{"id":980,"date":"2015-05-17T16:32:15","date_gmt":"2015-05-17T14:32:15","guid":{"rendered":"http:\/\/www.identitycosmos.com\/?p=980"},"modified":"2015-05-17T16:32:15","modified_gmt":"2015-05-17T14:32:15","slug":"microsoft-prepare-un-outil-de-gestion-des-privileges-base-sur-mim-mfa-et-kerberos","status":"publish","type":"post","link":"https:\/\/identitycosmos.com\/index.php\/2015\/05\/17\/microsoft-prepare-un-outil-de-gestion-des-privileges-base-sur-mim-mfa-et-kerberos\/","title":{"rendered":"Microsoft pr\u00e9pare un outil de gestion des privil\u00e8ges bas\u00e9 sur MIM, MFA et Kerberos"},"content":{"rendered":"

\"skull\"<\/a>Comme vous le savez, la prochaine version de Forefront Identity Manager (FIM) s’appellera Microsoft Identity Manager (MIM) et sortira vraisemblablement courant 2015 (voir les annonces de roadmap ici<\/a>)\u00a0. Cette nouvelle version apportera une nouveaut\u00e9 extr\u00eamement int\u00e9ressante pour les grandes organisations: un bastion pour la gestion des privil\u00e8ges.<\/p>\n

Pour faire simple, le principe est la cr\u00e9ation d’une for\u00eat bastion (avec des DC Windows 2012R2 ou vNext), la cr\u00e9ation d’un trust (la for\u00eat de production approuve la for\u00eat bastion), la cr\u00e9ation des groupes AD d’administration (ceux dont l’appartenance permet l’ex\u00e9cution de commande \u00e0 privil\u00e8ge) dans la for\u00eat bastion (avec le m\u00eame SID que les groupes qui sont dans la for\u00eat de production),\u00a0et le “vidage” des groupes d’administration dans la for\u00eat de production.<\/p>\n

\"PAMFIM\"<\/a><\/p>\n

Ensuite, un administrateur peut faire une demande via MIM ou via un service web utilisant les APIs de MIM afin de “devenir” administrateur d’une partie du SI pendant un temps donn\u00e9. La solution est capable de g\u00e9rer l’appartenance temporaire \u00e0 ce groupe, fournie du reporting (bon, ok, c’est un peu de la bricole pour l’instant le c\u00f4t\u00e9 reporting…), l’int\u00e9gration avec MFA pour l’authentification \u00e0 deux facteurs lors d’une demande particuli\u00e8re et le pilotage du TGT du ticket kerberos pour \u00eatre certain que l’administrateur ne pourra pas b\u00e9n\u00e9fici\u00e9 de l’appartenance au groupe plus longtemps que pr\u00e9vu.<\/p>\n

Voici un sch\u00e9ma r\u00e9sumant la fonction:<\/p>\n

\"MIM-PAM\"<\/a><\/p>\n

Il reste \u00e0 v\u00e9rifier avec le temps comment les entreprises vont appr\u00e9hender cette nouvelle fonction et comment elles vont accepter le fait d’avoir \u00e0 rajouter une for\u00eat bastion pour g\u00e9rer les comptes \u00e0 privil\u00e8ge.<\/p>\n

 <\/p>\n

 <\/p>\n","protected":false},"excerpt":{"rendered":"

Comme vous le savez, la prochaine version de Forefront Identity Manager (FIM) s’appellera Microsoft Identity Manager (MIM) et sortira vraisemblablement courant 2015 (voir les annonces de roadmap ici)\u00a0. Cette nouvelle version apportera une nouveaut\u00e9 extr\u00eamement int\u00e9ressante pour les grandes organisations: un bastion pour la gestion des privil\u00e8ges.<\/p>\n

Pour faire simple, le principe est la cr\u00e9ation d’une for\u00eat bastion (avec des DC Windows 2012R2 ou vNext), la cr\u00e9ation d’un trust (la for\u00eat de production approuve la for\u00eat bastion), la cr\u00e9ation des groupes AD d’administration (ceux dont l’appartenance permet l’ex\u00e9cution de commande \u00e0 privil\u00e8ge) dans la for\u00eat bastion (avec le m\u00eame SID que les groupes qui sont dans la for\u00eat de production),\u00a0et le “vidage” des groupes d’administration dans la for\u00eat de production.<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7],"tags":[14,132,151,178],"class_list":["post-980","post","type-post","status-publish","format-standard","hentry","category-technique","tag-active-directory","tag-kerberos","tag-mim","tag-pam"],"_links":{"self":[{"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/posts\/980","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/comments?post=980"}],"version-history":[{"count":0,"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/posts\/980\/revisions"}],"wp:attachment":[{"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/media?parent=980"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/categories?post=980"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/identitycosmos.com\/index.php\/wp-json\/wp\/v2\/tags?post=980"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}