Upload
vuongtuyen
View
216
Download
0
Embed Size (px)
Citation preview
Page 1 © Evidian 2008 1
IAM et habilitations, l'approche par les accès ou la réconciliation globale
04/12/08
Page 2 © Evidian 2008
Les couches archéologiques du Système d’information: Les systèmes centraux
EmployéEmployéEmployésEmployés
Applications
RHRHVentesVentes
Page 3 © Evidian 2008
EmployeeEmployeeEmployésEmployés RHRHVentesVentes
Les couches archéologiques du Système d’information: Les systèmes distribués
Page 4 © Evidian 2008
Les couches archéologiques du Système d’information: Mobilité et ubiquité
EmployeeEmployeeEmployésEmployés RHRHVentesVentesUtilisateursinternes
PartenairesPartenairesEmployésmobiles
Employésmobiles
Utilisateurs externes
Page 5 © Evidian 2008
Le contexte de l’IAM…
Exigences techniquesVirtualisation du S.I.Extension de l'écosystèmeMobilité, accès à l'informationOuvertures de services de plus en plus nombreusesSpécialisation des applications pour chaque métier
Contraintes métiers et légalesTransparence financière et conformitéClarté du système informatique, au service du métierRéduction des coûts opérationnels
Page 6 © Evidian 2008
Par où commencer ?
Des processus d’habilitations existentLes administrateurs des ressources gèrent les droits d'accès existantsLes accès des utilisateurs finaux traduisent l’état réel des habilitations
Premières cibles pragmatiquesRéduction de la complexité : réduire le nombre d'éléments gérésTransparence et visibilité : pas de processus manuels ou non écritsContrôle des coûts : systématiser, mettre en commun
Page 7 © Evidian 2008
La première étape:L’automatisation des processus
Automatiser les processus : projets IAM simplesROI rapide, robustesse accrue
Résoudre les problèmes d'hétérogénéitéRendre l'organisation indépendante du S.I.Prendre en compte l’historique des politiques passées
Domaine IAM Type de projet IAM Objectifs business SponsorsGestion des identités
Provisionnement utilisateur,Synchronisation d'annuaires
Simplification informatique, flexibilité et réduction des coûts
DSI
Gestion des Accès
Single Sign-On (SSO),Authentification forte
Contrôle d'accès, flexibilité et réduction des coûts
Utilisateurs,RSSI
Page 8 © Evidian 2008
Projets de Gestion des Identités
Provisionnement Utilisateur Virtualiser les ressources informatiquesAméliorer l'efficacité de l'informatique en automatisant la gestion des comptes utilisateursGérer les utilisateurs sur la base de leur identité numérique ou profils informatiquesEmpêcher les erreurs manuelles
Synchronisation d'annuairesConstituer une source fiable à partir de sources autoritativesAutomatiser les modifications des identités numériques en cas d'arrivée, changement et départ des utilisateursAutomatiser l'assignation des profils aux utilisateurs
Page 9 © Evidian 2008
Projets de Gestion des Accès
Authentification forteRenforcer la sécurité d'accès au système informatiqueAuthentifier les identités numériques et non les comptes utilisateurs
Single Sign-On (SSO)Réduire les coûts de helpdesk liés à la gestion des mots de passeRenforcer la politique de sécurité des comptes utilisateursAuditer les accès au système d’information
Web Access Management/SSO MobileSécuriser les accès externes aux applications de l'entreprise
Page 10 © Evidian 2008
Bilan de la première étape
L'automatisation des processus régule l'accès des utilisateurs aux ressources informatiques
C'est un bon début mais de nombreuses limitations demeurentPéremption des processus à cause de l'évolution de l'entrepriseAutomatisation sur de multiples organisationsAttente des auditeurs métier: rôles fonctionnels et non profilsGestion de la politique de sécurité de bout en boutMultiplication des profils ou problèmes de granularité
PersonnePersonne IdentitéIdentité ProfilProfil Accès SIAccès SI
Page 11 © Evidian 2008
La deuxième étape:La Gestion des Rôles
Rendre les audits plus clairs en utilisant des concepts métierDéfinir les processus et les rôles au niveau métierIdentifier les risques métier grâce à la séparation des tâches
Faciliter les changements dans l'entrepriseAssigner des droits aux utilisateurs en fonction des rôles métierRépercuter les changements organisationnels ou fonctionnels
Domaine IAM Type de projet IAM Objectifs business SponsorsGestion des Rôles
Outil de définition de la politique de sécurité,Workflow d’approbation,Role mining/engineering
Conformité,flexibilité métier
RSSI,Management, Contrôles internes
Page 12 © Evidian 2008
Bilan de la deuxième étape
La gestion des rôles donne une vue métier des utilisateurs
Mais cet état théorique doit être rendu effectif sur le S.I.Contrôler l'utilisation réelle des comptes du S.I.Prendre en compte les droits existantsLes politiques ne doivent pas rester dans leur "tour d'ivoire"
PersonnePersonne Profil SIProfil SI Accès SIAccès SIRôleRôle
Page 13 © Evidian 2008
Rappel sur la conformité
Une politique de sécurité n'est pas qu'un gros classeur
Comme toute politique :1. Un ensemble de contrôles doit exister
Role management et workflow d'approbation2. Ces contrôles doivent être implémentés
Provisionnement et workflow d'exécution 3. Ces contrôles doivent être efficaces
Access management et reporting
Comment faire pour que tout ceci fonctionne simplement ?
