Windows Server 2003 Microsoft Identity and Integration Server 2003 Código: HOL-MIIS01 Windows Server 2003 Microsoft Identity and Integration Server 2003 Javier Pereña Peñaranda Ingeniero de Sistemas jperena@informatica64.com
Agenda Introducción Infraestructura de GPO GPMC Plantillas de Seguridad Migración de GPO
Evento de Gestión de Identidad Introducción a la Gestión de Identidad
Agenda ¿Qué es Gestión de Identidad? Gestión de Identidad. ¿Cómo?
Agenda ¿Qué es Gestión de Identidad? Gestión de Identidad. ¿Cómo?
Gestión de Identidad Single Sign Gestión de On Contraseñas Acceso Remoto Federación Gestión de Roles Seguridad de Servicios Web Aprovisionamiento Auditoría & Reporte Directorios Autorización Digital Rights Management Autenticación PKI
Gestión de Identidad - Retos Demasiados repositorios de usuarios Aprovisionamiento manual Impacto en la productividad de los usuarios Incremento en los costes de operaciones
¿Qué es Gestión de Identidad? Sistema de procedimientos y políticas para la gestión del ciclo de vida y los privilegios de las credenciales electrónicas Pasaporte Foto Usuario/Contraseña Identidad Smartcards Parámetros Biométricos Dirección IP Nombre, Dirección, Teléfono, Móvil, Fax, Edificio, Despacho, …
Agenda ¿Qué es Gestión de Identidad? Gestión de Identidad. ¿Cómo?
Agenda ¿Qué es Gestión de Identidad? Gestión de Identidad. ¿Cómo?
Gestión de Identidad Servicios de Directorio Repositorios de almacenamiento de cuentas, información de identidad y credenciales de seguridad Gestión del Ciclo de Vida Procesos de creación, modificación y eliminación de cuentas, gestión de permisos e integración de sistemas heterogéneos Gestión de Acceso Proceso de autenticación de credenciales y control de acceso a recursos
Servicios de Directorio Gestión de Identidad Aplicaciones Gestión de Acceso Autenticación Autorización Compartición de recursos Gestión del Ciclo de Vida Servicios de Directorio
El problema de la integración Autenticación Autorización Información de Identidad Herramienta RRHH Ficheros Autenticación Autorización Información de Identidad Herramienta Contratistas Autenticación Autorización Información de Identidad Aplicaciones Lotus Caos de Identidades Directorio Empresarial Autenticación Autorización Información de Identidad Aplicación Infraestruc. Autenticación Autorización Información de Identidad Aplicación LDAP Autenticación Autorización Información de Identidad Aplicación Interna Aplicación Interna Autenticación Autorización Información de Identidad Problema: Múltiples repositorios de información de identidad: múltiples identificadores de usuarios y múltiples contraseñas Gestión descentralizada
Oportunidad de Mejora Herramienta RRHH Herramienta Contratistas Autenticación Autorización Inf. Identidad Herramienta RRHH Autenticación Autorización Inf. Identidad Herramienta Contratistas Autorización Inf. Identidad Autenticación Aplicaciones Lotus Directorio Empresarial Identity Integration Server Autenticación Autorización Inf. Identidad Aplicación Infraestruc. Autenticación Autorización Inf. Identidad Aplicación LDAP Autenticación Autorización Inf. Identidad Aplicación Interna Autenticación Autorización Inf. Identidad Aplicación Interna Integración Software robusto para la integración de la información de identidad
Resumen Retos: Gestión de Identidad Demasiados repositorios de usuarios Aprovisionamiento manual Impacto en la productividad de los usuarios Incremento en los costes de operaciones Gestión de Identidad Sistema de procedimientos y políticas para la gestión del ciclo de vida y los privilegios de las credenciales electrónicas Microsoft Identity Integration Server Vista unificada de la información de identidad relacionada con usuarios, aplicaciones y recursos. Mecanismos para gestión del ciclo de vida de las credenciales electrónicas Procedimientos para la sincronización de la información de identidad dispersa en distintos repositorios
Evento de Gestión de Identidad Estrategia de Microsoft para la Gestión de Identidad
