Microsoft Identity
Management Strategy
Fabrizio Grossi
Agenda




L’origine delle specie
Soluzioni Microsoft per Intranet
ADAM (Active Directory Application
Mode)
MIIS (Microsoft Identity Integration
Server)
Origini dell’identità digitale…
All’inizio…
Utente finale
Protocollo con
embedded security
Motore di AuthN (o N)
Motore di AuthZ o Z
AuthN AuthZ
App logic
Z
Identity store
Policy di AuthZ
Account Utente
PC-Based Computing
N
Z
PC
Z
N Z
App
N
Z
N
Z
N
Z
Z
Z
File & print
servers
Z
N
Z
N
Z
Email
CRM
LOB
Z
Z
Z
Monolithic LOB
app servers
N
Z
HR
Z
Compare il concetto di NOS
Directory
N
N Z
App
Z
Z
N
Z
Z
N
Z
Z
N
Z
N
Z
N
Z
Email
CRM
LOB
Z
Z
Z
N
Z
HR
NOS directory: logon
centralizzato per i desktop,
file, print.
Z
Assessment

ID e passwords multiple per gli utenti




Dati utente univoci in data store multipli



Difficili da ricordare
Policy di password/lockout inconsistenti
Carica di lavoro Helpdesk (password reset)
Gestiti manualmente
I dati diventano inconsistenti tra gli store e
nel tempo
Identity management è faticoso e costoso
Active Directory Vision

Combinare NOS e Enterprise directory
Dati Utente via LDAP, Single sign on via Kerberos
 Amministrazione dei computer Windows tramite Policy
Singola fonte e singola rappresentazione dei dati utente e delle
policy di Autorizzazione





One stop provisioning, Single point of management
Single sign on
Protocolli Standard, Schema comune
Active Directory
Email
Z
CRM
LOB
HR
L’Enterprise Directory oggi



AD supporta Windows sign-on, amministrazione basata su
policy, Exchange 2000
Le directory LDAP sono implementate ma poco riutilizzate
 No single sign on
Il Provisioning è ad-hoc
 “dump and import” manuale
N Z
App
Z
N
Z
Z
N
Z
N
Z
Z
Z
LOB1
N Z
LOB2
N Z
Z
Z
Z
LDAP
LDAP
Email CRM
Z
N
Active Directory
DUMP
LDAP
HR
N
Z
Z
Database
Come siamo arrivati qui?

Fattori tecnici




Fattori inerenti a Active Directory




Manca un protocollo standard di autenticazione
Applicazioni LDAP non sono facilmente riutilizzabili
Restrizioni sui dati nelle Directory centralizzate
 Dimensioni, Volatilità (Repliche)
Non semplice da installare e sperimentare
Incertezza: era la versione 1.0
Paura di applicazioni malfunzionanti che impattano
sui DC
Fattori Politici


Resistenza dell’IT a modificare lo schema enterprise
Proprietari dell’Applicazioni abituati al “full control”
Strategia e Soluzioni
Microsoft per l’Identity
Management
Framework





AutheN
AuthZ
Auditing
Dati di Identità Digitale
Gestione del Ciclo di vita dell’Identità &
provisioning
IT Goals per l’Authentication
Aumentare la sicurezza – Diminuire i costi

Minimizzare il # di sistemi di authN





Diminuire gli account da disabilitare
Diminuire le policy di pwd/lockout da gestire
Diminuire password da ricordare
Diminuire le chiamate all’helpdesk
Sign-on sulle workstation


Presentare password clear text a meno
sistemi possibile
Fornire SSO agli utenti
AuthN
Applicazioni Infrastructure-aware
1.
Workstation sign-on
N
Web app
2.
Accesso a un’Appl
infrastructure-aware.
Non è richiesto signon addizionale
Infrastructure
Directory (AD)
AuthN
Requisiti per le Appl infrastructure-aware

App supporta il sign-on utente

Non richiede Windows client o server

Client & server usano un “trusted third-party”
AuthN protocol supportato dall’Infrastructure
authentication system


Posso scegliere la piattaforma di sviluppo


Kerberos, SSL
.NET, Java/J2EE
Active Directory come infrastructure
directory


Sistema di AuthN primario
Punto di Pubblicazione per dati di identità
digitali globalmente rilevanti
Perchè usare Active Directory
come Infrastructure Directory?





