Microsoft Identity Microsoft Identity Management StrategyManagement Strategy

Fabrizio GrossiFabrizio Grossi

AgendaAgenda

L’origine delle specieL’origine delle specie Soluzioni Microsoft per IntranetSoluzioni Microsoft per Intranet ADAM (Active Directory Application ADAM (Active Directory Application

Mode)Mode) MIIS (Microsoft Identity Integration MIIS (Microsoft Identity Integration

Server)Server)

Origini dell’identità digitale…Origini dell’identità digitale…

All’inizio…All’inizio…

Utente finaleUtente finale

Account UtenteAccount Utente

AuthNAuthN AuthZAuthZ

Protocollo con Protocollo con embedded securityembedded security

App logicApp logic

Motore di AuthN Motore di AuthN (o N)(o N)

Motore di Motore di AuthZ o ZAuthZ o Z

ZZ Policy di AuthZPolicy di AuthZ

Identity storeIdentity store

PC-Based ComputingPC-Based Computing

NN ZZ

File & printFile & printserversservers

Monolithic LOB Monolithic LOB app serversapp servers

PC PC

EmailEmail

AppApp

CRMCRM LOBLOB HRHRZZ

NN ZZZZ NN

ZZNN ZZNN ZZNN ZZNN

ZZ ZZ

ZZ ZZ ZZ ZZ

NN ZZ

ZZ

Compare il concetto di NOS Compare il concetto di NOS DirectoryDirectory

NN ZZ

EmailEmailZZ

CRMCRM LOBLOB HRHRZZNN ZZNN ZZNNNN

NN ZZ

AppApp

ZZ

NN ZZZZ NN

ZZ ZZ

ZZ ZZ ZZ ZZ

NOS directory: logon NOS directory: logon centralizzato per i desktop, centralizzato per i desktop, file, print.file, print.

AssessmentAssessment

ID e passwords multiple per gli utentiID e passwords multiple per gli utenti Difficili da ricordareDifficili da ricordare Policy di password/lockout inconsistentiPolicy di password/lockout inconsistenti Carica di lavoro Helpdesk (password reset)Carica di lavoro Helpdesk (password reset)

Dati utente univoci in data store multipliDati utente univoci in data store multipli Gestiti manualmenteGestiti manualmente I dati diventano inconsistenti tra gli store e I dati diventano inconsistenti tra gli store e

nel temponel tempo

Identity management è faticoso e costosoIdentity management è faticoso e costoso

Active Directory Vision Active Directory Vision

Active DirectoryActive Directory

Combinare NOS e Enterprise directoryCombinare NOS e Enterprise directory Dati Utente via LDAP, Single sign on via KerberosDati Utente via LDAP, Single sign on via Kerberos Amministrazione dei computer Windows tramite PolicyAmministrazione dei computer Windows tramite Policy

Singola fonte e singola rappresentazione dei dati utente e delle Singola fonte e singola rappresentazione dei dati utente e delle policy di Autorizzazionepolicy di Autorizzazione One stop provisioning, Single point of managementOne stop provisioning, Single point of management Single sign onSingle sign on Protocolli Standard, Schema comuneProtocolli Standard, Schema comune

EmailEmail CRMCRM LOBLOB HRHR

ZZ

Active DirectoryActive Directory

L’Enterprise Directory oggiL’Enterprise Directory oggi AD supporta Windows sign-on, amministrazione basata su AD supporta Windows sign-on, amministrazione basata su

policy, Exchange 2000policy, Exchange 2000 Le directory LDAP sono implementate ma poco riutilizzateLe directory LDAP sono implementate ma poco riutilizzate

No single sign onNo single sign on Il Provisioning è ad-hocIl Provisioning è ad-hoc

““dump and import” manualedump and import” manuale

DatabaseDatabase

DUMPDUMPDUMPDUMP

EmailEmail CRMCRM LOB1LOB1 HRHRZZNN

ZZ

LDAPLDAP

NN ZZ

ZZ

LDAPLDAP

NN ZZ

NN ZZZZ NN

ZZ ZZ

ZZ

ZZNN

ZZ

NN ZZ

AppApp

ZZLOB2LOB2

ZZ

LDAPLDAP

NN ZZ

Come siamo arrivati qui?Come siamo arrivati qui?