Agenda Gestión de Identidad Marco para Gestión de Identidad Estrategia de Microsoft
Gestión de Identidad Servicios de Directorio Repositorios de almacenamiento de cuentas, información de identidad y credenciales de seguridad Gestión del Ciclo de Vida Procesos de creación, modificación y eliminación de cuentas, gestión de permisos e integración de sistemas heterogéneos Gestión de Acceso Proceso de autenticación de credenciales y control de acceso a recursos
El reto de la gestión de Identidad Usuario Novell Remote Access Usuario UNIX/Linux Usuario Windos Usuario Windows Remoto Usuario de Explorador Web Administración Web SFN/SFU Integración Cliente SSO Acceso Intranet ISA ADAM Acceso Remoto Access Gateway Direct. Extranet DMZ Groups, AzMan Servicios de Directorio Directorio Activo & ADAM Gestión de Acceso Central Authorization & Policy Management Gestión del Ciclo de Vida Directorio Activo y MIIS Central PW-Reset Central Self-Service Kerberos, X.509, U/P, Smartcards.. Central Authentication Central Directory & Yellow Pages Delegated Admin Kerberos Desktop SSO ADFS Web SSO Fed. SSO SQL-Server Auditing & Reporting Service Registry Services S S S S S Workflow MIIS Infrastructure Directory S S S S S S Provisioning S S Windows Server PKI, eID, DS Synchronization HIS & BizTalk Backend SSO IPSec, Netw.-Sec. Process Integration Password Synch. ERP UNIX Sun Linux DB2 HOST Correo RAS Oracle SQL Novell XYZ
Aplicaciones de terceros Productos: Directorio Activo Base para la Gestión de Identidad Informacion de cuentas Privilegios Perfiles Politicas Single Sign-On Usuarios deWindows Recursos de red Recursos compartidos Impresoras Politicas Servidores Windows Configuración Seguridad Quarentena Politicas Clientes Windows Configuración QoS Políticas de Seguridad Single Sign-On Dispositivos de Red Información de producto Privilegios Perfiles Politicas Implementacion automatizada Productos Microsoft Eficiencia operativa Seguridad mejorada Mejoras en Productividad Interoperabilidad Directorio Activo Directorios Bases de Datos Mainframes UNIX Otros Sistemas Configuración Política de seguridad VPN y Acceso Remoto Cuerentena Single Sign-On Servicios de Firewall Single Sign-On Implementación automatizada Configuración Data especifica de directorio Aplicaciones de terceros Punto focal para la gestión de usuarios y recursos de red Autoridad central para la seguridad de redes y aplicaciones Punto de integración para la unificación de servicios
Productos: ADAM Directorio de Aplicaciones Infraestructura Directorio Activo Active Directory Application Mode DSAMAIN DSA LDAP REPL (DA tradicional menos gestión de infraestructura) LSASS LDAP MAPI REPL KDC Lanman DSA SAM dependencias DNS FRS Modelo de programación y herramientas administrativas idénticas al Directorio Activo No requiere controlador de dominio
Productos: MIIS Gestión del Ciclo de Vida Baja de Usuarios Borrar/Congelar Cuentas Borrar/Congelar Asignaciones Gestión de Contraseñas Contraseñas fuertes Contraseñas “perdidas” Seteo de contraseñas Nuevos Usuarios Creación de identidad del Usuarios Generación de Credenciales Derechis de Acceso Cambios en Cuentas Asensos Transferencias Nuevos Privilegios Ambios de atributos
Evento de Gestión de Identidad Microsoft Identity Integration Server
Agenda Microsoft Identity Integration Server MIIS 2003. Conceptos. Demo
Agenda Microsoft Identity Integration Server MIIS 2003. Conceptos. Demo
Microsoft Identity Integration Server Autenticación Autorización Authorization Inf. Identidad Herramienta RRHH Autenticación Autorización Inf. Identidad Herramienta Contratistas Autorización Inf. Identidad Autenticación Aplicaciones Lotus Directorio Empresarial Identity Integration Server Autenticación Autorización Inf. Identidad Aplicación Infraestruc. Autenticación Autorización Inf. Identidad Aplicación LDAP Autenticación Autorización Inf. Identidad Aplicación Interna Autenticación Autorización Inf. Identidad Aplicación Interna Software que se encarga de la sincronización de la información de identidad entre múltiples repositorios.