Comment faire pour que tout ceci fonctionne simplement ?
Page 14 © Evidian 2008
Rappel sur la flexibilité
La flexibilité exige de pouvoir orchestrer rapidement les changements d'organisation !
Une décision métier peut avoir de nombreuses conséquencesChanger les rôles utilisateurs, introduisant de nouveaux acteursIntroduire ou réorienter les ressources informatiquesOptimiser les processus sur demandes opérationnelles
Comment orchestrer ces processus avec de nombreux utilisateurs ?
Comment orchestrer ces processus avec de nombreux utilisateurs ?
Page 15 © Evidian 2008
La troisième étapeDonner du sens au puzzle IAM
Défis de conception
Défis techniques
Défis humains
RôlesRôles
IdentitésIdentités
AccèsAccès
??
Mettre ensemble toutes les composantes de l'IAM n'est pas simple
Page 16 © Evidian 2008
La réconciliation globale pour résoudre le puzzle IAM
La réconciliation est un concept unificateur efficace
L'infrastructure IAM est gérable à taille humaineL'audit est facilité: chaque étape est documentéeA chaque domaine son spécialisteLes investissements existants sont conservés et plus efficaces
Chaque organisation définie par avance la portée de la réconciliation et l'impact sur ses
données
Chaque organisation définie par avance la portée de la réconciliation et l'impact sur ses
données
Page 17 © Evidian 2008
La réconciliation de l’infrastructure IAM
IdentitésIdentités
Synchronizationd’Identités
Gestion des Rôles
Audit etReporting
E-mails et Workflows
Standards(SPML)
Provisioning(Legacy)
Gestion desAccès
Page 18 © Evidian 2008
Exemple de déploiement classique de l’IAM
Les étapes classiques de l’IAMConstruire et maintenir une base centrale des utilisateursY intégrer une politique “Qui a le droit d’accéder à quoi”Mettre en place un workflow d’approbation pour les droits d’accèsMettre en place un “provisionnement” automatiqueSécuriser les accès
La difficulté principale: la prise en compte de l’existantIl existe déjà un SI complet et richeIl existe X versions de N processusL’historique des droits est archivé sur de multiples média. Il est à peu près impossible de déterminer qui a donné le droit à qui.Il existe de multiples règles pour la création des identifiants. Pour certaines applications, il est impossible de faire le lien entre un compte et ses utilisateurs.
Page 19 © Evidian 2008
Difficultés de déploiement de l’IAM
Scénario de mise en œuvreImplémentation des agents de provisionnement pour collecter automatiquement les comptes existants dans les applicationsAssignation des comptes aux utilisateursImplémentation des processus de workflow et définition des rôles
ConstatSeuls 30% des comptes peuvent être automatiquement affectés à un utilisateur Affecter un compte manuellement prend au moins 5 minutes
Soit près de 10 jours pour 1500 comptesComptes orphelins ou obsolètes difficiles à détecter
Approche longue et coûteuseLes outils de Role Mining/Role Engineering sont inefficaces sur ce sujet
Page 20 © Evidian 2008
Approche avec la réconciliation globale de l’IAM :Simplification de la prise en compte de l’existant
Exploitation des données de la Gestion des AccèsUtilisation du SSO d’entreprise ou d’un moteur d’auto-enregistrementLes identifiants sont automatiquement collectés lors de la connexion des utilisateurs à leurs applications
Les avantages principaux Moins de 1 jour de configuration par application Seuls les comptes effectivement utilisés sont réellement collectésLes irrégularités sont immédiatement détectées (comptes partagés, usurpés)La collecte assigne automatiquement les comptes aux utilisateursLe SSO est déployé ce qui fournit un avantage immédiat aux utilisateurs.Le SSO renforce la sécurité et réduit les coûts de support
Page 21 © Evidian 2008
La réconciliation des politiques existantes
Qui accède à quelle applicationet avec quel compte ?
Quels sont les droits de chaque compte
dans les applications ?
Qui accède à quelles applications avec quels comptes et quels droits ?
ConstruireConstruire
Page 22 © Evidian 2008
Approche avec la réconciliation globale de l’IAM:Contrôle de l’application des politiques
La Gestion des Identités et des Rôles ne définit qu’un état idéalSeuls les processus d’habilitations et de création des comptes sont sous contrôle complet de l’IAMLes mots de passe peuvent toujours êtres usurpésLes applications n’auditent que les comptes pas les utilisateurs
L’association de la Gestion des Accès contrôle l’application de la politique
Les mots de passe ne sont plus connus des utilisateursL’utilisateur des comptes peut être authentifié fortementL’audit de la Gestion des Accès fait le lien entre un compte et son utilisateur, y compris pour les comptes partagés ou déléguésLes politiques de gestion des mots de passe sont centralisées et appliquées
Page 23 © Evidian 2008
L’application des politiques d’accès
Accès aux applicationsavec les comptes autorisés.
Audit des accès.
Création des comptes avec les droits appropriés
Qui accède à quelles applications avec quels comptes et quels droits.
ContrôlerContrôlerle cycle de viele cycle de vie
de l'identitde l'identitéé
ContrôlerContrôlerl'accl'accèèss