Votre produit a passé les sélections Yphise

© Yphise
Annuaires LDAP
et méta-annuaires
Laurent Mynard
Yphise
6 rue Beaubourg - 75004 PARIS
[email protected] - http://yphise.fr
T 01 44 59 93 00 F 01 44 59 93 09
LDAP020314-1
FAIT AVANCER L’INFORMATIQUE D’ENTREPRISE
© Yphise
Agenda
A propos d’Yphise
Les annuaires LDAP
Avantages et inconvénients de LDAP
Les différents types d’utilisation d’annuaires
– Les méta annuaires
– Les annuaires d’entreprise
– Les annuaires système
– Les annuaires de sécurité
– Les annuaires pour PKI
Aperçu du marché
Caractéristiques des projets de mise en oeuvre
LDAP020314-2
FAIT AVANCER L’INFORMATIQUE D’ENTREPRISE
© Yphise
A propos d’Yphise
Société française indépendante d’analyse et de conseil
Environ 1000 grands comptes clients dans le monde
Un bureau commercial aux Etats-Unis
Nous sommes l’analyste de référence en évaluation de progiciels
– Certifié ISO-9001 en évaluation de progiciels
– Nous évaluons 150 progiciels par an depuis 15 ans
Nous conseillons les directions informatiques de grands comptes en management et
en stratégie
Nous conseillons les directions informatiques de grands comptes en matière de
technologie, d’architecture et de progiciels
LDAP020314-3
FAIT AVANCER L’INFORMATIQUE D’ENTREPRISE
© Yphise
Les annuaires LDAP
Annuaire vs Base de données
Un annuaire est un cas particulier de base de données
– Nombreuses lectures, peu d'écritures
– Données de faible taille, structure simple
– Pas de traitement transactionnel nécessaire
– S'adresse à un grand nombre d'utilisateurs, donc besoin de distribution et de
répartition
– Besoin de distribution et de répartition des droits d'administration
Un outil d'annuaire est un ensemble de services adaptés aux informations qu'il
contient, qui peut stocker ces informations dans un SGBD
LDAP020314-4
FAIT AVANCER L’INFORMATIQUE D’ENTREPRISE
© Yphise
Les annuaires LDAP
LDAP (1/2)
Protocole réseau. LDAP = Lightweight Directory Access Protocol
4 Modèles
– contenu (classes et attributs standards)
– organisation (hiérarchie)
– actions
– sécurité (dont habilitations)
Langage de requêtes spécifiquement adapté aux annuaires
Interface de programmation du client LDAP
Fichier d'échange de données LDIF (LDAP Data Interchange Format)
LDAP020314-5
FAIT AVANCER L’INFORMATIQUE D’ENTREPRISE
© Yphise
Les annuaires LDAP
LDAP (2/2)
Malgré le standard des différences d'implémentation existent
– Ex implémentation des habilitations
– Il est conseillé d'utiliser les APIs de l'éditeur de l'annuaire
– LDAP ne fournit pas de standard d’interconnexion ou de réplication
Sous-ensemble de X.500
– LDAP est l'adaptation de DAP à TCP/IP
– X500 fournit un modèle d'administration et un modèle de distribution et réplication
– LDAP gère les droits d’accès moins finement que X.500
– X.500 est plus difficile à administrer
LDAP020314-6
FAIT AVANCER L’INFORMATIQUE D’ENTREPRISE
© Yphise
Les annuaires LDAP
Architecture logique
Composantes de l'architecture logique
– Classes, attributs (partir du standard)
– L'arborescence (DIT - Directory Information Tree)
Les critères qui jouent sur l'architecture logique
– Bande passante disponible (en vue de distribution et de réplication)
– Facilité d’administration (délégation de l'administration sur une branche)
– Pérennité et évolutivité de l'arborescence
– Nommage par le DN (Distinguished Name) en cascade x.y.z.fr
LDAP020314-7
FAIT AVANCER L’INFORMATIQUE D’ENTREPRISE
© Yphise
Les annuaires LDAP
Architecture physique
1/ Distribution physique d'un DIT (Directory Information Tree) d'un annuaire en n
partitions
– Une partition contient une branche ou une sous-branche du DIT
– Chaque partition peut être sur une machine spécifique
– Chaque partition peut être sur un site spécifique
2/ Réplication de l'annuaire
Les critères qui jouent sur l'architecture physique
– Performances
– Organisation (responsabilités)
– Cloisonnement des données de sécurité
– Assurer la haute disponibilité (redondance des informations, choix des platesformes)
LDAP020314-8
FAIT AVANCER L’INFORMATIQUE D’ENTREPRISE
© Yphise
Les annuaires LDAP
Il n'y aura jamais un seul annuaire LDAP
Il existe une multitude d'annuaires
– DNS, etc/password, User NT...
