00:00:00
bienvenue à tous dans cette présentation
00:00:01
du service iam
00:00:03
nous allons commencer par les
00:00:05
fonctionnalités iam est un service qui
00:00:08
permet avant tout de centraliser la
00:00:10
gestion des utilisateurs individuels ou
00:00:13
en groupe de sécuriser les utilisateurs
00:00:17
grâce aux mfah le multi facteurs
00:00:20
authentification que nous avons déjà vu
00:00:22
lors de notre précédent ateliers il
00:00:26
permet de partager certains accès à
00:00:28
votre compte à w s de gérer la
00:00:31
granularité des permissions c'est-à-dire
00:00:33
d'autoriser de manière très fine l'accès
00:00:35
aux ressources également de proposer la
00:00:38
fédération d'identités à partir d'autres
00:00:40
annuaires déjà existants comme par
00:00:42
exemple dans votre entreprise vous avez
00:00:44
peut-être l'annuaire active directory
00:00:46
microsoft qui vous permet de vous
00:00:48
authentifier bon et bien à partir d'un
00:00:50
conte active directory micro ça vous
00:00:52
pourrait générer des jetons d'accès pour
00:00:55
accéder aux ressources à w s directement
00:00:59
ou l'accès via des comptes d'annuaires
00:01:02
de type facebook google et web access
00:01:06
vous pouvez aussi gérer très finement
00:01:09
les exigences de rotation des mots de
00:01:11
passe et leur complexité pour augmenter
00:01:13
encore la sécurité comme on l'avait vu
00:01:15
dans l'atelier précédent ce qui est
00:01:17
important de retenir dans l'idée c'est
00:01:19
que iam 10 qui fait quoi
00:01:22
il permet d'autoriser ou d'interdire un
00:01:25
groupe ou un rôle il permet aussi
00:01:29
d'enregistrer qui fait quoi
00:01:30
en fonction des situations il peut être
00:01:35
nécessaire de faire appel aux services
00:01:36
cloud treuil mais c'est un service qu'on
00:01:40
va pas abordé puisque c'est pas un des
00:01:41
principaux services mais en cadeau dit
00:01:43
claude reiss est la clé qui va permettre
00:01:47
d'obtenir les journaux de tous les accès
00:01:50
ont été utilisées donc un petit rappel
00:01:53
iam c'est pour identité un access
00:01:56
management
00:01:57
donc on l'a vu lorsqu'on crée un compte
00:02:00
amazon web services
00:02:01
on commence avec une seule identité de
00:02:04
connexion disposant d'un accès complet à
00:02:06
tous les services
00:02:07
indépendamment de la région elle accède
00:02:10
à tous les services et à tous les
00:02:11
ressources du compte
00:02:12
cette identité est appelée utilisateurs
00:02:15
racines c'est le conte route
00:02:17
elle est accessible après sept inscrits
00:02:22
avec l'adresse email et le mot de passe
00:02:24
pour se connecter directement à la
00:02:26
console ensuite dans le service iam on
00:02:29
va pouvoir créer des utilisateurs des
00:02:32
groupes des rôles et des stratégies à
00:02:38
partir du conte route
00:02:39
on va pouvoir créer des comptes
00:02:41
utilisateurs on va pouvoir les intégrer
00:02:45
dans un groupe
00:02:45
par exemple un groupe administrateur
00:02:48
pour un projet x ou y
00:02:50
on va pouvoir affecter une stratégie à
00:02:53
ce groupe
00:02:54
par exemple qui va permettre à ses
00:02:56
membres de créer des utilisateurs pour
00:02:59
des projets pour déléguer les tâches
00:03:01
d'administration une fois que ce groupe
00:03:04
d'administrateurs dispose des ressources
00:03:06
il n'est plus nécessaire d'utiliser le
00:03:10
compte racines le groupe administrateur
00:03:11
aura l'autorisation de créer des
00:03:15
utilisateurs dans iam et va donc pouvoir
00:03:18
accueillir des membres d'un projet les
00:03:21
intégrer dans un groupe qui pourront
00:03:23
créer aussi et les appeler développeurs
00:03:26
par exemple parce que c'est un projet
00:03:28
