Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
Gestion des identités à l’Université de Rennes 1de LDAP à OpenIDM
Saâd Aït Omar
Olivier Salaün
Notre ancienne gestion des identités
difficilement maintenable…
G E S T I O N D E S I D E N T I T É S À L ’ U N I V E R S I T É D E R E N N E S 12
La nouvelle architecture
G E S T I O N D E S I D E N T I T É S À L ’ U N I V E R S I T É D E R E N N E S 13
Plusieurs bases métier
Plusieurs établissements partenaires (IEP, ENSCR, UBL, ESPE, ENS...)
Trois référentiels et plusieurs applications : Sésame, OpenIDM, Grouper, PWM, Rabbitmq…
Plusieurs annuaires : openldap, Active Directory…
De multiples services : messagerie, stockage…
Plusieurs acteurs : utilisateurs des comptes et des services, gestionnaires des bases métier, gestionnaires Sésame, gestionnaires des groupes, administrateurs, RSSI…
Gestion d’identités
De multiples composants et acteurs
G E S T I O N D E S I D E N T I T É S À L ’ U N I V E R S I T É D E R E N N E S 14
Le référentiel des utilisateurs
G E S T I O N D E S I D E N T I T É S À L ’ U N I V E R S I T É D E R E N N E S 15
Combinaison de plusieurs modes de synchronisations des données (module
provisionning) :
• mode reconciliation (batch) : réconciliation globale entre toutes les bases sources
et le référentiel
• mode liveSync : propagation des changements des bases métiers en temps
presque réel
Contrôle et consolidation des informations des personnes des différentes bases
métier (module Policy)
Dé-doublonnage à deux niveaux :
• dans les bases métier (vues métier avec trigger)
• pendant les synchronisations (module workflow)
Gestion du cycle de vie (scripts groovy - taskscaner) :
• détection des changements et modification de l’état des comptes : notification
fermeture, désactivation, suppression.
Le référentiel des utilisateurs :
Le choix de OpenIDM
G E S T I O N D E S I D E N T I T É S À L ’ U N I V E R S I T É D E R E N N E S 16
Un modèle de données de type json pour chaque objet :
• individu• compte informatique• nomenclature
Ce référentiel est géré par l’application OpenIDM et contient plusieurs entités :
Les individus
Les comptes informatiques
Les nomenclatures nécessaires au bon fonctionnement de la GI :
Les nomenclatures sésame
Les nomenclatures Harpege
Les nomenclatures Apogée
Les nomenclatures Koha
Le référentiel des utilisateurs :
Les objets manipulés
G E S T I O N D E S I D E N T I T É S À L ’ U N I V E R S I T É D E R E N N E S 17
AlimentationConsolidation
IndividuCompte
Nomenclature
UR1
OpenIDMECR
IEP
UBL
À 1 individu => N comptes informatiques.
1 compte informatique a obligatoirement 1responsable physique pour les comptes nominatifs.
Un compte informatique est créé sans service
• réduction des risques de réservation inutile des ressources ;
• réduction des risques d’utilisation de services dormants.
Un compte informatique a un cycle de vie(création, activation, modification, désactivation, réactivation, suppression) associé au profil utilisateur.
Le cycle de vie des ressources est associé au même cycle de vie du compte.
Le référentiel des utilisateurs :
Relation individu – compte informatique nominatif
G E S T I O N D E S I D E N T I T É S À L ’ U N I V E R S I T É D E R E N N E S 18
compteInformatique
identifiant1idParent (individu)profil1
compteInformatique
identifiant2idParent (individu)profil2
individu
idIDMinfosPersoinfosEtatCivilprofils
Le tableau des types de comptes
vers une amélioration des droits d’accès
G E S T I O N D E S I D E N T I T É S À L ’ U N I V E R S I T É D E R E N N E S 19
personnel etudiant lecteur cnn
personnel_titulaire_biatss etudiant_candidat lecteur_ph cnn_boiteFonctionnelle
personnel_titulaire_enseignantChercheur etudiant_inscrit lecteur_externe cnn_technique
personnel_cdi_biatss etudiant_doctorant cnn_formation
personnel_cdi_enseignantChercheur cnn_prestataire
personnel_contractuel_biatss cnn_inviteTemporaire
personnel_contractuel_enseignantChercheur cnn_demoTest
personnel_contractuelDoctorant_enseignantChercheur cnn_congres
personnel_vacataire_biatss
personnel_heberge_vacataire
personnel_heberge_externe
personnel_heberge_stagiaire
personnel_heberge_emeritat
personnel_heberge_autre
o Les objectifs au niveau SSI :• accès aux services et ressources au plus tôt ;
• arrêt des accès au plus tôt
o L’automatisation du cycle de vie s’appuie sur des règles communes à tous les comptes informatiques, ces règles utilisent les informations suivantes :
• la date de fin d’activité (DFA) : c’est la date de fin d’activité d’un agent, la date de fin du cycle d’étude d’un étudiant ou la date de fin d’inscription d’un lecteur.