– Annuaires LDAP dans des matériels techniques, des applicatifs et progiciels et des
infrastructures techniques
– Difficulté de migration dans un annuaire unique les données gérées dans des bases
relationnelles, des fichiers plats, etc.
Vision unifiée de l'ensemble des annuaires possible par le méta annuaire
Risques liés à l’utilisation d’un seul annuaire
– Coût élevé : il faut refondre le système d’information de l’entreprise
– Problèmes techniques : tous les applicatifs ne supportent pas LDAP
– Crée un maillon faible dans le système d'information
Principale valeur ajoutée des annuaires = méta annuaire
LDAP020314-9
FAIT AVANCER L’INFORMATIQUE D’ENTREPRISE
© Yphise
Avantages et inconvénients de LDAP
Avantages et inconvénients de LDAP
Avantages
– Ouverture et interopérabilité pour la consultation d'informations
– Les progiciels ont tendance à être conformes à LDAP
Inconvénients
– API d’accès aux annuaires propriétaires
– LDAP manque de couverture sur les fonctions d'administration
– LDAP ne couvre pas toutes les fonctions (ex partitionnement et réplication)
Nous recommandons de choisir un annuaire qui supporte LDAP
LDAP020314-10
FAIT AVANCER L’INFORMATIQUE D’ENTREPRISE
© Yphise
Aperçu du marché
Segmentation du marché
Annuaires
Système
Annuaires
Système
X500
Annuaires
de messagerie
Marché initial
LDAP020314-11
LDAP
Méta
Annuaires
Annuaires
multi usage
Marché aujourd'hui
FAIT AVANCER L’INFORMATIQUE D’ENTREPRISE
© Yphise
Aperçu du marché
Solutions du marché
Annuaires système
– Active Directory (Microsoft)
– NDS eDirectory (Novell)
Annuaires X500
– DirX (Siemens Business Services)
– eTrust Directory (Computer Associates)
– InJoin (Critical Path)
Annuaires multi usage
– iPlanet Directory Server (iPlanet)
– Lotus Domino (IBM/Lotus)
– Oracle Internet Directory (Oracle)
– SecureWay (IBM)
– OpenLDAP
LDAP020314-12
Méta annuaires
– DirXML (Novell)
– DirX Metahub (Siemens Business
Services)
– InJoin Metadirectory (Critical Path)
– iPlanet Metadirectory (iPlanet)
– Lotus LDAPSync (IBM/Lotus)
– Microsoft Metadirectory Services
(Microsoft)
FAIT AVANCER L’INFORMATIQUE D’ENTREPRISE
© Yphise
Les différents types d’utilisation d’annuaires
Les différents types d'utilisation d'annuaires
Les méta annuaires
Les annuaires d'entreprise
Les annuaires système
Les annuaires de sécurité
Les annuaires pour PKI
LDAP020314-13
FAIT AVANCER L’INFORMATIQUE D’ENTREPRISE
© Yphise
Les différents types d’utilisation d’annuaires
Méta annuaires
Les méta annuaires donnent une vision unifiée des annuaires
Les méta annuaires facilitent l'administration
Principe
– Méta-annuaire = stockage, connecteurs, règles de transformation
– Deux modèles:
• Un annuaire fait référence aux autres annuaires (annuaire virtuel). Adapté aux
changements fréquents.
• Le méta annuaire réplique leurs données. Meilleures performance et
robustesse.
– On peut consulter le meta-annuaire d'un point central et voir les informations des
autres annuaires
– On peut mettre à jour avec un méta annuaire. Il faut définir qui peut mettre à jour
(annuaire, méta-annuaire, les deux)
LDAP020314-14
FAIT AVANCER L’INFORMATIQUE D’ENTREPRISE
© Yphise
Les différents types d’utilisation d’annuaires
Méta annuaires et annuaires
Utilisateurs
Administration
Administration centralisée des utilisateurs
Méta annuaire
SSO
Référentiel
annuaire
annuaire
annuaire
Système
d'exploitation
Progiciel
Application
métier
Réferentiel
Référentiel
Relations entre annuaires, méta annuaires, administration centralisée des utilisateurs et solutions de signature unique
LDAP020314-15
FAIT AVANCER L’INFORMATIQUE D’ENTREPRISE
© Yphise
Les différents types d’utilisation d’annuaires
Annuaires d'entreprise
Les annuaires d'entreprise référencent des personnes
– Employés et leurs attributs (tél, bureau, fonctions,...) pour des utilisations de type
pages blanches
– Annuaires de messagerie d'entreprise
– Les annuaires de segmentation clients utilisés pour des projets B2C (utilisation
atypique)
LDAP020314-16
FAIT AVANCER L’INFORMATIQUE D’ENTREPRISE
© Yphise
Les différents types d’utilisation d’annuaires
Annuaires systèmes
Stocker
– les ressources c-à-d les éléments actifs du réseau (ex serveurs, postes de travail,
applicatifs, services, applicatifs)
– la localisation de composants distribués
– les utilisateurs (home directory, identifiant, nom, prénom)
Localisation d'une ressource réseau
– ex DNS
– ex annuaires de composants pour un serveur d'application (ex Registry)
LDAP020314-17
FAIT AVANCER L’INFORMATIQUE D’ENTREPRISE
© Yphise
Les différents types d’utilisation d’annuaires
Annuaires de sécurité
Stocker
– Les utilisateurs
– Les ressources
– Les privilèges des utilisateurs sur les ressources
Plusieurs niveaux de granularité possible
– niveau système: qui a le droit d'accéder aux postes?
