je n’ai pas gratté, mais cela à l’air intéressant:

adfs

Le lien: http://safewhere.com/product/safewhere-adfs2-web-admin/

J’ai l’impression qu’il y a plein de trucs sympas que je ne connais pas !!!  si qq connait, je veux bien un commentaire ou un retour par mail sur le sujet 😉

 

Windows Azure Active Directory: les nouvelles fonctions

waadMicrosoft vient juste de mettre en ligne tout un ensemble de nouvelles fonctionnalités pour WA AD (Windows Azure Active Directory). Tout d’abord, petit rappel, WA AD n’est PAS Active Directory dans Azure… Si une organisation veut un DC Active Directory dans Azure ou même faire une forêt complète dans Azure, la démarche est d’utiliser le service Infrastructure As A Service d’Azure et de faire une installation « classique » de Windows, suivi du rôle AD DS.

WA AD est en fait une nouvelle brique dans a stratégie de Microsoft, et c’est franchement très intéressant Il faut voir WA AD, principalement comme une offre de Fédération As A Service. En effet, l’instance WA AD d’une société va permettre en faite de connecté cette instance soit à des applications en ligne : Office365 bien sur, mais aussi SalesForce par exemple et/ou d’utiliser d’autres sources d’authentification comme étant le recueil d’utilisateur: l’instance WA AD d’un partenaire, un compte Google ou même un compte Facebook.

Comme l’instance WA AD de l’organisation est vraisemblablement « connectée »  à l’Active Directory on premise (dirsync + ADFS ou dirsync + Centrify for saas), et bien la boucle est bouclée.

WA AD débarque en deux mode, le standard et le premium – ce qui est bien avec le mode standard, c’est qu’il est gratuit, et franchement les fonctions de base sont assez impressionnantes.

Voici un détail des deux mode, en sachant que la version Premium est actuellement en beta, et donc gratuite elle-aussi jusqu’à la release finale:

WAAD_program

 

Un SSO pour les applications Cloud relié à Active Directory

Planet  Centrify débarque dans le monde du SSO Cloud et de la Fédération d’Identité avec une solution assez révolutionnaire en terme d’approche: Centrify DirectControl for SaaS.

En effet, l’idée est de réaliser ici depuis votre PC sous Windows, depuis votre Mac, depuis votre station Linux, depuis votre téléphone iOS ou Android ou depuis votre tablette iOS ou Android un SSO vers les applications Cloud de l’entreprise. Ce SSO est possiblement basé sur différentes technologies (dans le backoffice), fédération d’identité, OpenID, Login/Mot de Passe, etc… Le tour de force réside dans différents aspects:

  • Le paramétrage se fait depuis Active Directory: Des GPOs et une MMC vont permettre de paramétrer les différentes options, les paramétrages peuvent aussi se réalisés coté du service Cloud et sont synchronisés entre le service Cloud et Active Directory: la désactivation d’un compte dans Active Directory désactivera l’ensemble des comptes utilisateurs dans les applications Cloud pour cette entreprise, bien utile en terme de sécurité !
  • La solution est extrêmement simple à installer: pas de serveur de fédération, pas de paramétrage complexe, pas de synchronisation d’utilisateur: il suffit d’installer un serveur Proxy dont le rôle est de synchroniser les information Active Directory vers un service Cloud Centrify basé sur Azure, le service Cloud Centrify fait le lien avec les applications SaaS – pas d’infrastructure complexe
  • Le service Cloud Centrify basé sur Azure permet de maintenir à jour les paramètres et le niveau de sécurité sur l’ensemble des devices, même si ils sont en dehors de l’entreprise, dès que ceux-ci se connectent à Internet et donc à Azure

Centrify_for_SaaS

Coté Tablette ou Téléphone, une simple application téléchargée depuis le store ou un navigateur, permettent à l’utilisateur de réaliser toutes les opérations: accès aux applications en SSO, mise à jour des informations utilisateurs, réinitialisation de mot de mot de passe, blocage d’un device perdu ou volé, etc…

Centrify propose une version gratuite de sa solution, la version DirectControl for SaaS, pleinement fonctionnelle, sans limitation dans le temps ou dans le nombre de devices gérés: certaines fonctions pour les grandes entreprise seront uniquement présentes dans la version payante qui sortira en Q2 2013.