Microsoft Identity Integration Server NOS Características: Sincronización Aprovisionamiento Gestión de contraseñas Conexión sin agentes LDAP SQL Beneficios: Facilidad de despliegue Simplicidad para trasladar reglas de negocio a MIIS Extensibilidad LOB Apps Información de Identidad
Agenda Microsoft Identity Integration Server MIIS 2003. Conceptos. Demo
Agenda Microsoft Identity Integration Server MIIS 2003. Conceptos. Demo
Sistema basado en estados MIIS 2003 Directorio Corporativo Susana Garcia HR Susanag@ contoso.es Susana Garcia HR Susanag@ contoso.es Susana Garcia HR Directora Susanag@ contoso.es 916273633 Susana Garcia HR Directora Susanag@ contoso.es 916273647 Aplicación RRHH Susana Garcia HR Directora 916273647 Susana Garcia HR Directora 916273633
Componentes Connector Metaverse Space Directorios Conectados MA iPlanet Oracle SQL Exchange 5.5 MA Usuario MA MA Connector Space Metaverse MA Directorios Conectados
Repositorios Soportados Directorio Activo y ADAM Computer Associates ACF2 IBM DB2, Lotus Domino 5.x/6.x, Tivoli Directory Server, RACF Microsoft SQL 2000, SQL 7 Novell eDirectory Oracle 8i/9i Microsoft Exchange 5.5, 2000, 2003 Microsoft NT 4.x Sun/iPlanet/Netscape Directory Varios formatos de fichero: DSML, LDIF, CSV, atributo – valor…
Arquitectura MIIS corre como un servicio Management Agents (MA) se conectan a los sistemas Los datos del Metadirectorio son guardados en SQL Los clientes administrativos se conectan vía DCOM Admin. de MIIS MIIS Store Controlado de MAs iPlanet MA AD Oracle … Servicio MIIS DCOM iPlanet AD/E2K Oracle
Flujo de Información MIIS 2003 3 = Objetos = Atributos Connector Space Metaverse Suzan Fine Full Name Title Employee # 1) Staging Full Name Title Employee # Suzan Fine HR Database 3) Projection Full Name Title Employee # Suzan Fine 3 Full Name Title Employee # Name eMail Suzan Fine 6) Export 5) Attribute Flow Name eMail Employee # Sue Fine Name eMail Employee # Sue Fine Suzan Fine Sue Fine Name eMail Employee # Suzan Fine Name eMail Employee # eMail System 2) Staging 4) Joining Directory 8) Export Account Name eMail Employee # Suzan Fine Suzan Fine Account Name eMail Employee # 7) Provisioning = Objetos = Atributos
Agenda ¿Qué es MIIS? MIIS. Conceptos. Demo
Agenda Microsoft Identity Integration Server MIIS 2003. Conceptos. Demo
Agenda Microsoft Identity Integration Server MIIS 2003. Conceptos. Demo
Evento de Gestión de Identidad Roadmap
Agenda Microsoft Identity Integration Server Roadmap MIIS SP1 MIIS Resource Kit 2 MIIS SP2 MIIS Gemini
Feedback de clientes sobre MIIS 2003 Puntos fuertes Sistema basado en estados Robustez Escalabilidad Modo de licenciamiento Flexibilidad Áreas de mejora Necesario escribir código para aprovisionamiento No incluye herramienta de workflow
MIIS Roadmap Extender el alcance de los MA y de la gestión de contraseñas MIIS 2003 SP1 Q4/CY04 MA adicionales MA SDK Sincronización de contraseñas Herramientas para simplificar implantaciones MIIS 2003 ResKit 2 Q4/CY04 Asistente de aprovisionamiento Ejemplo de uso de Workflow Extender el alcance de los MAs Entregables desde Junio 05 MA adicionales Mejoras en la gestión de contraseñas MIIS 2003 SP2 Q2/CY06 Aplicación para el usuario de reinicio de contraseña Minimizar riesgos y costes de la Gestión de Identidad MIIS - Gemini Aprovisionamiento sin programación Reporte de permisos Plataforma autoservicio MA adicionales
MIIS Roadmap Extender el alcance de los MA y de la gestión de contraseñas MIIS 2003 SP1 Q4/CY04 MA adicionales MA SDK Sincronización de contraseñas Herramientas para simplificar implantaciones MIIS 2003 ResKit 2 Q4/CY04 Asistente de aprovisionamiento Ejemplo de uso de Workflow Extender el alcance de los MAs Entregables desde Junio 05 MA adicionales Mejoras en la gestión de contraseñas MIIS 2003 SP2 Q2/CY06 Aplicación para el usuario de reinicio de contraseña Minimizar riesgos y costes de la Gestión de Identidad MIIS - Gemini Aprovisionamiento sin programación Reporte de permisos Plataforma autoservicio MA adicionales
MIIS SP1 Nuevos Agentes de Gestión Mejoras en Agentes de Gestión IBM DB2 IBM DS Mejoras en Agentes de Gestión Sun One 5.2 eDirectory 8.73 Lotus Notes 6.X SDK para desarrollo de MAs Mejoras en Gestión de Contraseñas