pour développer une application pour
00:03:31
exécuter ses commandes
00:03:32
il existe plusieurs interfaces
00:03:34
d'opération les deux moyens différents
00:03:37
d'octroyer des droits
00:03:38
donc soit vous autoriser l'accès à la
00:03:41
console pour son administration
00:03:44
l'utilisateur recevra donc un nom
00:03:46
d'utilisateur et un mot de passe
00:03:48
la seconde méthode c'est un accès en
00:03:49
ligne de commande en via ssh pour se
00:03:53
connecter une console et ensuite on peut
00:03:55
appeler des api le cas échéant donc les
00:03:58
api c'est des interfaces de
00:04:00
programmation applicative vous pouvez
00:04:02
taper des lignes de commande avec des
00:04:05
ordres qui eux mêmes utilisent des
00:04:08
commutateurs et vous allez pouvoir taper
00:04:10
des lignes de commande complexes qui
00:04:13
vont exécuter exactement ce que vous
00:04:14
voulez il ya la possibilité sous ce mode
00:04:17
d'exécuter exactement ce que vous pouvez
00:04:19
faire dans la console sauf que vous le
00:04:21
faites en ligne de commande
00:04:23
dans ce cas précis l'utilisateur ne
00:04:26
reçoit pas un nom d'utilisateur et un
00:04:28
mot de passe mais ce qu'on appelle une
00:04:30
access qui a dit pour un identifiant
00:04:32
d'accès donc une clé d'identification
00:04:34
d'accès et une secret' accès ce qui donc
00:04:38
c'est un clé d'accès secret qui se
00:04:42
retrouvent dans sous forme d'un fichier
00:04:45
que l'on télécharge et que l'on pourra
00:04:47
utiliser lors de la connexion dans notre
00:04:51
ligne de commande de connexion
00:04:54
maintenant qu'on vient de voir les deux
00:04:56
interfaces d'opération que ce soit en
00:04:58
console ou en ligne de commande
00:05:00
ces deux méthodes permettent de gérer
00:05:03
les utilisateurs et les groupes
00:05:05
dès le début on va créer des
00:05:07
utilisateurs les ajouter dans des
00:05:09
groupes est autorisé ou non ce qu'ils
00:05:12
vont pouvoir accéder à la console de
00:05:14
management et ceux qui ne vont pas
00:05:16
pouvoir accéder à la console également
00:05:20
comme je voulais dit tous les appels qui
00:05:21
ont été faits via les appels à pays
00:05:25
pourront être enregistrées dans le
00:05:29
service cloud trail et ses
00:05:30
enregistrements peuvent servir pour des
00:05:32
audits de sécurité
00:05:34
donc on a vu le comte racines on a vu
00:05:37
les utilisateurs on a vu les groupes on
00:05:39
a vu les stratégies voyons maintenant
00:05:41
comment les utilisateurs vont devoir
00:05:44
s'authentifier donc on a vu que pour les
00:05:47
accès console on a besoin d'un nom
00:05:49
d'utilisateur et un mot de passe pour
00:05:51
les accès en ligne de commande
00:05:53
on a besoin d'une accès ce qui est dit
00:05:55
est d'une secret' accès ce qui également
00:05:58
l'administrateur peut choisir d'activer
00:06:00
l'authentification à multiples facteurs
00:06:02
que ce soit avec un token matériel comme
00:06:05
un rsa security qui va être demandée
00:06:09
lorsque vous allez soit saisir votre mot
00:06:13
de passe à la console ou faire une
00:06:14
tentative de connexion directement en
00:06:19
ligne de commande
00:06:19
à ce moment là un second code vous sera
00:06:23
demandé mais c'est celui qui s'affiche
00:06:25
sur le token matériel que vous avez sous
00:06:28
les yeux alors sur la gauche du 359 vous
00:06:32
verrez il ya trois petits
00:06:34
tirait ses tirs et ont une valeur de 5
00:06:37
secondes et à chaque fois qu'il y en a
00:06:39
un qui disparaît voilà vous avez la
00:06:41
durée de vie du mot de passe et ce mot
00:06:42
de passe change régulièrement toutes les
00:06:46
dix vingt trente quarante cinquante
00:06:48
secondes ça dépend du réglage et donc
00:06:50