Fattori tecniciFattori tecnici Manca un protocollo standard di autenticazioneManca un protocollo standard di autenticazione Applicazioni LDAP non sono facilmente riutilizzabiliApplicazioni LDAP non sono facilmente riutilizzabili Restrizioni sui dati nelle Directory centralizzateRestrizioni sui dati nelle Directory centralizzate

Dimensioni, Volatilità (Repliche)Dimensioni, Volatilità (Repliche)

Fattori inerenti a Active DirectoryFattori inerenti a Active Directory Non semplice da installare e sperimentareNon semplice da installare e sperimentare Incertezza: era la versione 1.0Incertezza: era la versione 1.0 Paura di applicazioni malfunzionanti che impattano Paura di applicazioni malfunzionanti che impattano

sui DCsui DC

Fattori PoliticiFattori Politici Resistenza dell’IT a modificare lo schema enterpriseResistenza dell’IT a modificare lo schema enterprise Proprietari dell’Applicazioni abituati al “full control”Proprietari dell’Applicazioni abituati al “full control”

Strategia e Soluzioni Strategia e Soluzioni Microsoft per l’Identity Microsoft per l’Identity ManagementManagement

FrameworkFramework

AutheNAutheN AuthZAuthZ AuditingAuditing Dati di Identità DigitaleDati di Identità Digitale Gestione del Ciclo di vita dell’Identità & Gestione del Ciclo di vita dell’Identità &

provisioningprovisioning

IT Goals per l’AuthenticationIT Goals per l’AuthenticationAumentare la sicurezza – Diminuire i costiAumentare la sicurezza – Diminuire i costi

Minimizzare il # di sistemi di authNMinimizzare il # di sistemi di authN Diminuire gli account da disabilitare Diminuire gli account da disabilitare Diminuire le policy di pwd/lockout da gestireDiminuire le policy di pwd/lockout da gestire Diminuire password da ricordareDiminuire password da ricordare Diminuire le chiamate all’helpdeskDiminuire le chiamate all’helpdesk

Sign-on sulle workstationSign-on sulle workstation Presentare password clear text a meno Presentare password clear text a meno

sistemi possibilesistemi possibile Fornire SSO agli utentiFornire SSO agli utenti

Web appWeb app

InfrastructureInfrastructureDirectory (AD)Directory (AD)

NN

1.1. Workstation sign-onWorkstation sign-on

2.2. Accesso a un’Appl Accesso a un’Appl infrastructure-aware. infrastructure-aware. Non è richiesto sign-Non è richiesto sign-on addizionaleon addizionale

AuthNAuthNApplicazioni Infrastructure-awareApplicazioni Infrastructure-aware

AuthNAuthNRequisiti per le Appl infrastructure-awareRequisiti per le Appl infrastructure-aware

App supporta il sign-on utente App supporta il sign-on utente Non richiede Windows client o serverNon richiede Windows client o server

Client & server usano un “trusted third-party” Client & server usano un “trusted third-party” AuthN protocol supportato dall’Infrastructure AuthN protocol supportato dall’Infrastructure authentication systemauthentication system Kerberos, SSLKerberos, SSL

Posso scegliere la piattaforma di sviluppoPosso scegliere la piattaforma di sviluppo .NET, Java/J2EE.NET, Java/J2EE

Active Directory come infrastructure Active Directory come infrastructure directorydirectory Sistema di AuthN primarioSistema di AuthN primario Punto di Pubblicazione per dati di identità Punto di Pubblicazione per dati di identità

digitali globalmente rilevantidigitali globalmente rilevanti

Perchè usare Active Directory Perchè usare Active Directory come Infrastructure Directory?come Infrastructure Directory?

