Microsoft Identity Management Strategy Fabrizio Grossi
Agenda Lorigine delle specie Lorigine delle specie Soluzioni Microsoft per Intranet Soluzioni Microsoft per Intranet ADAM (Active Directory Application Mode) ADAM (Active Directory Application Mode) MIIS (Microsoft Identity Integration Server) MIIS (Microsoft Identity Integration Server)
Origini dellidentità digitale…
Allinizio… Utente finale Account Utente AuthN AuthZ Protocollo con embedded security App logic Motore di AuthN (o N) Motore di AuthZ o Z Z Policy di AuthZ Identity store
PC-Based Computing N Z File & print servers Monolithic LOB app servers PC App CRM LOBHR Z N ZZ N Z N Z N Z N Z N Z Z Z ZZ Z NZ Z
Compare il concetto di NOS Directory N Z Z CRM LOBHR Z N Z N Z N N N Z App Z N ZZ N Z Z Z ZZ Z NOS directory: logon centralizzato per i desktop, file, print.
Assessment ID e passwords multiple per gli utenti ID e passwords multiple per gli utenti Difficili da ricordare Difficili da ricordare Policy di password/lockout inconsistenti Policy di password/lockout inconsistenti Carica di lavoro Helpdesk (password reset) Carica di lavoro Helpdesk (password reset) Dati utente univoci in data store multipli Dati utente univoci in data store multipli Gestiti manualmente Gestiti manualmente I dati diventano inconsistenti tra gli store e nel tempo I dati diventano inconsistenti tra gli store e nel tempo Identity management è faticoso e costoso Identity management è faticoso e costoso
Active Directory Vision Active Directory Combinare NOS e Enterprise directory Combinare NOS e Enterprise directory Dati Utente via LDAP, Single sign on via Kerberos Dati Utente via LDAP, Single sign on via Kerberos Amministrazione dei computer Windows tramite Policy Amministrazione dei computer Windows tramite Policy Singola fonte e singola rappresentazione dei dati utente e delle policy di Autorizzazione Singola fonte e singola rappresentazione dei dati utente e delle policy di Autorizzazione One stop provisioning, Single point of management One stop provisioning, Single point of management Single sign on Single sign on Protocolli Standard, Schema comune Protocolli Standard, Schema comune CRM LOBHR Z
Active Directory LEnterprise Directory oggi AD supporta Windows sign-on, amministrazione basata su policy, Exchange 2000 AD supporta Windows sign-on, amministrazione basata su policy, Exchange 2000 Le directory LDAP sono implementate ma poco riutilizzate Le directory LDAP sono implementate ma poco riutilizzate No single sign on No single sign on Il Provisioning è ad-hoc Il Provisioning è ad-hoc dump and import manuale dump and import manuale Database DUMPDUMP CRM LOB1 HR Z N Z LDAP N Z Z LDAP N Z N ZZ N Z Z Z Z N Z N Z App Z LOB2 Z LDAP N Z
Come siamo arrivati qui? Fattori tecnici Fattori tecnici Manca un protocollo standard di autenticazione Manca un protocollo standard di autenticazione Applicazioni LDAP non sono facilmente riutilizzabili Applicazioni LDAP non sono facilmente riutilizzabili Restrizioni sui dati nelle Directory centralizzate Restrizioni sui dati nelle Directory centralizzate Dimensioni, Volatilità (Repliche) Dimensioni, Volatilità (Repliche) Fattori inerenti a Active Directory Fattori inerenti a Active Directory Non semplice da installare e sperimentare Non semplice da installare e sperimentare Incertezza: era la versione 1.0 Incertezza: era la versione 1.0 Paura di applicazioni malfunzionanti che impattano sui DC Paura di applicazioni malfunzionanti che impattano sui DC Fattori Politici Fattori Politici Resistenza dellIT a modificare lo schema enterprise Resistenza dellIT a modificare lo schema enterprise Proprietari dellApplicazioni abituati al full control Proprietari dellApplicazioni abituati al full control
Strategia e Soluzioni Microsoft per lIdentity Management
Framework AutheN AutheN AuthZ AuthZ Auditing Auditing Dati di Identità Digitale Dati di Identità Digitale Gestione del Ciclo di vita dellIdentità & provisioning Gestione del Ciclo di vita dellIdentità & provisioning