c'est ce qui garantit que vous êtes le
00:06:52
seul détenteur de ce mot de passe
00:06:54
aléatoire qui change et donc qui est
00:06:56
crypté grâce à un algorithme que seul
00:06:59
votre token dispose par ailleurs il
00:07:03
existe aussi les tokens logiciels comme
00:07:06
google authenticator on l'a déjà vu dans
00:07:09
la création de votre compte
00:07:11
c'est exactement la même chose mais en
00:07:14
méthode logiciel donc en résumé on a un
00:07:17
compte route qui permet de créer des
00:07:20
utilisateurs qui eux mêmes peuvent créer
00:07:22
des utilisateurs à qui ils affectent des
00:07:25
stratégies chez il est maintenant des
00:07:28
groupes i leur délègue des tâches
00:07:30
d'administration de développement
00:07:33
ses utilisateurs ont plusieurs méthodes
00:07:36
d'authentification la console ou les api
00:07:40
maintenant on va voir la troisième
00:07:42
grande utilité d'iam ce sont les rôles
00:07:44
alors en gros un rôle
00:07:46
c'est une stratégie ou plutôt un
00:07:50
ensemble de stratégies donc un rôle peut
00:07:53
être associé un utilisateur un groupe
00:07:56
d'utilisateurs mais aussi un service à w
00:07:59
s ou un conte à w s vous allez voir
00:08:01
c'est assez spécifique à wsc c'est
00:08:06
vraiment une comment dirais-je une offre
00:08:10
de granularité de réglage de finesse de
00:08:13
réglage de des droits que l'on trouve
00:08:17
quasiment nulle part ailleurs c'est à
00:08:18
dire que pour chaque rôle vous devez
00:08:20
définir une stratégie d'approbation et
00:08:22
une stratégie d'autorisation je
00:08:24
m'explique
00:08:25
le trust policy c'est ce qui va
00:08:28
permettre à une instance ec2 par exemple
00:08:32
qui est un service à w s qui est une
00:08:36
ressource qui n'est pas un utilisateur
00:08:37
qui n'est pas un groupe qui est une
00:08:40
instance une machine virtuelle
00:08:41
eh bien on va l'autorisé à accéder à
00:08:44
d'autres services à w s toutefois c'est
00:08:46
pas parce qu'on autorise à accéder
00:08:48
qu'elle a le droit d'y accéder je
00:08:50
m'explique c'est qu' il manque la
00:08:53
stratégie d'autorisation c'est qu'en
00:08:54
plus d'autoriser simplement le droit
00:08:58
d'accès il va falloir aussi définir ce à
00:09:02
quoi elle a le droit d'accéder dans ce
00:09:04
droit d'accès donc par exemple je vous
00:09:06
donnais inquiets des usages vous avez
00:09:11
une machine une instance ec2 qui va
00:09:13
générer des images ou des fichiers et
00:09:16
qui veut pouvoir aller les déposer dans
00:09:18
l'ès 3 eh bien il va falloir qu'elles
00:09:20
soient en conformité à la fois sur le
00:09:22
trois policiers sur l'access policy donc
00:09:24
sur les deux stratégies d'approbation et
00:09:26
d'autorisation il va falloir est en
00:09:28
conformité
00:09:29
mais alors là en réfléchissant deux
00:09:31
rondes vous allez me dire oui mais alors
00:09:32
moi je suis un utilisateur j'ai les
00:09:34
bonnes stratégies je fais partie du bon
00:09:35
groupe qu'elle est bon droit donc si je
00:09:37
mens quantifie sur une instance ec2 à ce
00:09:39
moment là j'aurais toutes les
00:09:42
possibilités d'aller écrire dans
00:09:44
d'autres services d'aller faire les
00:09:45
bonnes choses et c'est alors je vais
00:09:46
vous dire oui en effet mais l'objectif
00:09:49
c'est simplement de rendre une instance
00:09:51
eux complètement autonome ou un service
00:09:54
complètement autonome indépendamment du
00:09:56
fait qu' un utilisateur de connectés car
00:09:58
un développeur lui va vouloir une
00:10:00
application qui soit valable il va
00:10:02
falloir que auto skelling puis se
00:10:04
dédoubler des triplés augmenter le
00:10:07
nombre d'instances sanquer quelqu'un
00:10:09
derrière qui est des activités humaines