Scala fino a migliaia (3-5000) di locazioni Scala fino a migliaia (3-5000) di locazioni remote attraverso link WAN lentiremote attraverso link WAN lenti

Protocolli di AuthN Standard: Kerberos, Protocolli di AuthN Standard: Kerberos, SSLSSL

Credenziali Multiple : passwords, Credenziali Multiple : passwords, smartcard, tool biometricismartcard, tool biometrici

Federation tra business units utilizzando Federation tra business units utilizzando il Forest Trustil Forest Trust

E’ in grado di amministrare i computer E’ in grado di amministrare i computer tramite Policytramite Policy

AutZ & AuditingAutZ & Auditing

Web appWeb app InfrastructureInfrastructureDirectory (AD)Directory (AD)

Audit collection (MACS)Audit collection (MACS)

1.1. App fa una AuthZ App fa una AuthZ role-based tramite role-based tramite Authorization Authorization ManagerManager

2.2. Raccolta Raccolta degli degli Audit via Audit via MACSMACS

AuthorizationAuthorizationManagerManager ZZ

AuthZAuthZ

Authorization ManagerAuthorization Manager Gestisce ruoli, non le ACL degli oggettiGestisce ruoli, non le ACL degli oggetti Semplifica reporting & auditingSemplifica reporting & auditing Gruppi basati su query LDAP: gestiscono Gruppi basati su query LDAP: gestiscono

meglio le dinamiche di businessmeglio le dinamiche di business Gli utenti non devono essere specificatamente Gli utenti non devono essere specificatamente

definiti a livello dell’Applicazionedefiniti a livello dell’Applicazione Gli utenti non devono essere aggiunti ai gruppi di Gli utenti non devono essere aggiunti ai gruppi di

ADAD

API fornita con Windows Server 2003API fornita con Windows Server 2003

Data Store dell’Identità DigitaleData Store dell’Identità DigitaleInfrastructure & Applications directoriesInfrastructure & Applications directories

Web appWeb app

InfrastructureInfrastructureDirectory (AD)Directory (AD)

2.2. App ritrova le App ritrova le info dall’ info dall’ application application directorydirectory

MetadirectoryMetadirectory(MIIS)(MIIS)

1.1. MIIS popola e MIIS popola e gestisce gli utenti gestisce gli utenti dell’application dell’application directorydirectory

Application Application DirectoryDirectory

(ADAM)(ADAM)

Dati dell’Identità DigitaleDati dell’Identità Digitale

Separa i dati in dati globali e dati specifici Separa i dati in dati globali e dati specifici dell’applicazionedell’applicazione Dati globali: schema piccolo, gestito centralmente e Dati globali: schema piccolo, gestito centralmente e

condiviso da più applicazionicondiviso da più applicazioni Dati specifici dell’applicazione: schema specifico per Dati specifici dell’applicazione: schema specifico per

ogni applicazioneogni applicazione

I dati specifici dell’Appl sono immagazzinati in I dati specifici dell’Appl sono immagazzinati in una directory specifica: ADAMuna directory specifica: ADAM Evita colli di bottiglia sullo schema dell’enterprise Evita colli di bottiglia sullo schema dell’enterprise

directorydirectory Il proprietario dell’App ha piena disponibilità della Il proprietario dell’App ha piena disponibilità della

directorydirectory Riduce i problemi delle applicazioni che danneggiano Riduce i problemi delle applicazioni che danneggiano

l’infrastruttural’infrastruttura

AD/AMAD/AM

Modello di programmazione e tool di amministrazione, Modello di programmazione e tool di amministrazione, virtualmente identici all’infrastructure Active Directoryvirtualmente identici all’infrastructure Active Directory

Competenze facilmente trasferibiliCompetenze facilmente trasferibili Download da Download da http://www.microsoft.com/downloadshttp://www.microsoft.com/downloads

Infrastructure Active Directory

LSASSLSASS

DSADSA

LDAPLDAP

SAMSAM

MAPIMAPI REPLREPL KDCKDC LanmanLanman

DNSDNS FRSFRS

dipendenze

Active Directory Application Mode

DSAMAINDSAMAIN

DSADSA

LDAPLDAP REPLREPL

Identity IntegrationIdentity Integration

LOB2LOB2 LOB3LOB3HRHR LOB1LOB1

Web appWeb app

InfrastructureInfrastructureDirectory (AD)Directory (AD)

LOB4LOB4

LOB5LOB5

33rdrd party partyLDAPLDAP

33rdrd party partyLDAPLDAP

Metadirectory+Metadirectory+provisioningprovisioning

(MIIS)(MIIS)

1.1. MIIS rileva un MIIS rileva un cambiamento in HRcambiamento in HRApplication Application

DirectoryDirectory(ADAM)(ADAM)

