Le National Institute of Standards and Technology (NIST) met à jour ses recommandations sur “Digital Identity Guidelines”

Le National Institute of Standards and Technology (NIST) est un institut américain délivrant régulièrement des documents de spécifications et des recommandations à l’attention de l’ensemble des autres organisations gouvernementales américaines. Même si les documents publiés ne sont pas exclusivement orientés sur les aspects sécurité (comme par l’exemple l’ANSSI en France) de nombreuses recommandations traitent de ces sujets, et de nombreux documents sont publiés pour aider les organismes américains à l’implémentation de solutions fiables et standardisées.

Le NIST a récemment publié un brouillon (Draft) de trois documents importants traitant de Digital Identity:

Document SP 800-63A: Digital Identity Guidelines – Enrollment and Identity Proofing Requirements

 

 

Document SP 800-63B: Digital Identity Guidelines – Authentication and Lifecycle Management

 

 

Document SP 800-63C: Digital Identity Guidelines – Federation and Assertions

 

 

Ces trois documents, même à l’état de brouillon, sont une véritable mine d’or (et je pèse mes mots…) pour toute personne travaillant dans la sécurité informatique et dans le domaine de la gestion des identités. Le premier document donne par exemple les grandes lignes en ce qui concerne la gestion des identités de façon globale, le deuxième réalise un focus sur les méthodologies d’authentification et fournit des conseils sur les règles de sécurité liées aux mots de passe alors que le troisième traite particulièrement des technologies de Fédération d’Identité.

Ce que j’apprécie particulièrement dans ces documents, c’est qu’ils ne sont pas uniquement un recueil bête et méchant de bonnes pratiques mais liste de façon exhaustives les technologies associées et les standards du moment – par exemple le document traitant de la fédération d’identité ne se contente pas de recenser les bonnes pratiques à suivre autour de la fédération mais liste l’intégralité des termes à connaître et à utiliser – le grand intérêt est que du coup on peut choisir de considérer le document du NIST comme document de référence sur les termes à employer, et dans un monde aussi confus que la Fédération d’Identité par exemple, cela ne fait pas de mal de s’appuyer sur un lexique de référence…

Bref, c’est un peu long, mais c’est à lire absolument…

Les différents scénarios possibles selon la topologie d’entreprise avec Azure AD Connect

adconnect je suis tombé qq peu par hasard sur un article (US) qui me semble intéressant pour un architecte débutant dans les problématiques de synchronisation liées à Azure AD Connect. Cet article liste les différentes topologies d’entreprise existantes possibles, et les scénarios d’implémentation Azure AD Connect pour chaque situation. Quand un scénario n’est pas supporté officiellement par Microsoft, cela est notifié dans l’article, ce qui est important et parfois qq peu obscure à décrypter (supporté ou pas supporté…) pour les débutant.

Bref, l’article n’est pas révolutionnaire en soi, mais constitue un bon point de départ pour un consultant déchiffrant ce nouveau monde. L’article est disponible ici: https://azure.microsoft.com/en-us/documentation/articles/active-directory-aadconnect-topologies/

Bonne lecture 😉

HID ActivIdentity CMS Appliance

  Il y a quelques semaines, j’ai travaillé sur un projet de PKI et de CMS pour le compte d’une grande banque Suisse. A cette occasion, j’ai écrit une étude comparative entre les différents Card Management System du marché. Je ne peux malheureusement pas rendre publique cette étude.

Néanmoins, au travers de mes recherches, je suis tombé sur une vidéo extrêmement bien réalisée de la part de HID / ActivIdentity présentant leur offre de CMS sous forme d’appliance. La vidéo est vraiment très claire et permet d’avoir une idée précise du déploiement de ce type de solution. Par contre, juste un rappel, sur ce type de projet, la partie purement “technique” n’est pas la plus longue, la charge réside principalement dans la définition des niveaux de sécurité, des processus d’enrôlement, l’éducation des utilisateurs, etc…

En attendant de réaliser votre projet, je vous conseille la visualisation de cette vidéo:

 

MIIS-ILM-FIM Password Synchronization: PCNS Wiki

  Comme vous le savez certainement, le module Microsoft PCNS est un moyen d’intercepter la nouvelle valeur du mot de passe d’un utilisateur lorsque celui-ci modifie son mot de passe – la nouvelle valeur est interceptée dans la mémoire vive du contrôleur de domaine réalisant le changement de mot de passe. Comme cette valeur n’est pas encore “cryptée” dans la base de donnée Active Directory (opération généralement non réversible), il est alors possible de pousser ce nouveau mot de passe vers des cibles techniques afin de maintenir une valeur unifiée de ce mot de passe dans différents systèmes. Par exemple, on veut pouvoir maintenir le même mot de passe utilisateur entre Active Directory et un annuaire OpenLDAP.