00:10:11
donc le bull du rôle c'est vraiment de
00:10:13
rendre autonome un service une ressource
00:10:16
et de lui donner exactement les
00:10:20
stratégies d'approbation qu'elle puisse
00:10:22
s'authentifier et d'autorisation pour
00:10:24
aller lire écrire faire le rôle pour
00:10:28
lequel elle sera développée mais alors
00:10:32
du coup quand créer un utilisateur iam
00:10:35
au lieu d'un rôle et quand est-ce qu'il
00:10:37
va falloir créer un rôle plutôt qu'un
00:10:39
utilisateur ce que c'est pas évident
00:10:41
même si on a quand même une bonne idée
00:10:43
donc voilà j'ai listé trois 3 grandes
00:10:49
lignes on va dire des décades usage donc
00:10:53
vous êtes tout seul vous avez créé une
00:10:55
start up
00:10:56
vous êtes administrateur de votre compte
00:10:57
à w s et vous travailler tout seul avec
00:11:00
votre compte donc vous avez créé avec
00:11:02
votre compte root un compte
00:11:03
administrateur à qui vous avez donné un
00:11:05
accès en étoile à toutes les ressources
00:11:07
et du coup vous n'utilisez pas le
00:11:10
contrôle vous utilisez un utilisateur
00:11:12
iam pour utiliser vos ressources à w s
00:11:15
sinon vous êtes pareils dans le même cas
00:11:17
de figure sauf que vous n'êtes pas tout
00:11:18
seul vous êtes 4 ou 5 mais vous avez pas
00:11:21
d'annuaires d'entreprises ou de contes
00:11:26
de fédérations web donc vous utilisez en
00:11:30
fait iam comme un annuaire pour vous
00:11:33
authentifier et exécuter les tâches que
00:11:38
vous avez à réaliser avec que ce soit un
00:11:42
excès console ou un accès programmatique
00:11:45
et sinon vous avez besoin d'utiliser que
00:11:47
l'interface programmatique donc
00:11:49
uniquement la ligne de commande
00:11:51
bah ce moment-là vous créez un
00:11:52
utilisateur et vous ne lui donnez pas
00:11:55
d'accès à la console où il donnait
00:11:57
simplement un accès programmatique et là
00:11:58
vous n'avez pas non plus besoin de créer
00:12:01
drôle vous avez créé des utilisateurs
00:12:03
qui eux peuvent utiliser les ressources
00:12:05
voilà dans ces cas de figure vous n'avez
00:12:07
pas besoin d'euros mais alors qu'en
00:12:12
créer un rôle
00:12:13
iam au lieu d'un utilisateur comme je
00:12:15
voulais expliqué voilà vous avez créé
00:12:17
une application qui s'exécutent sur une
00:12:18
instance ec2 et cette application fait
00:12:21
des requêtes à partir de l'instant ce
00:12:23
ces deux donc je vais créer un rôle
00:12:25
adéquat avec les bonnes approbation et
00:12:29
les bonnes autorisation pour cette
00:12:30
instance et à ce moment là mon
00:12:32
application héritera à partir de cet
00:12:35
instant ce c2d bon droit ensuite vous
00:12:38
créer une application qui fonctionne sur
00:12:40
un téléphone mobile qui fait des
00:12:41
requêtes lws est bien là vous allez
00:12:43
pouvoir permettre grâce à une fédération
00:12:46
web grâce à votre application qui elle
00:12:49
tourne sur une instance ec2 bas tout
00:12:52
simplement de créer un rôle qui va
00:12:55
permettre d'obtenir les approbations et
00:12:57
les autorisations pour votre application
00:13:00
et si ni sinon an dernier les
00:13:03
utilisateurs de votre entreprise sont
00:13:05
authentifiés dans votre réseau
00:13:06
d'entreprise et veulent pouvoir utiliser
00:13:08
à w s book sous-entendu ils ne sont pas
00:13:11
authentifié dans à w s ils sont
00:13:13
authentifiés dans votre réseau
00:13:15
d'entreprises donc un annuaire ldap que
00:13:19
ce soit un active directory hun sen ldap
00:13:22
un peu importe sans avoir à se
00:13:26
reconnecter
00:13:26
c'est dire que j'arrive le matin je
00:13:28
m'auto antifi sur mon poste de travail à
00:13:31
mon boulot et bien à ce moment là
00:13:33