MIIS Roadmap Extender el alcance de los MA y de la gestión de contraseñas MIIS 2003 SP1 Q4/CY04 MA adicionales MA SDK Sincronización de contraseñas Herramientas para simplificar implantaciones MIIS 2003 ResKit 2 Q4/CY04 Asistente de aprovisionamiento Ejemplo de uso de Workflow Extender el alcance de los MAs Entregables desde Junio 05 MA adicionales Mejoras en la gestión de contraseñas MIIS 2003 SP2 Q2/CY06 Aplicación para el usuario de reinicio de contraseña Minimizar riesgos y costes de la Gestión de Identidad MIIS - Gemini Aprovisionamiento sin programación Reporte de permisos Plataforma autoservicio MA adicionales
MIIS Resource Kit 2 Asistente para Aprovisionamiento en MIIS Aplicación Workflow de ejemplo Posibilidad de Exportar información de MIIS a ficheros XML De flujo de atributos De configuración de MIIS De configuración de la Metaverse
MIIS Roadmap Extender el alcance de los MA y de la gestión de contraseñas MIIS 2003 SP1 Q4/CY04 MA adicionales MA SDK Sincronización de contraseñas Herramientas para simplificar implantaciones MIIS 2003 ResKit 2 Q4/CY04 Asistente de aprovisionamiento Ejemplo de uso de Workflow Extender el alcance de los MAs Entregables desde Junio 05 MA adicionales Mejoras en la gestión de contraseñas MIIS 2003 SP2 Q2/CY06 Aplicación para el usuario de reinicio de contraseña Minimizar riesgos y costes de la Gestión de Identidad MIIS - Gemini Aprovisionamiento sin programación Reporte de permisos Plataforma autoservicio MA adicionales
MIIS 2003 – Agentes de Gestión Agentes de Gestión para Mainframe RACF: Mediados 05 ACF2, TS: Finales 05 Agentes de Gestión para ERP SAP, PeopleSoft: Finales 05 Agente de Gestión Genérico para LDAP A incluir en Gemini
MIIS Roadmap Extending MA Reach and password capabilities MIIS 2003 SP1 Q4/CY04 Additional MAs MA SDK Password Extensions Password synchronization Tools to simplify MIIS deployments MIIS 2003 ResKit 2 Q4/CY04 Provisioning Wizard Workflow sample app Extending MA Reach - Ongoing Oob deliverables – start June 05 Additional MAs Improving password management capabilities MIIS 2003 SP2 Q2/CY06 End-user self-service password reset Lowering the cost and risks of Identity Management MIIS - Gemini Codeless provisioning Entitlement reporting Self-service platform Additional MAs
MIIS Roadmap Extender el alcance de los MA y de la gestión de contraseñas MIIS 2003 SP1 Q4/CY04 MA adicionales MA SDK Sincronización de contraseñas Herramientas para simplificar implantaciones MIIS 2003 ResKit 2 Q4/CY04 Asistente de aprovisionamiento Ejemplo de uso de Workflow Extender el alcance de los MAs Entregables desde Junio 05 MA adicionales Mejoras en la gestión de contraseñas MIIS 2003 SP2 Q2/CY06 Aplicación para el usuario de reinicio de contraseña Minimizar riesgos y costes de la Gestión de Identidad MIIS - Gemini Aprovisionamiento sin programación Reporte de permisos Plataforma autoservicio MA adicionales
MIIS 2003 SP2 Herramienta para reinicio de contraseñas Mejoras en las aplicaciones web incluidas con MIIS 2003 En colaboración con el equipo de Speech Server para habilitar reinicio de contraseñas telefónico
MIIS Roadmap Extender el alcance de los MA y de la gestión de contraseñas MIIS 2003 SP1 Q4/CY04 MA adicionales MA SDK Sincronización de contraseñas Herramientas para simplificar implantaciones MIIS 2003 ResKit 2 Q4/CY04 Asistente de aprovisionamiento Ejemplo de uso de Workflow Extender el alcance de los MAs Entregables desde Junio 05 MA adicionales Mejoras en la gestión de contraseñas MIIS 2003 SP2 Q2/CY06 Aplicación para el usuario de reinicio de contraseña Minimizar riesgos y costes de la Gestión de Identidad MIIS - Gemini Aprovisionamiento sin programación Reporte de permisos Plataforma autoservicio MA adicionales
Evolución de MIIS: Process Integration Services Considera actores digitales, recursos y políticas de control de acceso como Identidades Sistema basado en estados Descubrimiento de de identidades a través de los Management Agents Agregación de identidad en un repositorio central Uso de reglas de negocio para gestionar la relación entre identidades Periodicamente valida la veracidad de las relaciones mediante la comparación con relaciones existentes a través del modelo de sincronización Forzar las reglas de negocio a través de la sincronización Auditoría de todos los camios a las relaciones Evolución de MIIS para incluir herramientas de workflow, generación reglas de negocio, mecanismos de control y auditoría
