Microsoft Identity Management Strategy Fabrizio Grossi Agenda L’origine delle specie Soluzioni Microsoft per Intranet ADAM (Active Directory Application Mode) MIIS (Microsoft Identity Integration Server) Origini dell’identità digitale… All’inizio… Utente finale Protocollo con embedded security Motore di AuthN (o N) Motore di AuthZ o Z AuthN AuthZ App logic Z Identity store Policy di AuthZ Account Utente PC-Based Computing N Z PC Z N Z App N Z N Z N Z Z Z File & print servers Z N Z N Z Email CRM LOB Z Z Z Monolithic LOB app servers N Z HR Z Compare il concetto di NOS Directory N N Z App Z Z N Z Z N Z Z N Z N Z N Z Email CRM LOB Z Z Z N Z HR NOS directory: logon centralizzato per i desktop, file, print. Z Assessment ID e passwords multiple per gli utenti Dati utente univoci in data store multipli Difficili da ricordare Policy di password/lockout inconsistenti Carica di lavoro Helpdesk (password reset) Gestiti manualmente I dati diventano inconsistenti tra gli store e nel tempo Identity management è faticoso e costoso Active Directory Vision Combinare NOS e Enterprise directory Dati Utente via LDAP, Single sign on via Kerberos Amministrazione dei computer Windows tramite Policy Singola fonte e singola rappresentazione dei dati utente e delle policy di Autorizzazione One stop provisioning, Single point of management Single sign on Protocolli Standard, Schema comune Active Directory Email Z CRM LOB HR L’Enterprise Directory oggi AD supporta Windows sign-on, amministrazione basata su policy, Exchange 2000 Le directory LDAP sono implementate ma poco riutilizzate No single sign on Il Provisioning è ad-hoc “dump and import” manuale N Z App Z N Z Z N Z N Z Z Z LOB1 N Z LOB2 N Z Z Z Z LDAP LDAP Email CRM Z N Active Directory DUMP LDAP HR N Z Z Database Come siamo arrivati qui? Fattori tecnici Fattori inerenti a Active Directory Manca un protocollo standard di autenticazione Applicazioni LDAP non sono facilmente riutilizzabili Restrizioni sui dati nelle Directory centralizzate Dimensioni, Volatilità (Repliche) Non semplice da installare e sperimentare Incertezza: era la versione 1.0 Paura di applicazioni malfunzionanti che impattano sui DC Fattori Politici Resistenza dell’IT a modificare lo schema enterprise Proprietari dell’Applicazioni abituati al “full control” Strategia e Soluzioni Microsoft per l’Identity Management Framework AutheN AuthZ Auditing Dati di Identità Digitale Gestione del Ciclo di vita dell’Identità & provisioning IT Goals per l’Authentication Aumentare la sicurezza – Diminuire i costi Minimizzare il # di sistemi di authN Diminuire gli account da disabilitare Diminuire le policy di pwd/lockout da gestire Diminuire password da ricordare Diminuire le chiamate all’helpdesk Sign-on sulle workstation Presentare password clear text a meno sistemi possibile Fornire SSO agli utenti AuthN Applicazioni Infrastructure-aware 1. Workstation sign-on N Web app 2. Accesso a un’Appl infrastructure-aware. Non è richiesto signon addizionale Infrastructure Directory (AD) AuthN Requisiti per le Appl infrastructure-aware App supporta il sign-on utente Non richiede Windows client o server Client & server usano un “trusted third-party” AuthN protocol supportato dall’Infrastructure authentication system Posso scegliere la piattaforma di sviluppo Kerberos, SSL .NET, Java/J2EE Active Directory come infrastructure directory Sistema di AuthN primario Punto di Pubblicazione per dati di identità digitali globalmente rilevanti Perchè usare Active Directory come Infrastructure Directory? Scala fino a migliaia (3-5000) di locazioni remote attraverso link WAN lenti Protocolli di AuthN Standard: Kerberos, SSL Credenziali Multiple : passwords, smartcard, tool biometrici Federation tra business units utilizzando il Forest Trust E’ in grado di amministrare i computer tramite Policy AutZ & Auditing Web app Infrastructure Directory (AD) 1. Authorization Manager