Mes premiers tests sur la version express de la solution sont plus que concluants: ce produit est génial – De plus, il fonctionne parfaitement avec Office365, que l’instance Office365 soit paramétrée en mode Login/Password ou en mode Fédération, sauf qu’il n’y pas besoin d’ADFS ou de DirSync V2 !

Enfin, je vous conseille vivement de regarder cette vidéo de démonstration de 5 minutes qui vous donnera une meilleure idée de la solution depuis un PC ou une Tablette:

 

 

 

ADFS Wiki Page

Microsoft a eut la bonne idée de créer des pages Wiki qui recensent de manière exhaustive (ou presque) l’ensemble du contenu en ligne proposé par Microsoft sur des technologies données. Il y a quelques technologies Microsoft où les ressources sont pauvres ou peu accessibles, c’est souvent le cas pour les produits « gratuits ».

Microsoft propose donc une page AD FS 2.0 Content Map qui contient l’ensemble des liens évoquant la technologie ADFS chez Microsoft. Les sujets abordés:

Table of Contents

  • Learn about AD FS 2.0
    • Introduction to AD FS 2.0
    • Overview of AD FS 2.0
    • About Claims and Claim Rules
    • About Claims-Based Identity & Applications
  • Research AD
    FS 2.0 Solutions

    • Integration with Microsoft Cloud Products
      • Office 365
      • Windows Azure Applications Platform
      • Windows Azure Appfabric Access Control Services (ACS)
    • Integration with Microsoft On-Premises Products
      • Active Directory Domain Services (AD DS)
      • Active Directory Rights Management Services (AD RMS)
      • Exchange Server 2010
      • Forefront Identity Manager (FIM)
      • Forefront UAG
      • Microsoft Dynamics CRM 2011
      • SharePoint Server 2007 & Windows SharePoint Services 3.0
      • SharePoint Foundation 2010
      • SharePoint Server 2010
      • Windows Identity Foundation (WIF)
    • Interoperability with Non-Microsoft Products
      • Interop Setup Guidance
      • Interop Test Lab Step-by-Step Guides
    • Case Studies
      • Microsoft IT
  • Design and Deploy AD FS 2.0
    • Plan and Design
    • Deploy
  • Manage AD FS 2.0
    • Certificates
    • Federation Server
    • Federation Server Proxy
    • Federation Service
    • Monitoring
    • Office 365
    • PowerShell
    • Security
    • Sign-in / Sign-out
    • Trusts
  • Troubleshoot AD
    FS 2.0

    • Authentication / Authorization
    • Browser Client Errors
    • Certificates
    • Federation Server Proxy
    • Federation Service
    • ForeFront UAG
    • Installation / Setup
    • Logging / Tracing
    • Office 365
    • Trusts
  • QFEs
    Related to AD FS 2.0
  • Additional AD FS 2.0 References
    • Developer References
    • Software Downloads
    • Related Microsoft Products
    • Related Open Standards
  • Community Resources
    • Forums
    • Blogs
    • Feeds

Evènement: Identity Management 2012

 

 

 

 

 

Un nouvel évènement dans le monde de l’Identity Management organisé par Whitehall Media:  « Identity Management 2012 » sera organisé  Londres le 6 Novembre prochain. J’ai reçu de très bons échos de la la version 2011 de cet évènement. Néanmoins, le discours est clairement orienté décideurs et assez peu technique au final.

Le programme me semble très intéressant, avec notamment des focus sur la fédération d’identité et la gestion des identités dans les applications en ligne.

 

Sortie de Oracle Identity Management 11g Release 2

  La version Oracle Identity Management 11g Release 2 vient de sortir sur le marché. cette nouvelle version apporte principalement des avancées dans les quatre domaines suivants:

  • Gestion des privilèges multi-plateformes: sur cette partie, Oracle tente de rattraper son retard sur les solutions connues et reconnues du marché chez Quest, Centrify ou Avecto
  • Sécurisation de l’authentification sur les plateformes mobiles: A nouveau, Oracle me semble bien en retard par rapport aux produits présents sur le marché depuis plus d’un an chez Airwatch, MobileIron ou Centrify
  • Nouveautés sur la partie Fédération, et notamment dans les scénarios de SSO vers les applications en Cloud public telles que SalesForce, GoogleApps, etc…
  • Des nouveautés sur la virtualisation d’attributs dans Oracle Directory Services

Plus d’informations sur le site d’Oracle