j'hérite grâce au rôle et bien d'une
00:13:37
fédération d'identités qui va me
00:13:39
permettre d'aller grâce à ariane grâce
00:13:43
au rôle iam puisque je vais faire partie
00:13:45
d'un groupe qui lui disposera du rôle
00:13:48
est bien d'aller notifiés sur des
00:13:50
ressources à w est sans avoir me re
00:13:52
authentifiée voilà donc j'économise pas
00:13:55
mal de temps puisque je suis déjà
00:13:56
authentifié j'hérite de des stratégies
00:14:00
d'approbation et d'autorisation offert
00:14:02
par le rôle donc on a vu les stratégies
00:14:04
mais on n'a pas vu ce qu'est une
00:14:07
stratégie donc maintenant on va aller
00:14:09
jeter un petit coup d'oeil du côté des
00:14:12
stratégies m
00:14:13
en gros c'est un fichier texte au format
00:14:15
gisen pour javascript object notation
00:14:18
c'est tout simplement du texte un petit
00:14:21
peu au format programmation c'est à dire
00:14:24
un code un dante et mais qui est lisible
00:14:28
très simplement
00:14:28
c'est à dire que ligne par ligne on va
00:14:31
donner des autorisations à différentes
00:14:37
ressources en les nommant directement
00:14:40
avec une notation un peu particulière
00:14:44
donc que vous pourrez mémoriser grâce
00:14:48
aux moyens mnémotechniques parc qui qui
00:14:52
est en fait le principal l'action la
00:14:56
ressource et la condition qu'on va voir
00:14:58
en détail ce que c'est alors ce qui va
00:15:01
suivre va vous paraître un peu technique
00:15:02
pour certains mais rassurez-vous les
00:15:04
stratégies sont sont très puissantes
00:15:07
mais reste simple à appréhender
00:15:09
déjà le principal donc le principal ça
00:15:12
peut désigner une ou plusieurs entités
00:15:15
existantes une entité est désigné par un
00:15:19
arn pour amazon ressources ne retenez
00:15:23
adn
00:15:24
sauf que c'est l'adn de la ressource
00:15:26
donc c'est la rn donc un arn ça va être
00:15:29
une suite de chiffres un identifiant qui
00:15:32
va vous permettre d'identifier par
00:15:34
exemple une instance ec2 un utilisateur
00:15:38
un groupe n'importe quoi qui désigne une
00:15:44
ressource dispose d'un iron donc voici
00:15:48
en images l'appel d'un arn et la
00:15:52
position d'un arn dans un fichier gisen
00:15:56
vous pouvez avoir un compte des comptes
00:15:59
spécifiques un utilisateur iam
00:16:01
individuel un arn un rôle spécifique un
00:16:04
arn tout ce qui est dans à w s dispose
00:16:08
d'un arn par contre un arn d'un
00:16:10
utilisateur fédérer non il n'y en a pas
00:16:12
plus que vous déléguer la tâche
00:16:15
d'identifier la ressource à un annuaire
00:16:18
autres voilà donc ce n'est pas il n'y a
00:16:23
pas de bas et rennes pour ce cas précis
00:16:25
un arn c'est donc pour rappel amazon
00:16:28
ressources ning ensuite on passe à
00:16:32
l'ordre action donc l'action ça décrit
00:16:35
le type d'accès qui doit autoriser ou
00:16:36
refuser alors je vais essayer d'être
00:16:38
assez clair donc quand on regarde une
00:16:40
action et ses 2 on voit ec2 de poing
00:16:43
starting stencil ça sous-entend que
00:16:45
cette action et celle de démarrer les
00:16:48
instances ec2 donc si cette action est
00:16:52
listée dans le fichier gisors et que
00:16:55
derrière vous avez une autorisation sur
00:17:00
cette ressource est bien à ce moment là
00:17:01
vous pourrez exécuter
00:17:03
pareil pour l'action iam on à l'action
00:17:07
iam challenge password c'est c'est le
00:17:10
type d'action serait temps que vous
00:17:12
n'avez pas l'autorisation de l'exécuter
00:17:14
mais en tout cas c'est comme ça qu'on la
00:17:16
dénomme et cetera et cetera dans les
00:17:19
autres actions mais vous avez aussi le
00:17:21
note action
00:17:22
lui il offre aussi un petit peu plus de
