Votre produit a passé les sélections Yphise
Transcription
Votre produit a passé les sélections Yphise
© Yphise Annuaires LDAP et méta-annuaires Laurent Mynard Yphise 6 rue Beaubourg - 75004 PARIS [email protected] - http://yphise.fr T 01 44 59 93 00 F 01 44 59 93 09 LDAP020314-1 FAIT AVANCER L’INFORMATIQUE D’ENTREPRISE © Yphise Agenda A propos d’Yphise Les annuaires LDAP Avantages et inconvénients de LDAP Les différents types d’utilisation d’annuaires – Les méta annuaires – Les annuaires d’entreprise – Les annuaires système – Les annuaires de sécurité – Les annuaires pour PKI Aperçu du marché Caractéristiques des projets de mise en oeuvre LDAP020314-2 FAIT AVANCER L’INFORMATIQUE D’ENTREPRISE © Yphise A propos d’Yphise Société française indépendante d’analyse et de conseil Environ 1000 grands comptes clients dans le monde Un bureau commercial aux Etats-Unis Nous sommes l’analyste de référence en évaluation de progiciels – Certifié ISO-9001 en évaluation de progiciels – Nous évaluons 150 progiciels par an depuis 15 ans Nous conseillons les directions informatiques de grands comptes en management et en stratégie Nous conseillons les directions informatiques de grands comptes en matière de technologie, d’architecture et de progiciels LDAP020314-3 FAIT AVANCER L’INFORMATIQUE D’ENTREPRISE © Yphise Les annuaires LDAP Annuaire vs Base de données Un annuaire est un cas particulier de base de données – Nombreuses lectures, peu d'écritures – Données de faible taille, structure simple – Pas de traitement transactionnel nécessaire – S'adresse à un grand nombre d'utilisateurs, donc besoin de distribution et de répartition – Besoin de distribution et de répartition des droits d'administration Un outil d'annuaire est un ensemble de services adaptés aux informations qu'il contient, qui peut stocker ces informations dans un SGBD LDAP020314-4 FAIT AVANCER L’INFORMATIQUE D’ENTREPRISE © Yphise Les annuaires LDAP LDAP (1/2) Protocole réseau. LDAP = Lightweight Directory Access Protocol 4 Modèles – contenu (classes et attributs standards) – organisation (hiérarchie) – actions – sécurité (dont habilitations) Langage de requêtes spécifiquement adapté aux annuaires Interface de programmation du client LDAP Fichier d'échange de données LDIF (LDAP Data Interchange Format) LDAP020314-5 FAIT AVANCER L’INFORMATIQUE D’ENTREPRISE © Yphise Les annuaires LDAP LDAP (2/2) Malgré le standard des différences d'implémentation existent – Ex implémentation des habilitations – Il est conseillé d'utiliser les APIs de l'éditeur de l'annuaire – LDAP ne fournit pas de standard d’interconnexion ou de réplication Sous-ensemble de X.500 – LDAP est l'adaptation de DAP à TCP/IP – X500 fournit un modèle d'administration et un modèle de distribution et réplication – LDAP gère les droits d’accès moins finement que X.500 – X.500 est plus difficile à administrer LDAP020314-6 FAIT AVANCER L’INFORMATIQUE D’ENTREPRISE © Yphise Les annuaires LDAP Architecture logique Composantes de l'architecture logique – Classes, attributs (partir du standard) – L'arborescence (DIT - Directory Information Tree) Les critères qui jouent sur l'architecture logique – Bande passante disponible (en vue de distribution et de réplication) – Facilité d’administration (délégation de l'administration sur une branche) – Pérennité et évolutivité de l'arborescence – Nommage par le DN (Distinguished Name) en cascade x.y.z.fr LDAP020314-7 FAIT AVANCER L’INFORMATIQUE D’ENTREPRISE © Yphise Les annuaires LDAP Architecture physique 1/ Distribution physique d'un DIT (Directory Information Tree) d'un annuaire en n partitions – Une partition contient une branche ou une sous-branche du DIT – Chaque partition peut être sur une machine spécifique – Chaque partition peut être sur un site spécifique 2/ Réplication de l'annuaire Les critères qui jouent sur l'architecture physique – Performances – Organisation (responsabilités) – Cloisonnement des données de sécurité – Assurer la haute disponibilité (redondance des informations, choix des platesformes) LDAP020314-8 FAIT AVANCER L’INFORMATIQUE D’ENTREPRISE © Yphise Les annuaires LDAP Il n'y