Upload
pascal-flamand
View
322
Download
0
Embed Size (px)
DESCRIPTION
Citation preview
Introduc)on
Ludovic-Poitou,-Directeur-ForgeRock-FranceJuin-2012
1
ForgeRock
! Crée-en-Février-2010,-en-Norvège! Présente-en-France,-UK-et-USA! $7M,-en-premier-tour-d’inves)ssement! Maintenant-société-Américaine! Plus-de-100-clients-sous-contrat! 60+-employés-et-en-pleine-croissance! Un-état-d’esprit-Global:
! Des-employés-sur-tout-le-globe! Une-couverture-mondiale-avec-les-
partenaires
2
ForgeRock I3 Open Platform
3
Exis)ng-&-NewAuthen)ca)on
Systems
Exis)ng-&-New-Applica)ons
Exis)ng-&-NewUser-Directories
Coarse-&-FineEn)tlements
Authen)ca)on&
Authoriza)on
En)tlements-&-
Policy-managementCloud Federa)on
MonitoringIden)tyServices
SessionManagement
SingleSignWOn
CentralizedLogging
Secure-Token-Service
WebServices
High-availability-&
Maximal-scaling
GUI CLIJMX/SNMP
Audit-Log-&Debug-log
OpenAM : un aperçu des fonctions
4
OpenDJ : un aperçu des fonctions
Naming-ServicesExis)ng-&-New-Applica)ons
Ac)ve-Directory
Fine-Grain-Access -Control
Authen)ca)on&
Authoriza)onProfiles Cloud
Web-Services(DSMLv2)
MonitoringPassword-PolicyMul)WMaster-Replica)on LoggingSecurity
LDAPv3-Compliance
High-availability-&
Maximal-scaling
GUI CLIJMX/SNMP/LDAP
Audit-Log-&Debug-log
5
Local-resources Federated-resources Webservices
Provisioning
Lifecycle-Management-
Audit-&-Compliance Cloud Workflow
Discovery ApprovalsSynchroniza)on PoliciesPassword-
managementSelfWService
High-availability-&
Maximal-scaling
REST CLI
Audit-Log-&Debug-log
SelfWService-GUI Ac)vity-Designer-(eclipse-plugWin)
OpenIDM: Un aperçu des fonctions
6
(
Pascal FLAMAND
pflamand(at)janua.fr
Retour d'expérience « ForgeRock
I3 Open Identity Platform »
Gestion des identités et Open Source
En guise d'avant propos :
● La gestion des identités est un « métier » (au même titre que l'ERP par exemple).
● Les enjeux sont complexes et les difficultés multiformes (pas seulement techniques...).
● L'existant est très souvent propriétaire et obsolète mais il faut faire avec...(évolution vs révolution).
● Les intervenants doivent impérativement être des « seniors ».
État des lieux de l'offreDe nombreuses solutions :
-Annuaires : OpenLDAP, ApacheDS, RH DS, OpenDJ...-SSO/Fédération : OpenAM, CAS, OpenID, Oauth, Shibboleth....-Provisioning : LSC, LinID, OpenIA,...
Mais souvent :
hétérogènes et non inter-opérables, complexes à mettre en oeuvre, de qualité médiocre, mal documentées et mal supportées, peu industrialisées/industrialisables, peu robustes, de faible performance...
=> les sempiternels reproches faits au monde Open Source
La suite I3 : maturité des composants..●OpenDJ : produit mature, robuste, performant, industrialisation excellente, la « rolls » des annuaires open source (ou non...)...La possibilité de l'intégrer comme « boite noire » dans un produit...
●OpenAM : produit mature, robuste, performant, installeurs à peaufiner... OpenIG un peu jeune mais prometteur
●OpenIDM : produit jeune, conception moderne, workflows à compléter....
=> support éditeur de grande qualité, un plus évident pour remporter l'adhésion de nos clients grands comptes..
Quelques projets récents● Bank X : OpenAM, OpenDJ, OpenIG - 2,5 M users, architecture,
déploiement, audit de performance, assistance à la mise en production....
● Gouvernement : OpenAM, OpenDJ - consulting architecture, déploiement, développement (registration and management modules)
● Agence Gouvernementale : consulting, best practices d'implémentation, audit de performances
● Telecom : POC OpenAM pour provisionning de cartes SIM..
● Bank Y : OpenDJ – Formation et audit de performance
● Service : OpenAM – intégration, best pratices et formation des développeurs
● Éditeur de logiciel : OpenIG - POC
Projet Banque « X »● Migration de Sun Access Manager vers OpenAM. Plans
pour la fédération SAML et authentification OTP.
● Les utilisateurs sont les clients des banques régionales (plus de 20 unités)
● Réalisations (sur plus de 2 années à temps plein)
- Conception de l'architecture (système de gestion des accès, annuaires et approvisionnement)
- industrialisation
- déploiement et support
● La sécurité est primordiale : Plusieurs couches Hard & Soft
Projet Banque « X »
Gouvernement ● Plateforme de gestion des Accès pour les services en ligne
pour les citoyens (plus de 100 000 comptes)
● Module d'enregistrement développé spécifiquement pour les besoins du client :
- Auto enregistrement en 2 étapes avec confirmations
- Captcha audio et texte
- Annulation automatique en cas d'absence de confirmation
- Fourniture d'un Service Web pour les applications back-end
● H.A. : basculement de session, équilibrage de charge
Gouvernement
Gouvernement
Projets de Gestion des Identités : synthèse
● Les projets sont complexes, il faut arriver à faire travailler ensemble tous les « silos » étanches et concurrents d'une DSI...50 % du travail n'est pas technique mais relève du psychologue ou du casque bleu..
● Importance de l'existant (passif) souvent propriétaire mais immuable – il faut aux intervenants une grande « culture générale » informatique, un « vécu » important....
● Le « réseau » est une plaie, pas un projet ou nous n'ayons rencontré des problèmes liés.... très souvent, un « silo » à part (et mal maîtrisé) dans les DSI
=>Très souvent, un projet de gestion des identités met le doigt là où « ça fait mal » et met en avant les dysfonctionnements majeurs des organisations, les trous de sécurité, etc...
• Société de consulting et de services en logiciels libres (SS2L), éditeur fondée en 2004 à Sophia Antipolis
• Consulting, implémentations et déploiement de solutions de gestion d'identités (provisioning, workflows, synchronisation, SPML v2, audit et conformité), de contrôle d'accès et gestion des droits (SSO, CDSSO, eSSO, fédération, authentification forte, PKI, délégation d'administration).
• Expertise en annuaires LDAP (OpenLDAP, Sun DSEE, OpenDJ, Red Hat directory server) et besoins connexes comme la gestion de contenu ou les interfaces d'accès aux annuaires.
• Etudes d'opportunités et accompagnement à la migration Open Source, déploiement de solutions d'infrastructures.
• Editeur des logiciels LDAPTools, Jaguards, EZslony et CmakeBuilder.
Qui sommes nous ?