> Mobilité > Gérer vos identités en interne et sur le Cloud avec FIM 2010

Gérer vos identités en interne et sur le Cloud avec FIM 2010

Mobilité - Par Frédéric Esnouf - Publié le 24 janvier 2012
email

Quel que soit le système d’information, la brique incontournable de ce système est sa capacité à gérer l’identité (en fait les identités) des utilisateurs.

Cette identité permet non seulement de donner accès (authentification), mais également déléguer des droits (permissions) au sein des applications.

Ce dossier est issu de notre publication IT Pro Magazine (02/11). Pour consulter les schémas et illustrations associés, rendez-vous dans le club abonnés.

Dans un scénario idéal, le SI interne aurait un « annuaire » centralisé capable de fournir tous ces services, et ce pour toutes les applications. Chez Microsoft cet annuaire serait l’Active Directory (ainsi que des services annexes comme ADFS, ADLDS), mais la réalité est tout autre : les entreprises ont de nombreux « annuaires » internes (certains système, d’autres dédiés aux applications), et il est donc nécessaire de gérer de nombreuses « identités » pour même utilisateur physique. Par exemple, un compte dans AD, une identité dans le système de VOIP, un compte sur le système financier, etc… Ceci est encore plus vrai aujourd’hui avec les systèmes mise sur « le cloud » et en particulier quand ce SI est accédé par des partenaires, voir même clients finaux.

Si l’on regarde cette problématique sous l’angle d’un collaborateur, de nombreuses évènements viennent modifier cette identité tout au long de sa « vie » dans l’entreprise: l’arrivée de celui-ci (donc la création d’une identité dans de multiples annuaires internes), son ajout à des groupes, à des listes de distribution.. Mais également en raison de changement de rôles dans l’entreprise, la création de nouvelles identités dans de nouveaux annuaires, de nouvelles permissions…Que de modifications !

Dans un scénario idéal, l’entreprise se dote d’un système qui va orchestrer tout ceci (c’est à dire automatiser le tout à travers des règles de gestion). Mais dans les faits, un faible pourcentage d’entreprises ont mis en place ce type de solution, je veux parler d’une solution de « gestion d’identité » comme le propose Forefront Identity Manager.

Dans la réalité (malheureusement), ces processus sont souvent gérés manuellement par chacun des responsables d’annuaire système, sur la base d’emails et d’appels téléphoniques… ce qui entraîne beaucoup d’erreurs, une lenteur de traitement, et surtout un « coût » humain important.

Pourquoi être certifié MCSE (AD ou Exchange) et devoir consacrer une partie de son activité d’expert à créer ou modifier des utilisateurs, des groupes, des listes de distribution ?

Forefront Identity Manager (FIM) est la solution de Gestion des identités de Microsoft, et je vous propose à travers cet article de vous présenter rapidement comment FIM résoudre cette problématique. Pour simplifier la présentation, nous allons nous focaliser sur les tâches liées gestion de l’Active Directory et d’Exchange.

Bienvenue dans l’entreprise

Très souvent, tout commence par la création du collaborateur dans le système de Ressource Humaines. Celui-ci est créé dans une base avec des éléments simples comme nom/prénom/poste/numéro d’employé/centre de coût… etc.

Forefront Identity Manager (FIM) va alors détecter l’arrivée d’une nouvelle entrée (un objet, notre utilisateur) dans ce système sur lequel il est connecté.

Au préalable, un certain nombre de règles auront été positionné dans FIM afin d’automatiser la création des identités de l’utilisateur. Je veux parler – pour cet article – de son compte AD, de sa boite aux lettres Exchange,.. et au-delà de cet article, de son téléphone de VOIP, et de l’accès à tous ses systèmes métier… etc. Vous pouvez voir ici la console FIM de l’environnement de démonstration dit « Adatum . Cet environnement nous permet de démontrer ce scénario aux clients, et comme vous pouvez le constater, nous avons différents « annuaires », dont un système RH, un AD, une base LDAP et un système de téléphonie.

Sans FIM, l’administrateur AD va recevoir une demande des RH par email lui demandant de créer le compte de ce nouvel utilisateur. Il utilisera pour cela la console de management (MMC) « utilisateurs et ordinateurs ». Puis il demandera à l’administrateur Exchange de créer sa boite aux lettres. Ensuite, comme cet utilisateur est par exemple membre du service informatique, cet administrateur AD « sait » (car il l’a noté sur un papier) qu’il doit être membre de plusieurs groupes de sécurité lui donnant accès à des données. L’administrateur Exchange doit faire de même avec les listes de distribution. Que de tâches , de lenteurs administratives et d’opportunités de faire des erreurs !

Avec FIM, tout ceci est terminé. Lorsque l’identité de notre utilisateur (Jean Durand) arrive dans le système RH, notre moteur de synchronisation FIM va automatiquement créer une identité pour lui dans la base interne de FIM, « cœur » du système d’identités. Cette création va déclencher un certain nombre de processus modélisés via des règles de gestion (appelées MPR, pour Management Policy Rules) qui vont automatiser (les workflows) la vie de ce nouveau collaborateurs, sur la base de règles multicritères .

Vous voyez un exemple ci-dessous. L’importation de l’utilisateur de la base RH dans FIM (sa base interne, appelée le Metaverse) va réveiller nos règles de gestion. En effet cette opération de synchronisation a généré une requête (Request) de création (Create) d’un objet « Person » pour JDurand. Une fois cette création terminée, le système FIM a détecté automatiquement que les propriétés de notre nouvel utilisateur (sur la base de critères) devaient réveiller une règle appelée «… Selected Users get an AD user account… ». Dans les faits, cette règle va créer le compte de l’utilisateur dans l’AD, mais également sa BAL exchange.
 

Téléchargez gratuitement cette ressource

Comment contrer les menaces sophistiquées ?

Comment contrer les menaces sophistiquées ?

Votre réseau d'entreprise fait face à de profondes mutations en matière IT, à des comportements utilisateur à risque et à des menaces toujours plus sophistiquées (ransomware, vulnérabilités zero-day, attaques ciblées). Protéger votre réseau devient ainsi plus complexe. Pour faire simple, nous avons segmenté l'univers des menaces en trois profils : les menaces connues, celles qui sont inconnues et celles connues mais non divulguées...

Mobilité - Par Frédéric Esnouf - Publié le 24 janvier 2012