00:17:25
souplesse et c'est un petit peu ambigu
00:17:26
parfois mais je vous ai pris un exemple
00:17:28
qui est un cas d'école c'est si vous
00:17:30
souhaitez utiliser
00:17:31
autoriser tous les services toutes les
00:17:33
ressources à quelqu'un mais payam par
00:17:35
exemple et bien vous pouvez utiliser
00:17:38
l'autorisation l'effet halo mais notre
00:17:43
action nina ya donc vous définissez pas
00:17:45
les actions qui seront autorisés dans à
00:17:48
m même si les ressources son étoile
00:17:50
ces étoiles sauf iam puisque aille à
00:17:54
moreuil catégorisation dans une absence
00:17:59
d'actions toutefois il faut préciser et
00:18:02
c'est pour ça que j'ai choisi cet
00:18:03
exemple c'est que ce n'est pas un refus
00:18:05
explicite c'est donc pas une
00:18:06
interdiction formelle le halo dans les
00:18:11
faits est présent donc il autorise
00:18:13
l'utilisateur mais il pourrait très bien
00:18:15
cet utilisateur hérité ou disposer d'une
00:18:18
autre stratégie distincts qui pourraient
00:18:20
lui octroyer des droits iam spécifiques
00:18:23
quand on veut réellement interdire un
00:18:26
accès on remplace à l'eau par dina et on
00:18:32
l'utilisent avec actions comme ça on dit
00:18:34
sur cette action j'interdis l'exécution
00:18:39
donc là on est très clair là-dessus le
00:18:42
note action n'est pas indigne attention
00:18:44
ça peut être un piège mais là c'est un
00:18:46
peu technique mais vous avez bien
00:18:48
compris qu'avec ce genre de capacité de
00:18:52
réglages on peut régler très finement et
00:18:55
très simplement pour dire tous ces
00:18:57
utilisateurs ont le droit de faire tout
00:18:59
ça sauf ça ou pas ça donc c'est quand
00:19:03
même assez pratique et ça simplifie
00:19:05
quand même pas mal l'administration au
00:19:08
niveau des stratégies
00:19:09
ensuite on va passer aux conditions
00:19:12
qu'un une condition sa liste
00:19:16
les critères qui doivent être valides
00:19:18
pour autoriser ou refuser une action et
00:19:21
ça supporte les haies et les ou pour
00:19:25
conditionner une action à plusieurs
00:19:27
critères voir plusieurs conditions à
00:19:29
plusieurs critères donc là on peut aller
00:19:31
assez loin je vous donnais un
00:19:33
un exemple de conditions si on veut
00:19:36
utiliser les
00:19:39
les autorisations de connexion d'un
00:19:42
utilisateur à partir d'une fourchette de
00:19:46
temps d'une tranche horaire si leur se
00:19:49
situe après midi ou après 15h et
00:19:55
qu'elles soient d'origine réseau à
00:20:00
partir d'une certaine ip spécifique ou
00:20:03
d'une certaine plage ip
00:20:04
voilà vous avez la possibilité de
00:20:07
conditionner tout c'est ces paramètres
00:20:13
toutes ces conditions dans justement
00:20:16
l'ordre conditions dans le gist donc on
00:20:19
va pouvoir appliquer ces stratégies
00:20:20
liées aux utilisateurs un w s ou à des
00:20:23
groupes ou à des instances à des rôles
00:20:26
enfin tout ce qu'ils disposent d'un arn
00:20:28
mais comme on l'a vu la fédération
00:20:30
d'identités elle ne permet pas ce qu'on
00:20:34
va faire c'est qu'on va créer des
00:20:35
groupes et on va créer des stratégies et
00:20:38
on va pouvoir utiliser les fédérations
00:20:42
d'identité pour des utilisateurs qui
00:20:45
disposent d'une identité d'entreprise
00:20:46
donc un autre annuaire que iam des
00:20:51
utilisateurs imaginez vous avez une
00:20:53
entreprise qui veut migrer sur un w est
00:20:55
ce parce que vous avez une application
00:20:59
micro services qui nécessitent d'avoir
00:21:02
un environnement cloud élastique
00:21:04
scalable et puis de payer uniquement
00:21:07
lorsque les utilisateurs se connectent
00:21:09
et consomme sa élite quand même d'avoir