aura jamais un seul annuaire LDAP Il existe une multitude d'annuaires – DNS, etc/password, User NT... – Annuaires LDAP dans des matériels techniques, des applicatifs et progiciels et des infrastructures techniques – Difficulté de migration dans un annuaire unique les données gérées dans des bases relationnelles, des fichiers plats, etc. Vision unifiée de l'ensemble des annuaires possible par le méta annuaire Risques liés à l’utilisation d’un seul annuaire – Coût élevé : il faut refondre le système d’information de l’entreprise – Problèmes techniques : tous les applicatifs ne supportent pas LDAP – Crée un maillon faible dans le système d'information Principale valeur ajoutée des annuaires = méta annuaire LDAP020314-9 FAIT AVANCER L’INFORMATIQUE D’ENTREPRISE © Yphise Avantages et inconvénients de LDAP Avantages et inconvénients de LDAP Avantages – Ouverture et interopérabilité pour la consultation d'informations – Les progiciels ont tendance à être conformes à LDAP Inconvénients – API d’accès aux annuaires propriétaires – LDAP manque de couverture sur les fonctions d'administration – LDAP ne couvre pas toutes les fonctions (ex partitionnement et réplication) Nous recommandons de choisir un annuaire qui supporte LDAP LDAP020314-10 FAIT AVANCER L’INFORMATIQUE D’ENTREPRISE © Yphise Aperçu du marché Segmentation du marché Annuaires Système Annuaires Système X500 Annuaires de messagerie Marché initial LDAP020314-11 LDAP Méta Annuaires Annuaires multi usage Marché aujourd'hui FAIT AVANCER L’INFORMATIQUE D’ENTREPRISE © Yphise Aperçu du marché Solutions du marché Annuaires système – Active Directory (Microsoft) – NDS eDirectory (Novell) Annuaires X500 – DirX (Siemens Business Services) – eTrust Directory (Computer Associates) – InJoin (Critical Path) Annuaires multi usage – iPlanet Directory Server (iPlanet) – Lotus Domino (IBM/Lotus) – Oracle Internet Directory (Oracle) – SecureWay (IBM) – OpenLDAP LDAP020314-12 Méta annuaires – DirXML (Novell) – DirX Metahub (Siemens Business Services) – InJoin Metadirectory (Critical Path) – iPlanet Metadirectory (iPlanet) – Lotus LDAPSync (IBM/Lotus) – Microsoft Metadirectory Services (Microsoft) FAIT AVANCER L’INFORMATIQUE D’ENTREPRISE © Yphise Les différents types d’utilisation d’annuaires Les différents types d'utilisation d'annuaires Les méta annuaires Les annuaires d'entreprise Les annuaires système Les annuaires de sécurité Les annuaires pour PKI LDAP020314-13 FAIT AVANCER L’INFORMATIQUE D’ENTREPRISE © Yphise Les différents types d’utilisation d’annuaires Méta annuaires Les méta annuaires donnent une vision unifiée des annuaires Les méta annuaires facilitent l'administration Principe – Méta-annuaire = stockage, connecteurs, règles de transformation – Deux modèles: • Un annuaire fait référence aux autres annuaires (annuaire virtuel). Adapté aux changements fréquents. • Le méta annuaire réplique leurs données. Meilleures performance et robustesse. – On peut consulter le meta-annuaire d'un point central et voir les informations des autres annuaires – On peut mettre à jour avec un méta annuaire. Il faut définir qui peut mettre à jour (annuaire, méta-annuaire, les deux) LDAP020314-14 FAIT AVANCER L’INFORMATIQUE D’ENTREPRISE © Yphise Les différents types d’utilisation d’annuaires Méta annuaires et annuaires Utilisateurs Administration Administration centralisée des utilisateurs Méta annuaire SSO Référentiel annuaire annuaire annuaire Système d'exploitation Progiciel Application métier Réferentiel Référentiel Relations entre annuaires, méta annuaires, administration centralisée des utilisateurs et solutions de signature unique LDAP020314-15 FAIT AVANCER L’INFORMATIQUE D’ENTREPRISE © Yphise Les différents types d’utilisation d’annuaires Annuaires d'entreprise Les annuaires d'entreprise référencent des personnes – Employés et leurs attributs (tél, bureau, fonctions,...) pour des utilisations de type pages blanches – Annuaires de messagerie d'entreprise – Les annuaires de segmentation clients utilisés pour des projets B2C (utilisation atypique) LDAP020314-16 FAIT AVANCER L’INFORMATIQUE D’ENTREPRISE © Yphise Les