Cette opération ne fonctionne que dans le sens AD -> “Autre Chose”, car le module PCNS est installé sur les Contrôleurs de domaine Active Directory et ne sait intercepter la nouvelle valeur du mot de passe qu’à ce niveau ci.

Ce module est généralement utiliser avec FIM afin de permettre une “synchronisation” de mot de passe entre différents référentiels d’identités ( ce n’est pas à proprement parler une synchronisation, mais bon restons simple ) – moins connu, il est tout à fait possible d’utiliser ce module PCNS avec vos propres scripts ou même une application que vous auriez vous même développée, l’utilisation de MIIS, ILM ou FIM n’est donc pas une obligation.

Bonne idée de la part de Microsoft, une page Wiki a été créée sur le Technet afin de lister l’ensemble des liens techniques importants à connaitre pour le bon paramétrage de ce module parfois obscure pour le débutant. Je vous invite à commencer par cette page pour tester ou re-découvrir ce module. C’est [ ICI ]

Une application “Password Reset” pour FIM 2010 R2 sur Windows Phone 7.5

  Belle initiative de la part de Certified Security Solutions qui met à disposition une application Windows Phone 7.5 afin de permettre le reset de mot de password via la fonction proposée par FIM 2010 R2 – cela fonctionne avec via la méthode “Internet-based Password Reset”, donc uniquement avec FIM 2010 R2 et pas avec FIM 2010.

De plus, l’application supporte le mode OTP qui a été introduit lui-aussi avec FIM 2010 R2 permettant par exemple l’envoi d’information via SMS directement au téléphone portable.

L’application est disponible sur le Marketplace Microsoft, et est totalement gratuite.

Quelques capture d’écrans:

 

   

 

 

Les limites techniques d’Active Directory

Un post rapide pour signaler un article que j’ai trouvé par hasard sur le blog de la société Nelite expliquant les limites techniques d’Active Directory en ce qui concerne le nombres d’objets, le nombre de GPOs applicables, etc…

C’est très intéressant: http://blogs.nelite.com/blogs/identitysolutions/archive/2011/02/04/les-limites-d-active-directory.aspx et à garder sous le coude pour certains projets grands comptes…

De plus, je vous invite à conseiller vos client internes ou externes à mettre une vraie politique de sauvegarde Active Directory avec des outils dédiés et performants.

 

Vidéo: Les basiques de l’accès fédéré à Office365 via ADFS et Microsoft Federation Gateway

Une des grandes nouveautés d’Office365 par rapport à BPOS réside dans le support de la fédération, via ADFS, pour accéder aux ressources Office365 hébergées par Microsoft. Cette technique permet globalement aux utilisateurs finaux de bénéficier du Single Sign On (SSO) et aux DSI de ne pas avoir à gérer les règles de gestion des identités des utilisateurs au niveau du cloud de Microsoft.

Cette vidéo présente en des termes extrêmement simples les différentes pièces techniques de la fédération et vous donne les clés pour un premier niveau de compréhension technologique:

How ADFS and the Microsoft Federation Gateway work together up in the Office 365 Cloud. from Steve Plank on Vimeo.

Passwords^10: les présentations et vidéos sont en ligne

bergen_logoConnaissez vous la conférence Passwords^10 ? Cette conférence annuelle et gratuite est organisée par l’université de Bergen, en Norvège et concentre pendant deux jours des présentations extrêmement techniques dans le domaine des mots de passes, des codes PIN ou des codes OTP.

En décembre 2010, les intervenants étaient d’une rare qualité ( voir le programme ici ), et la plupart ont permis que les sessions soient enregistrées et les présentations diffusées. Et c’est maintenant en ligne 😉

Les vidéos et présentation sont accessibles sur ce site FTP: http://ftp.ii.uib.no/pub/passwords10/ – Si vous travaillez dans le domaine de la gestion des mots de passe ou plus globalement dans le domaine de la sécurité informatique, la visualisation de ces vidéos ne sera pas une perte de temps.

La présentation réalisée par la société Passware, en la personne de Dmitry Sumin fait plutôt froid dans le dos… et ne donne pas trop envie d’utiliser BitLocker… A voir…