Z 2. Raccolta degli Audit via MACS Audit collection (MACS) App fa una AuthZ role-based tramite Authorization Manager AuthZ Authorization Manager Gestisce ruoli, non le ACL degli oggetti Semplifica reporting & auditing Gruppi basati su query LDAP: gestiscono meglio le dinamiche di business Gli utenti non devono essere specificatamente definiti a livello dell’Applicazione Gli utenti non devono essere aggiunti ai gruppi di AD API fornita con Windows Server 2003 Data Store dell’Identità Digitale Infrastructure & Applications directories Web app Application Directory (ADAM) 2. App ritrova le info dall’ application Infrastructure directory Directory (AD) 1. Metadirectory (MIIS) MIIS popola e gestisce gli utenti dell’application directory Dati dell’Identità Digitale Separa i dati in dati globali e dati specifici dell’applicazione Dati globali: schema piccolo, gestito centralmente e condiviso da più applicazioni Dati specifici dell’applicazione: schema specifico per ogni applicazione I dati specifici dell’Appl sono immagazzinati in una directory specifica: ADAM Evita colli di bottiglia sullo schema dell’enterprise directory Il proprietario dell’App ha piena disponibilità della directory Riduce i problemi delle applicazioni che danneggiano l’infrastruttura AD/AM Infrastructure Active Directory Active Directory Application Mode LSASS DSAMAIN LDAP MAPI REPL KDC Lanman SAM DSA LDAP REPL DSA dipendenze DNS FRS Modello di programmazione e tool di amministrazione, virtualmente identici all’infrastructure Active Directory Competenze facilmente trasferibili Download da http://www.microsoft.com/downloads Identity Integration Web app 1. Application Directory (ADAM) Infrastructure Directory (AD) 3rd party LDAP MIIS rileva un cambiamento in HR LOB4 3rd party LDAP LOB5 2. Metadirectory+ provisioning (MIIS) HR MIIS allinea i sistemi connessi basandosi su regole LOB1 LOB2 LOB3 Gestione delle Password 4. 1. Pwd mgmt L’utente si autentica sull’ applicazione L’utente cambia la password utilizzando la web appl per la gestione rd 3 party delle password LDAP Infrastructure 3. LE PasswordDirectory (AD) vengono Applicationmodificate based sign-on 2. Metadirectory+ provisioning (MIIS) LOB4 LOB5 L’Appl di Pwd mgmt trova gli account corrispondenti in MIIS ADAM Demo MIIS Digital Identity Aggregation Globally published schema Forest 1 Web app L’Appl ha una vista univoca dell’identità digitale degli utenti Forest 2 MIIS ADAM Applicationspecific schema Forest 3 L’aggregazione dei dati dll’identità digitale semplifica lo sviluppo delle applicazioni Lo sviluppatore non si preoccupa della gestione dei dati e della complessità dell’infrastructure directory LDAP Bind Redirect 3. L’utente si valida sull’Appl 1. ADAM sostituisce le directory di terze parti 3rd party LDAP Infrastructure Directory (AD) LOB4 ADAM 3rd party LDAP LOB5 2. MIIS mappa gli utenti ADAM su utenti dell’infrastructure directory 4. Metadirectory+ provisioning (MIIS) ADAM ridireziona il bind LDAP verso l’infrastructure directory Lifecycle Management Automatismi con Identity Integration Server Raggruppo identità da multiple stores per creare una vista singola e consistente Provisioning/de-provisioning basato su regole Forza la convergenza a valori autoritativi Automatizza i processi Coming soon – integrazione con BizTalk per workflow complessi Gestione dei gruppi Gruppi basati su regole con utenti provenienti da identity store multipli Utilizzabili sia come distribution list che come security groups Lifecycle Management Risparmio dei costi Riduzione delle perdite di produttività dovute e attesa dell’account per i nuovi impiegati Riduce il numero di persone e il tempo di gestione Migliora la sicurezza Revoca immediata dell’accesso quando cambia lo stato dell’utente Disabilita account Rimozione dai rule-based group se cambia il ruolo aziendale © 2003 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.