00:21:12
à remonter toute une infrastructure et
00:21:14
puis vous avez une application qui coûte
00:21:19
pas très cher
00:21:19
problème c'est que vous êtes six ans
00:21:21
dans l'entreprise donc vous allez pas
00:21:23
prendre un administrateur pour aller
00:21:24
dans iam pour créer 600 comptes alors
00:21:26
que vous avez déjà des administrateurs
00:21:28
qui dans un annuaire microsoft ou un
00:21:30
autre broker vous allez disposer déjà de
00:21:34
cette base de compte cet annuaire
00:21:39
d'utilisateurs donc le l'idéal c'est
00:21:42
d'utiliser donc un broker propriétaire
00:21:44
quel qu'il soit mais qui soit compatible
00:21:46
avec la norme symbole ce qui veut dire
00:21:48
security assertion markup language qui
00:21:52
qui en fait une norme qui permet l
00:21:55
échange uniquement de données
00:21:59
d'authentification et d'autorisation
00:22:00
entre domaines de sécurité
00:22:03
donc ça veut dire que votre utilisateur
00:22:06
par exemple active directory va pouvoir
00:22:11
utiliser ces crédits au sol donc ce ses
00:22:15
jetons d'authentification pour venir
00:22:19
s'authentifier directement auprès des
00:22:25
ressources à w est donc le processus il
00:22:28
se passe comme cela donc cesser c'est
00:22:31
assez simple et c'est un peu tout le
00:22:32
temps la même chose
00:22:33
l'utilisateur seront sur le portail de
00:22:36
l'organisation puis choisit d'accéder à
00:22:39
la wm management console par exemple
00:22:43
active directory fédération services iis
00:22:46
il veut accéder à ce service le portail
00:22:49
en reçoit sa demande et vérifie
00:22:50
l'identité de l'utilisateur dans
00:22:52
l'organisation mais l'utilisateur fait
00:22:54
pas partie des w est ce donc
00:22:56
il génère une réponse d'authentification
00:23:00
compatible sa main et il va intégrer
00:23:05
dans ses paquets de retour les
00:23:08
informations d'authentification qui
00:23:10
identifie l'utilisateur et inclut les
00:23:13
attributs spécifiques à celui ci
00:23:16
du coup ils forgent une espèce
00:23:18
d'autorisation de paquets d'autorisation
00:23:21
et il lui dit il tiens voilà maintenant
00:23:24
avec ça tu vas pouvoir aller recruter
00:23:27
directement le service donc le
00:23:31
navigateur reçoit le paquet il est
00:23:33
automatiquement redirigé vers le point
00:23:35
de terminaison à w s single sign-on qui
00:23:39
est le service et ses sens et il publie
00:23:42
l'assertion sameul donc le paquet en
00:23:45
fait
00:23:45
et à partir de là le point de
00:23:47
terminaison ils demandent les
00:23:49
informations d'identification de
00:23:50
sécurité temporaire pour le compte
00:23:52
utilisateur et il lui créer une url de
00:23:55
connexion automatique à la console qui
00:23:58
utilisent ces informations et du coup à
00:24:00
w s renvoie directement l'url de
00:24:03
connexion aux clients sous la forme
00:24:05
d'une
00:24:05
direction donc l'utilisateur ne voit
00:24:07
rien tout ça c'est transparent alors à
00:24:10
ce moment-là le navigateur client est
00:24:14
redirigée vers le management console à w
00:24:18
s est il est authentifié en tant
00:24:21
qu'utilisateur donc là je vous ai donné
00:24:25
un exemple avec un annuaire d'entreprise
00:24:30
de type active directory ou un broker un
00:24:32
propriétaire de deux sessions et bien
00:24:36
pour les fédération d'identités web
00:24:38
c'est à peu près la même chose sauf que
00:24:40
l'annuaire au lieu d'être votre active
00:24:42
directory ou votre annuaire d'entreprise
00:24:44
et bien en fait il va utiliser amazon
00:24:46
facebook ou google ou un autre
00:24:49
fournisseur d'identité web
00:24:50
de la même façon c'est totalement
00:24:53
transparent pour l'utilisateur je vous