IT Goals per lAuthentication Aumentare la sicurezza – Diminuire i costi Minimizzare il # di sistemi di authN Minimizzare il # di sistemi di authN Diminuire gli account da disabilitare Diminuire gli account da disabilitare Diminuire le policy di pwd/lockout da gestire Diminuire le policy di pwd/lockout da gestire Diminuire password da ricordare Diminuire password da ricordare Diminuire le chiamate allhelpdesk Diminuire le chiamate allhelpdesk Sign-on sulle workstation Sign-on sulle workstation Presentare password clear text a meno sistemi possibile Presentare password clear text a meno sistemi possibile Fornire SSO agli utenti Fornire SSO agli utenti
Web app Infrastructure Directory (AD) N 1.Workstation sign-on 2.Accesso a unAppl infrastructure-aware. Non è richiesto sign- on addizionale AuthN Applicazioni Infrastructure-aware
AuthN Requisiti per le Appl infrastructure-aware App supporta il sign-on utente App supporta il sign-on utente Non richiede Windows client o server Non richiede Windows client o server Client & server usano un trusted third-party AuthN protocol supportato dallInfrastructure authentication system Client & server usano un trusted third-party AuthN protocol supportato dallInfrastructure authentication system Kerberos, SSL Kerberos, SSL Posso scegliere la piattaforma di sviluppo Posso scegliere la piattaforma di sviluppo.NET, Java/J2EE.NET, Java/J2EE Active Directory come infrastructure directory Active Directory come infrastructure directory Sistema di AuthN primario Sistema di AuthN primario Punto di Pubblicazione per dati di identità digitali globalmente rilevanti Punto di Pubblicazione per dati di identità digitali globalmente rilevanti
Perchè usare Active Directory come Infrastructure Directory? Scala fino a migliaia (3-5000) di locazioni remote attraverso link WAN lenti Scala fino a migliaia (3-5000) di locazioni remote attraverso link WAN lenti Protocolli di AuthN Standard: Kerberos, SSL Protocolli di AuthN Standard: Kerberos, SSL Credenziali Multiple : passwords, smartcard, tool biometrici Credenziali Multiple : passwords, smartcard, tool biometrici Federation tra business units utilizzando il Forest Trust Federation tra business units utilizzando il Forest Trust E in grado di amministrare i computer tramite Policy E in grado di amministrare i computer tramite Policy
AutZ & Auditing Web app Infrastructure Directory (AD) Audit collection (MACS) 1.App fa una AuthZ role-based tramite Authorization Manager 2.Raccolta degli Audit via MACS AuthorizationManager Z
AuthZ Authorization Manager Authorization Manager Gestisce ruoli, non le ACL degli oggetti Gestisce ruoli, non le ACL degli oggetti Semplifica reporting & auditing Semplifica reporting & auditing Gruppi basati su query LDAP: gestiscono meglio le dinamiche di business Gruppi basati su query LDAP: gestiscono meglio le dinamiche di business Gli utenti non devono essere specificatamente definiti a livello dellApplicazione Gli utenti non devono essere specificatamente definiti a livello dellApplicazione Gli utenti non devono essere aggiunti ai gruppi di AD Gli utenti non devono essere aggiunti ai gruppi di AD API fornita con Windows Server 2003 API fornita con Windows Server 2003
Data Store dellIdentità Digitale Infrastructure & Applications directories Web app Infrastructure Directory (AD) 2.App ritrova le info dall application directory Metadirectory(MIIS) 1.MIIS popola e gestisce gli utenti dellapplication directory Application Directory (ADAM)
Dati dellIdentità Digitale Separa i dati in dati globali e dati specifici dellapplicazione Separa i dati in dati globali e dati specifici dellapplicazione Dati globali: schema piccolo, gestito centralmente e condiviso da più applicazioni Dati globali: schema piccolo, gestito centralmente e condiviso da più applicazioni Dati specifici dellapplicazione: schema specifico per ogni applicazione Dati specifici dellapplicazione: schema specifico per ogni applicazione I dati specifici dellAppl sono immagazzinati in una directory specifica: ADAM I dati specifici dellAppl sono immagazzinati in una directory specifica: ADAM Evita colli di bottiglia sullo schema dellenterprise directory Evita colli di bottiglia sullo schema dellenterprise directory Il proprietario dellApp ha piena disponibilità della directory Il proprietario dellApp ha piena disponibilità della directory Riduce i problemi delle applicazioni che danneggiano linfrastruttura Riduce i problemi delle applicazioni che danneggiano linfrastruttura