– niveau application: à quelles applications l'utilisateur a-t-il le droit d'accéder?
– niveau fonctionnalité: à quelles fonctions de l'application l'utilisateur a-t-il le droit
d'accéder?
En général un annuaire système intègre un annuaire de sécurité
LDAP020314-18
FAIT AVANCER L’INFORMATIQUE D’ENTREPRISE
© Yphise
Les différents types d’utilisation d’annuaires
Annuaires pour PKI
Stockage des clés publiques
100% intégrés aux infrastructures PKI
Incontournables pour mettre en oeuvre une infrastructure PKI
LDAP020314-19
FAIT AVANCER L’INFORMATIQUE D’ENTREPRISE
© Yphise
Caractéristiques des projets de mise en oeuvre
Etapes du projet
Analyse et définition de la structure des informations (classes et attributs)
Analyse et définition des habilitations
Analyse et définition du DIT
Analyse et définition de l'architecture physique (distribution, réplication)
Déploiement de l'outillage
Implémentation technique
Chargement - Migration des informations
Mise en production/exploitation
LDAP020314-20
FAIT AVANCER L’INFORMATIQUE D’ENTREPRISE
© Yphise
Caractéristiques des projets de mise en oeuvre
Pour tout projet
Impliquer d’emblée tous les services concernés
Prévoir la promotion de l’annuaire, expliquer son intérêt et assurer qu’il est utilisé
LDAP020314-21
FAIT AVANCER L’INFORMATIQUE D’ENTREPRISE
© Yphise
Caractéristiques des projets de mise en oeuvre
Méta annuaire
Mise en oeuvre
– Mapper les classes, attributs et DIT
– Définir les processus d’entreprise, la gestion de l’événementiel
– Peu de problème de gestion des règles de synchronisation dans les projets actuels
parce que le schéma des annuaires est peu modifié
Risques
– Manque d'interopérabilité avec d'autres annuaires
– Performances
– Administration du méta-annuaire
Ressources
– Connaissance de l'organisation de l'entreprise et des utilisations des annuaires
– Compétences d'administration LDAP
LDAP020314-22
FAIT AVANCER L’INFORMATIQUE D’ENTREPRISE
© Yphise
Caractéristiques des projets de mise en oeuvre
Annuaires d'entreprise
Projet de migration de données (simple)
Quelques jours suffisent si on dispose des outils de migration des données
Accès aux informations : client lourd, Web, Wap, interfaces spécifiques
Définir qui effectue les mises à jour, quand et comment
LDAP020314-23
FAIT AVANCER L’INFORMATIQUE D’ENTREPRISE
© Yphise
Caractéristiques des projets de mise en oeuvre
Annuaires systèmes
Intégré au système d'exploitation
Peu d'effort d'analyse pour la mise en oeuvre de l'annuaire
Administration intégrée à l'administration système
Compétences système
LDAP020314-24
FAIT AVANCER L’INFORMATIQUE D’ENTREPRISE
© Yphise
Caractéristiques des projets de mise en oeuvre
Annuaires de sécurité
Gros projet d'architecture
But à long terme: externaliser le stockage des utilisateurs dans l'annuaire
Risques
– Définition du bon niveau de granularité
– Analyse et définition qui ne couvre pas l'ensemble des besoins
– Non réutilisation par manque de synchronisation avec les projets
Ressources requises
– Connaissance des ressources dont on gère la sécurité
– Connaissance des APIs de l'annuaire
LDAP020314-25
FAIT AVANCER L’INFORMATIQUE D’ENTREPRISE
© Yphise
Caractéristiques des projets de mise en oeuvre
Annuaires pour PKI
Dans une solution de PKI: identique à annuaires systèmes
Dans une solution maison: identique à annuaires de sécurité
LDAP020314-26
FAIT AVANCER L’INFORMATIQUE D’ENTREPRISE