{"id":1555,"date":"2016-11-03T13:34:00","date_gmt":"2016-11-03T11:34:00","guid":{"rendered":"http:\/\/www.identitycosmos.com\/?p=1555"},"modified":"2016-11-03T13:34:00","modified_gmt":"2016-11-03T11:34:00","slug":"comprendre-les-fonctions-pam-de-mim-et-les-nouveautes-sur-pam-apportees-par-mim-sp1","status":"publish","type":"post","link":"https:\/\/identitycosmos.com\/index.php\/2016\/11\/03\/comprendre-les-fonctions-pam-de-mim-et-les-nouveautes-sur-pam-apportees-par-mim-sp1\/","title":{"rendered":"Comprendre les fonctions PAM de MIM et les nouveaut\u00e9s sur PAM apport\u00e9es par MIM SP1"},"content":{"rendered":"

\"privilaged-access\"<\/a><\/p>\n

 <\/p>\n

La gestion des privil\u00e8ges et des acc\u00e8s \u00e0 des comptes d’administration est une probl\u00e9matique r\u00e9currente chez les clients d’une certaine taille. Plus l’infrastructure grossie, plus les applications sont nombreuses, plus les services IT sont d\u00e9coup\u00e9s (merci ITIL…) plus les comptes dits “\u00e0 pouvoir” se multiplient dans l’\u00e9cosyst\u00e8me IT des entreprises.<\/p>\n

Ici, point de salut avec le Cloud, IT locale ou d\u00e9localis\u00e9e, le nombre de comptes \u00e0 privil\u00e8ges ne r\u00e9duit pas dans le nuage, parfois, il augmente, car la situation actuelle est hybride, de l’IT locale et de l’IT dans le nuage, donc multiplication des comptes \u00e0 privil\u00e8ge, repr\u00e9sentant \u00a0des populations d’administrateurs ou de responsables IT parfois diff\u00e9rentes.<\/p>\n

De nombreuses solutions sur le march\u00e9 existent pour g\u00e9rer ces comptes, j’ai commenc\u00e9 un article qui parcourra les diff\u00e9rents mod\u00e8les, mais je voulais mettre en avant la solution propos\u00e9e notamment par Microsoft car elle a un caract\u00e8re innovant.<\/p>\n

De prime abord, la fonction PAM propos\u00e9e par MIM semble lourde, elle l’est. En effet, le principe est globalement (je fais simple) de cr\u00e9er une for\u00eat d\u00e9di\u00e9e \u00e0 la gestion des comptes ou des groupes qui contiennent des comptes \u00e0 privil\u00e8ges. On parle ici d’un for\u00eat “bastion”, oui vous avez bien lu, il faut une nouvelle for\u00eat, et cela peut rebuter les comptes de tailles moyennes, car cela signifie, de nouvelles proc\u00e9dures, des outils de backup, de supervision, etc…<\/p>\n

Mais, pour les comptes d’une certaine taille, je dirais au del\u00e0 de 10 000 comptes, cette approche d’architecture peut apporter des avantages:<\/p>\n

1\/ on utilise ici des technologies connues & fiables: Active Directory<\/p>\n

2\/ la solution sera de facto compatible avec tous les syst\u00e8mes acceptant \u00a0Active Directory comme r\u00e9f\u00e9rentiel de comptes et de groupes, les technologies Microsoft bien sur, mais aussi, Linux, Unix, MacOS, etc… ca commence donc \u00e0 devenir int\u00e9ressant<\/p>\n

3\/ la solution se base sur des protocoles reconnus, tel que Kerberos par exemple<\/p>\n

Je vous conseille cette page sur le site de documentation de Microsoft:\u00a0https:\/\/docs.microsoft.com\/en-us\/microsoft-identity-manager\/pam\/privileged-identity-management-for-active-directory-domain-services<\/a> qui d\u00e9crit les fonctionnalit\u00e9s dans les grandes lignes et l’infrastructure aff\u00e9rente.<\/p>\n

Les nouveaut\u00e9s du SP1 de MIM 2016.<\/strong><\/span><\/p>\n

Bon, le SP1 de MIM 2016 apporte des choses int\u00e9ressantes \u00e0 la solution, comme par exemple le support officiel des diff\u00e9rentes browsers web du march\u00e9, mais concernant le module PAM, ce qui me semble le plus int\u00e9ressant, c’est la possibilit\u00e9 de scripter l’int\u00e9gralit\u00e9 de l’installation du module PAM via PowerShell. Cela ouvre de nouveaux horizons car les scripts de configurations ne s’arr\u00eatent pas uniquement \u00e0 la partie PAM de MIM mais prennent aussi en compte les param\u00e8tres n\u00e9cessaires comme la partie Active Directory, le SID filtering, la partie Silo Active Directory, etc…<\/p>\n

\"mimsp1_pam_powershell\"<\/a><\/p>\n

Il est donc imaginable, soyons fous, de d\u00e9ployer des instances d\u00e9di\u00e9es pour des environnements diff\u00e9rents au sein d’une m\u00eame entreprise; pourquoi pas mod\u00e9liser la chose sous forme d’appliance pr\u00eate \u00e0 l’installation et dont le setup final se ferait via une interface web pilotant le PowerShell ?<\/p>\n

Si la gestion des privil\u00e8ges est dans votre p\u00e9rim\u00e8tre, et que vous travaillez dans une entreprise de plus de 10 000 employ\u00e9s, regardez la solution PAM de MIM, elle peut \u00eatre une voie parmi d’autres…<\/p>\n

 <\/p>\n

 <\/p>\n

 <\/p>\n

 <\/p>\n","protected":false},"excerpt":{"rendered":"

 <\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6,7],"tags":[14,132,151,178,186],"class_list":["post-1555","post","type-post","status-publish","format-standard","hentry","category-strategie","category-technique","tag-active-directory","tag-kerberos","tag-mim","tag-pam","tag-pim"],"_links":{"self":[{"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/posts\/1555","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/comments?post=1555"}],"version-history":[{"count":0,"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/posts\/1555\/revisions"}],"wp:attachment":[{"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/media?parent=1555"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/categories?post=1555"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/tags?post=1555"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}