différents types d’utilisation d’annuaires Annuaires systèmes Stocker – les ressources c-à-d les éléments actifs du réseau (ex serveurs, postes de travail, applicatifs, services, applicatifs) – la localisation de composants distribués – les utilisateurs (home directory, identifiant, nom, prénom) Localisation d'une ressource réseau – ex DNS – ex annuaires de composants pour un serveur d'application (ex Registry) LDAP020314-17 FAIT AVANCER L’INFORMATIQUE D’ENTREPRISE © Yphise Les différents types d’utilisation d’annuaires Annuaires de sécurité Stocker – Les utilisateurs – Les ressources – Les privilèges des utilisateurs sur les ressources Plusieurs niveaux de granularité possible – niveau système: qui a le droit d'accéder aux postes? – niveau application: à quelles applications l'utilisateur a-t-il le droit d'accéder? – niveau fonctionnalité: à quelles fonctions de l'application l'utilisateur a-t-il le droit d'accéder? En général un annuaire système intègre un annuaire de sécurité LDAP020314-18 FAIT AVANCER L’INFORMATIQUE D’ENTREPRISE © Yphise Les différents types d’utilisation d’annuaires Annuaires pour PKI Stockage des clés publiques 100% intégrés aux infrastructures PKI Incontournables pour mettre en oeuvre une infrastructure PKI LDAP020314-19 FAIT AVANCER L’INFORMATIQUE D’ENTREPRISE © Yphise Caractéristiques des projets de mise en oeuvre Etapes du projet Analyse et définition de la structure des informations (classes et attributs) Analyse et définition des habilitations Analyse et définition du DIT Analyse et définition de l'architecture physique (distribution, réplication) Déploiement de l'outillage Implémentation technique Chargement - Migration des informations Mise en production/exploitation LDAP020314-20 FAIT AVANCER L’INFORMATIQUE D’ENTREPRISE © Yphise Caractéristiques des projets de mise en oeuvre Pour tout projet Impliquer d’emblée tous les services concernés Prévoir la promotion de l’annuaire, expliquer son intérêt et assurer qu’il est utilisé LDAP020314-21 FAIT AVANCER L’INFORMATIQUE D’ENTREPRISE © Yphise Caractéristiques des projets de mise en oeuvre Méta annuaire Mise en oeuvre – Mapper les classes, attributs et DIT – Définir les processus d’entreprise, la gestion de l’événementiel – Peu de problème de gestion des règles de synchronisation dans les projets actuels parce que le schéma des annuaires est peu modifié Risques – Manque d'interopérabilité avec d'autres annuaires – Performances – Administration du méta-annuaire Ressources – Connaissance de l'organisation de l'entreprise et des utilisations des annuaires – Compétences d'administration LDAP LDAP020314-22 FAIT AVANCER L’INFORMATIQUE D’ENTREPRISE © Yphise Caractéristiques des projets de mise en oeuvre Annuaires d'entreprise Projet de migration de données (simple) Quelques jours suffisent si on dispose des outils de migration des données Accès aux informations : client lourd, Web, Wap, interfaces spécifiques Définir qui effectue les mises à jour, quand et comment LDAP020314-23 FAIT AVANCER L’INFORMATIQUE D’ENTREPRISE © Yphise Caractéristiques des projets de mise en oeuvre Annuaires systèmes Intégré au système d'exploitation Peu d'effort d'analyse pour la mise en oeuvre de l'annuaire Administration intégrée à l'administration système Compétences système LDAP020314-24 FAIT AVANCER L’INFORMATIQUE D’ENTREPRISE © Yphise Caractéristiques des projets de mise en oeuvre Annuaires de sécurité Gros projet d'architecture But à long terme: externaliser le stockage des utilisateurs dans l'annuaire Risques – Définition du bon niveau de granularité – Analyse et définition qui ne couvre pas l'ensemble des besoins – Non réutilisation par manque de synchronisation avec les projets Ressources requises – Connaissance des ressources dont on gère la sécurité – Connaissance des APIs de l'annuaire LDAP020314-25 FAIT AVANCER L’INFORMATIQUE D’ENTREPRISE © Yphise Caractéristiques des projets de mise en oeuvre Annuaires pour PKI Dans une solution de PKI: identique à annuaires systèmes Dans une solution maison: identique à annuaires de sécurité LDAP020314-26 FAIT AVANCER L’INFORMATIQUE D’ENTREPRISE