2.2. MIIS allinea i sistemi connessi MIIS allinea i sistemi connessi basandosi su regolebasandosi su regole

Application-Application-based sign-onbased sign-on

Gestione delle PasswordGestione delle Password

Metadirectory+Metadirectory+provisioningprovisioning

(MIIS)(MIIS)

InfrastructureInfrastructureDirectory (AD)Directory (AD)

LOB5LOB5

33rdrd party partyLDAPLDAP LOB4LOB4

1.1. L’utente cambia la L’utente cambia la password password utilizzando la web utilizzando la web appl per la gestione appl per la gestione delle passworddelle passwordPwd mgmtPwd mgmt

2.2. L’Appl di Pwd mgmt L’Appl di Pwd mgmt trova gli account trova gli account corrispondenti in MIIScorrispondenti in MIIS

3.3. LELE Password Password vengono vengono modificatemodificate

4.4. L’utente si autentica L’utente si autentica sull’ applicazionesull’ applicazione

ADAMADAM

Demo MIISDemo MIIS

Digital Identity AggregationDigital Identity Aggregation

L’aggregazione dei dati dll’identità digitale L’aggregazione dei dati dll’identità digitale semplifica lo sviluppo delle applicazionisemplifica lo sviluppo delle applicazioni Lo sviluppatore non si preoccupa della gestione dei Lo sviluppatore non si preoccupa della gestione dei

dati e della complessità dell’infrastructure directorydati e della complessità dell’infrastructure directory

Forest 3Forest 3

MIISMIIS

ADAMADAM

Forest 1Forest 1

Forest 2Forest 2

Web appWeb app

L’Appl ha L’Appl ha una vista una vista univoca univoca dell’identità dell’identità digitale digitale degli utentidegli utenti

Application-Application-specific schemaspecific schema

Globally published Globally published schemaschema

LDAP Bind RedirectLDAP Bind Redirect

Metadirectory+Metadirectory+provisioningprovisioning

(MIIS)(MIIS)

InfrastructureInfrastructureDirectory (AD)Directory (AD)

LOB5LOB5

33rdrd party partyLDAPLDAP LOB4LOB4 33rdrd party party

LDAPLDAP

1.1. ADAM sostituisce le ADAM sostituisce le directory di terze partidirectory di terze parti

2.2. MIIS mappa gli utenti ADAM su MIIS mappa gli utenti ADAM su utenti dell’infrastructure directoryutenti dell’infrastructure directory

ADAMADAM

3.3. L’utente si L’utente si valida valida sull’Applsull’Appl

4.4. ADAM ridireziona ADAM ridireziona il bind LDAP il bind LDAP verso verso l’infrastructure l’infrastructure directorydirectory

Lifecycle ManagementLifecycle Management Automatismi con Identity Integration Automatismi con Identity Integration

ServerServer Raggruppo identità da multiple stores per Raggruppo identità da multiple stores per

creare una vista singola e consistentecreare una vista singola e consistente Forza la convergenza a valori autoritativiForza la convergenza a valori autoritativi

Provisioning/de-provisioning basato su regoleProvisioning/de-provisioning basato su regole Automatizza i processiAutomatizza i processi Coming soon – integrazione con BizTalk per Coming soon – integrazione con BizTalk per

workflow complessiworkflow complessi Gestione dei gruppiGestione dei gruppi

Gruppi basati su regole con utenti provenienti da Gruppi basati su regole con utenti provenienti da identity store multipliidentity store multipli

Utilizzabili sia come distribution list che come Utilizzabili sia come distribution list che come security groupssecurity groups

Lifecycle ManagementLifecycle Management

Risparmio dei costiRisparmio dei costi Riduzione delle perdite di produttività dovute Riduzione delle perdite di produttività dovute

e attesa dell’account per i nuovi impiegatie attesa dell’account per i nuovi impiegati Riduce il numero di persone e il tempo di Riduce il numero di persone e il tempo di

gestionegestione

Migliora la sicurezzaMigliora la sicurezza Revoca immediata dell’accesso quando Revoca immediata dell’accesso quando

cambia lo stato dell’utentecambia lo stato dell’utente Disabilita accountDisabilita account Rimozione dai rule-based group se cambia il ruolo Rimozione dai rule-based group se cambia il ruolo

aziendaleaziendale

© 2003 Microsoft Corporation. All rights reserved.© 2003 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.