AD/AM Modello di programmazione e tool di amministrazione, virtualmente identici allinfrastructure Active Directory Modello di programmazione e tool di amministrazione, virtualmente identici allinfrastructure Active Directory Competenze facilmente trasferibili Competenze facilmente trasferibili Download da Download da Infrastructure Active Directory LSASS DSA LDAP SAM MAPIREPL KDC Lanman DNS FRS dipendenze Active Directory Application ModeDSAMAIN DSA LDAP REPL
Identity Integration LOB2 LOB3 HR LOB1 Web app Infrastructure Directory (AD) LOB4 LOB5 3 rd party LDAP LDAP Metadirectory+ provisioning (MIIS) 1.MIIS rileva un cambiamento in HR Application Directory (ADAM) 2.MIIS allinea i sistemi connessi basandosi su regole
Application- based sign-on Gestione delle Password Metadirectory+provisioning(MIIS) Infrastructure Directory (AD) LOB5 3 rd party LDAP LOB4 1.Lutente cambia la password utilizzando la web appl per la gestione delle password Pwd mgmt 2.LAppl di Pwd mgmt trova gli account corrispondenti in MIIS 3.LE Password vengono modificate 4.Lutente si autentica sull applicazione ADAM
Demo MIIS
Digital Identity Aggregation Laggregazione dei dati dllidentità digitale semplifica lo sviluppo delle applicazioni Laggregazione dei dati dllidentità digitale semplifica lo sviluppo delle applicazioni Lo sviluppatore non si preoccupa della gestione dei dati e della complessità dellinfrastructure directory Lo sviluppatore non si preoccupa della gestione dei dati e della complessità dellinfrastructure directory Forest 3 MIIS ADAM Forest 1 Forest 2 Web app LAppl ha una vista univoca dellidentità digitale degli utenti Application- specific schema Globally published schema
LDAP Bind Redirect Metadirectory+ provisioning (MIIS) Infrastructure Directory (AD) LOB5 3 rd party LDAP LOB4 LDAP 1.ADAM sostituisce le directory di terze parti 2.MIIS mappa gli utenti ADAM su utenti dellinfrastructure directory ADAM 3.Lutente si valida sullAppl 4.ADAM ridireziona il bind LDAP verso linfrastructure directory
Lifecycle Management Automatismi con Identity Integration Server Automatismi con Identity Integration Server Raggruppo identità da multiple stores per creare una vista singola e consistente Raggruppo identità da multiple stores per creare una vista singola e consistente Forza la convergenza a valori autoritativi Forza la convergenza a valori autoritativi Provisioning/de-provisioning basato su regole Provisioning/de-provisioning basato su regole Automatizza i processi Automatizza i processi Coming soon – integrazione con BizTalk per workflow complessi Coming soon – integrazione con BizTalk per workflow complessi Gestione dei gruppi Gestione dei gruppi Gruppi basati su regole con utenti provenienti da identity store multipli Gruppi basati su regole con utenti provenienti da identity store multipli Utilizzabili sia come distribution list che come security groups Utilizzabili sia come distribution list che come security groups
Lifecycle Management Risparmio dei costi Risparmio dei costi Riduzione delle perdite di produttività dovute e attesa dellaccount per i nuovi impiegati Riduzione delle perdite di produttività dovute e attesa dellaccount per i nuovi impiegati Riduce il numero di persone e il tempo di gestione Riduce il numero di persone e il tempo di gestione Migliora la sicurezza Migliora la sicurezza Revoca immediata dellaccesso quando cambia lo stato dellutente Revoca immediata dellaccesso quando cambia lo stato dellutente Disabilita account Disabilita account Rimozione dai rule-based group se cambia il ruolo aziendale Rimozione dai rule-based group se cambia il ruolo aziendale
© 2003 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.