00:24:55
ai mis le schéma simplement pour
00:24:56
démystifier un peu la problématique et
00:25:00
vous expliquer techniquement comment ça
00:25:03
marche mais tout en restant dans une
00:25:04
vision assez assez large
00:25:05
voyez qu'en fait il se passe cette étape
00:25:09
est en fait ça se passe très rapidement
00:25:11
et vous ne vous rendez compte de rien la
00:25:13
mécanique et automatique et les droits
00:25:16
sont directement appliquée en fonction
00:25:18
de ce qu'ils vous ont été attribués donc
00:25:23
voilà je vous ai mis le schéma avec une
00:25:26
identité sociale
00:25:27
c'est exactement pareil et on peut faire
00:25:32
la même chose avec une application
00:25:33
mobile par exemple vous avez dû
00:25:35
remarquer régulièrement vous téléchargez
00:25:38
une application sur votre téléphone sur
00:25:41
une tablette et puis on vous propose au
00:25:44
lieu de créer un compte dans un nouvel
00:25:46
annuaire un nouveau broker à chaque fois
00:25:48
créé un compte créé un nom d'utilisateur
00:25:50
et un mot de passe etc
00:25:51
les les développeurs d'applications
00:25:54
savent que vous avez déjà un compte
00:25:55
facebook un compte google vous avez pas
00:25:58
besoin forcément de recréer un compte
00:26:00
systématiquement donc il vous propose
00:26:02
créer un compte où vous authentifier via
00:26:06
une fédération d'identités web mais il
00:26:08
l'appelle pas comme ça il faut mettre
00:26:09
juste l'icône ou google
00:26:10
connectez vous avec votre compte google
00:26:12
ou avec votre compte facebook
00:26:13
eh bien c'est exactement ce mécanisme là
00:26:16
qui est derrière voilà donc nous avons
00:26:20
vu depuis la création du contrôle des
00:26:24
utilisateurs des groupes des stratégies
00:26:27
qui sont affectés à des rôles qui
00:26:30
permettent à des ressources de
00:26:33
s'authentifier d'avoir des accès voire
00:26:36
même si on n'a pas de comptes à w s de
00:26:38
faire de la fédération web
00:26:39
la dernière chose qui nous reste est
00:26:41
avec à voir avec iam c'était la rotation
00:26:44
et la stratégie des passes c'est à dire
00:26:47
un utilisateur doit régulièrement pour
00:26:51
des raisons de sécurité avoir un mot de
00:26:53
passe durci ce qu'on appelle donc à
00:26:56
plusieurs plusieurs caractères donc en
00:26:58
général plus que huit
00:27:00
il doit avoir une majuscule des chiffres
00:27:04
des lettres est évidemment avoir un mot
00:27:07
de passe qui change c'est à dire la
00:27:10
rotation du mot de passe c'est avoir la
00:27:13
possibilité d'obliger l'utilisateur en
00:27:15
envoyant des messages d'avertissement
00:27:17
toutes les 90 jours 120 jours en lui
00:27:20
disant attention votre mot de passe
00:27:21
c'est tout le temps même pour des
00:27:23
raisons de sécurité si quelqu'un tombe
00:27:24
sur ce mot de passe c'est pas c'est pas
00:27:27
super donc ce qu'on vous conseille c'est
00:27:29
d'en changer sans pour autant d'en
00:27:31
changer toutes les semaines mais en
00:27:32
changé au moins tous les trois quatre
00:27:34
mois simplement pour dire que les mots
00:27:36
de passe ont une durée de vie est donc
00:27:39
dans iam
00:27:40
on avait déjà vu lors de la création du
00:27:43
compte un les possibilités mais garder
00:27:45
ça à l'esprit si vous avez bientôt un
00:27:48
projet qui va tourner autour de w s
00:27:50
voilà de ne pas omettre cette rotation
00:27:54
cette stratégie de durcissement des
00:27:58
méthodes d'authentification
00:28:01
voilà c'est important donc pensez-y
00:28:04
maintenant qu'on a fait le tour ce que
00:28:06
je vous propose c'est d'aller mettre les
00:28:08
mains dans le cambouis et de passer à la
00:28:10
pratique donc si vous avez le temps on y
00:28:12
va