Scala fino a migliaia (3-5000) di locazioni
remote attraverso link WAN lenti
Protocolli di AuthN Standard: Kerberos,
SSL
Credenziali Multiple : passwords,
smartcard, tool biometrici
Federation tra business units utilizzando
il Forest Trust
E’ in grado di amministrare i computer
tramite Policy
AutZ & Auditing
Web app
Infrastructure
Directory (AD)
1.
Authorization
Manager Z
2.
Raccolta
degli
Audit via
MACS
Audit collection (MACS)
App fa una AuthZ
role-based tramite
Authorization
Manager
AuthZ

Authorization Manager



Gestisce ruoli, non le ACL degli oggetti
Semplifica reporting & auditing
Gruppi basati su query LDAP: gestiscono
meglio le dinamiche di business



Gli utenti non devono essere specificatamente
definiti a livello dell’Applicazione
Gli utenti non devono essere aggiunti ai gruppi di
AD
API fornita con Windows Server 2003
Data Store dell’Identità Digitale
Infrastructure & Applications directories
Web app
Application
Directory
(ADAM)
2.
App ritrova le
info dall’
application
Infrastructure
directory
Directory (AD)
1.
Metadirectory
(MIIS)
MIIS popola e
gestisce gli utenti
dell’application
directory
Dati dell’Identità Digitale

Separa i dati in dati globali e dati specifici
dell’applicazione



Dati globali: schema piccolo, gestito centralmente e
condiviso da più applicazioni
Dati specifici dell’applicazione: schema specifico per
ogni applicazione
I dati specifici dell’Appl sono immagazzinati in
una directory specifica: ADAM



Evita colli di bottiglia sullo schema dell’enterprise
directory
Il proprietario dell’App ha piena disponibilità della
directory
Riduce i problemi delle applicazioni che danneggiano
l’infrastruttura
AD/AM
Infrastructure Active Directory
Active Directory Application Mode
LSASS
DSAMAIN
LDAP MAPI REPL
KDC
Lanman
SAM
DSA
LDAP
REPL
DSA
dipendenze
DNS



FRS
Modello di programmazione e tool di amministrazione,
virtualmente identici all’infrastructure Active Directory
Competenze facilmente trasferibili
Download da http://www.microsoft.com/downloads
Identity Integration
Web app
1.
Application
Directory
(ADAM)
Infrastructure
Directory (AD)
3rd party
LDAP
MIIS rileva un
cambiamento in HR
LOB4
3rd party
LDAP
LOB5
2.
Metadirectory+
provisioning
(MIIS)
HR
MIIS allinea i sistemi connessi
basandosi su regole
LOB1 LOB2 LOB3
Gestione delle Password
4.
1.
Pwd mgmt
L’utente si autentica
sull’ applicazione
L’utente cambia la
password
utilizzando la web
appl per la gestione rd
3 party
delle password
LDAP
Infrastructure
3. LE PasswordDirectory (AD)
vengono
Applicationmodificate
based sign-on
2.
Metadirectory+
provisioning
(MIIS)
LOB4
LOB5
L’Appl di Pwd mgmt
trova gli account
corrispondenti in MIIS
ADAM
Demo MIIS
Digital Identity Aggregation
Globally published
schema
Forest 1
Web app
L’Appl ha
una vista
univoca
dell’identità
digitale
degli utenti

Forest 2
MIIS
ADAM
Applicationspecific schema
Forest 3
L’aggregazione dei dati dll’identità digitale
semplifica lo sviluppo delle applicazioni

Lo sviluppatore non si preoccupa della gestione dei
dati e della complessità dell’infrastructure directory
LDAP Bind Redirect
3.
L’utente si
valida
sull’Appl
1.
ADAM sostituisce le
directory di terze parti
3rd party
LDAP
Infrastructure
Directory (AD)
LOB4
ADAM
3rd
party
LDAP
LOB5
2.
MIIS mappa gli utenti ADAM su
utenti dell’infrastructure directory
4.
Metadirectory+
provisioning
(MIIS)
ADAM ridireziona
il bind LDAP
verso
l’infrastructure
directory
Lifecycle Management

Automatismi con Identity Integration
Server

Raggruppo identità da multiple stores per
creare una vista singola e consistente


Provisioning/de-provisioning basato su regole



Forza la convergenza a valori autoritativi
Automatizza i processi
Coming soon – integrazione con BizTalk per
workflow complessi
Gestione dei gruppi


Gruppi basati su regole con utenti provenienti da
identity store multipli
Utilizzabili sia come distribution list che come
security groups
Lifecycle Management

Risparmio dei costi



Riduzione delle perdite di produttività dovute
e attesa dell’account per i nuovi impiegati
Riduce il numero di persone e il tempo di
gestione
Migliora la sicurezza

Revoca immediata dell’accesso quando
cambia lo stato dell’utente


Disabilita account
Rimozione dai rule-based group se cambia il ruolo
aziendale
© 2003 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Scarica

Infrastructure Directory