Configuración de Control de Acceso HR Política A: Todos los miembros de Ventas rol R Aprovisionamiento : Bob -> Ventas Configuración de recursos: Usa Política A Gemini Recurso A Política A
Gemini Provisioning Features Integrated Toolset to Manage the Lifecycle of Digital Identities and Entitlements Declarative Provisioning UI to define rules when and where entitlements are created plus templates how they are created No more coding required Self-Service Platform Web service interfaces to build self-service applications E.g., account requests, entitlement requests, password resets, group membership request Tight integration with VS to develop Self-Service apps Application MV Group Management Improvements Multi-forest, computed groups, Autogroup Unified workflow model Declarative provisioning, self-service apps, existing synchronization framework and group management need workflow Single model to manage workflows
Gemini Provisioning Features Integrated Toolset to Manage the Lifecycle of Digital Identities and Entitlements Ready to use “Out of the Box Self-Service Applications” Only minimal configuration required Entitlement manager, Autouser, Autogroup Auditing / compliance checking All provisioning operations are audited (requests, approvals, changes in CD) Un-authorized changes in CD can be detected and audited; workflow can be kicked off Resource and policy management
Evento de Gestión de Identidad Soluciones y Oportunidades para Partners
Agenda Tendencias de Negocio Oportunidades para Partners
Tendencias de Negocio
Tendencias de Negocio La Gestión de Identidad se identifica como uno de los principales problemas de negocio Rápido incremento del número de identidades, alto impacto en la seguridad Las empresas consideran insuficiente el uso de contraseñas: interés creciente en smartcards Evolución de los sistemas distribuidos: aplicaciones federadas
Evolución de los sistemas distribuidos Pasado Presente Futuro Silos de Aplicacion Identidad por sistema Foco Interno Valor de Negocio Limitado Integración Customizada Integración de identidad Interna y externa Alto coste para su valor Sistemas conectados Federación de identidad Escala Internet Bajo coste para su valor Servicios y productos De Integración de identidad Capacidades de la plataforma Y federación de idenidades
Coste de no invertir en IdM Fuente: Burton Group
Análisis de la Industria
Oportunidades para Partners
Oportunidades de Negocio Deseable experiencia en: Diseño e implementación de Directorio Activo Escenarios de migración (NT4.0, Exchange 5.5) Identificar oportunidades de Gestión de Identidad Beneficios: Para el partner: ingresos adicionales en servicios Para Microsoft: ingresos en licencias Para el cliente: valor añadido sobre la inversión enDirectorio Activo, mejoras de gestión y de seguridad
Oportunidades de Proyectos Áreas fundamentales: Banca: integración con sistemas mainframe Gobiernos autonómicos Industria: fusiones Telcos: integración de aplicaciones de correo electrónico y migraciones
Oportunidades complementarias MIIS es extensible mediante lenguajes .Net Extensibilidad respecto a: Aplicaciones web para automatizar la Gestión del Ciclo de Vida Creación de nuevos Agentes de Gestión, mediante el MA SDK Creación de código de aprovisionamiento automático, mediante el Asistente para Aprovisionamiento
Próximas Acciones Servidores: Desarrollo: http://www.informatica64.com/SeguridadEmpresas/inicio.html Servidores: http://www.microsoft.com/spain/HOLsistemas Desarrollo: http://www.microsoft.com/spain/HOLdesarrollo
Boletín quincenal TechNews
¿ Preguntas ?
Contacto Javier Pereña Peñaranda Technet Informatica64 jperena@informatica64.com Technet http://www.microsoft.com/spain/technet Informatica64 http://www.informatica64.com informatica64@informatica64.com +34 91 665 99 98 Material Seminarios http://www.informatica64.com/handsonlab/handsonlab.asp