• la durée maximale d’un compte (DM) : pour les comptes non nominatifs c’est la durée maximale d’un compte
• le délai de courtoisie (DC) : le délai de prolongement de l’état actif d’un compte au delà de la date de fin d’activité
• le sursis (S) : le délai de conservation des comptes et des ressources associées avant la suppression définitive
Le référentiel des utilisateurs :
Cycle de vie des comptes
G E S T I O N D E S I D E N T I T É S À L ’ U N I V E R S I T É D E R E N N E S 110
Déroulement du cycle de vie en 5 étapes
Le référentiel des mots de passe
G E S T I O N D E S I D E N T I T É S À L ’ U N I V E R S I T É D E R E N N E S 111
référentiel des mots de passe
• utilisateur autonome pour gérer son mot de passe
• code d’activation => adresse mail privée
• activation du compte depuis PWM
1. saisir la clé activation
2. accepter la charte informatique
3. choisir un mot de passe
4. activer ses services informatiques
PWM (https://github.com/pwm-project/pwm)
• application open source dédiée
• fonctionnalités utilisateur : activation de compte, changement de mot de passe, reset mot de passe
• paramétrage : complexité mots de passe, dictionnaires de mots de passe, remote REST, intégration avec un portail,
intégration avec notre GI
• initialisation du compte PWM depuis OpenIdm
• nouveau mot de passe poussé vers nos annuaires
Le référentiel des mots de passe
G E S T I O N D E S I D E N T I T É S À L ’ U N I V E R S I T É D E R E N N E S 112
Mots de passe
IHMPWMindividu
openldap Active Directory
Le système de messages : rabbitMQ
G E S T I O N D E S I D E N T I T É S À L ’ U N I V E R S I T É D E R E N N E S 113
protocole de messagerie entre applications
• gestion de files d’attente entre producteurs et consommateurs
• fiabilité du protocole AMQP
découplage entre cœur GI et services périphériques
• producteur = OpenIDM
• consommateurs = scripts de gestion des services
utilisation
• pousser les mots de passe
• activer services (stockage, messagerie, etc)
• mises à jour services
• deprovisionning services
rabbitMQ
G E S T I O N D E S I D E N T I T É S À L ’ U N I V E R S I T É D E R E N N E S 114
rabbitMQ
exemple du service Partage
G E S T I O N D E S I D E N T I T É S À L ’ U N I V E R S I T É D E R E N N E S 115
Le référentiel des groupes
G E S T I O N D E S I D E N T I T É S À L ’ U N I V E R S I T É D E R E N N E S 116
Choix de l’outil Grouper pour la gestion des groupes :
• fonctionnalités de provisionning ;
• IHM utilisateurs pour la manipulation des groupes ;
• possibilité de délégation.
Exemples d’utilisation :
• contrôler l’accès aux imprimantes par les usagers ;
• automatiser la création des espaces via les groupes Grouper et gérer les accès utilisateurs (lecture/écriture) via ces mêmes groupes.
Le référentiel des groupes
L’application Grouper
G E S T I O N D E S I D E N T I T É S À L ’ U N I V E R S I T É D E R E N N E S 117
Alimentation
Les autres
Groupesorganisationnels
manuels
UR1
ECR
IEP
UBL
Les annuaires LDAP
G E S T I O N D E S I D E N T I T É S À L ’ U N I V E R S I T É D E R E N N E S 118
Les annuaires ne sont plus les référentiels des comptes.
Le contenu de ces annuaires dérive de l’intégration des données des trois référentiels :
• données métier et données techniques du référentiel des utilisateurs ;
• données de l’appartenance aux groupes ;
• empreintes des mots de passe.
Pour garantir la cohérence des accès, les services clients ne doivent utiliser que le contenu des annuaires.
Les annuaires LDAP
Annuaires vs référentiels
G E S T I O N D E S I D E N T I T É S À L ’ U N I V E R S I T É D E R E N N E S 119
IndividuCompte
Groupes
Mots de passe
PeuplementIntégration
openldap Active Directory
AuthentificationCAS, SHIB, …
AuthentificationPostes de travail
Services, applications, postes de travail
Sésame
• activation des services utilisateur
• gestion déléguée des comptes non nominatifs
Sésame consultation
• pour les équipes de support
• vue agrégée des infos sur utilisateur (openIdm, pwm, ldap, AD)
Les outils « maison »
G E S T I O N D E S I D E N T I T É S À L ’ U N I V E R S I T É D E R E N N E S 120
déploiement (alotissement)
• lot 1 (comptes non nominatifs) : mai 2017
• lot 2 (personnels) : juillet 2017
• lot 3 (étudiants) : novembre 2017
• lot 4 (lecteurs) : décembre 2017
les difficultés
• ampleur du projet
• qualité des données (double saisies dossiers, fiabilité adresse mail privée)
Etat du déploiement et difficultés rencontrés
G E S T I O N D E S I D E N T I T É S À L ’ U N I V E R S I T É D E R E N N E S 121
provisionning au fil de l’eau
déprovisionningautomatique
autonomie utilisateurs ++
délégation gestion comptes et groupes
gestion des mots de passe ++
facilité à intégrer nouveaux services (ex: Partage)
meilleure intégration avec SIGB (Koha)
traitement des doublons
ménage dans annuaire LDAP
Gains observés
G E S T I O N D E S I D E N T I T É S À L ’ U N I V E R S I T É D E R E N N E S 122
vos questions ?