Descriptif du cahier des charges Conformité des accès : Identités, annuaire, SSO

Sommaire détaillé du cahier des charges Conformité des accès : Identités, annuaire, SSO

Cahier des charges Conformité des accès : Identités, annuaire, SSO

Cahier des charges Conformité des accès : Identités, annuaire, SSO

Cahier des charges Conformité des accès : Identités, annuaire, SSO

La plupart des applications informatiques nécessitent une gestion des utilisateurs à des fins d’allocation des ressources propres à chacune d’elles (espaces disques, comptes applicatifs, etc.), de sécurité et de droits d’accès, ainsi que de personnalisation des services en fonction des profils et des rôles des individus.

Ainsi, que ce soit pour gérer les utilisateurs d’un réseau local d’entreprise, les prospects ou clients d’un site de commerce électronique, les extranets, les portails collaboratifs ou d’entreprise, les progiciels de gestion intégrés (PGI), les progiciels de gestion de la relation client (CRM), les applications décisionnelles, ou encore les solutions d’authentification forte à l’aide de PKI, il est nécessaire de disposer d’une base d’utilisateurs et d’un service de gestion des comptes applicatifs.

Mais la multitude des applications, des référentiels utilisateurs sous-jacents, et des outils d’administration associés, nuit à la sécurité du système d’information, à l’efficacité des opérations d’administration, ainsi qu’à l’accès rapide aux informations et aux services propres au rôle d’un utilisateur dans l’entreprise.

Pour tous ces aspects, il est apparu durant ces dernières années des technologies, des standards et des outils qui apportent des solutions à l’ensemble des questions posées.

Qu’est ce que la gestion des identités

Lorsqu’on parle de « gestion des identités », on entend par là celle des utilisateurs d’un système d’information. Il ne s’agit donc pas de l’identité d’un individu au sens large, mais de celle nécessaire au fonctionnement des applications informatiques auxquelles il accède. Bien entendu, ces applications sont diverses et concernent aussi bien l’individu en tant qu’employé d’une entreprise, que client d’une autre ou citoyen. Un même individu pourra donc avoir plusieurs identités en fonction du rôle qu’il joue.

Le référentiel des identités

Tout d’abord, il est nécessaire de constituer un référentiel qui va contenir l’ensemble des informations partagées entre différentes applications. Ces informations vont être associées à un individu et vont contenir un ou plusieurs identifiants qui serviront d’index pour y accéder. La constitution de ce référentiel nécessite généralement un annuaire, basé sur la technologie LDAP.

Le référentiel des identités est généralement accompagné d’outils, comme les méta-annuaires, permettant de synchroniser l’ensemble des informations concernant les utilisateurs entre l’annuaire central (ou le référentiel) et celles qui se trouvent éparpillées dans le système d’information de l’entreprise. Ces outils permettent, soit de synchroniser les données avec un référentiel centralisé (par exemple, Microsoft MIIS, Novell Identity Manager, etc.), soit de rediriger en temps réel les requêtes vers la bonne source de données, constituant ainsi une sorte de référentiel virtuel (par exemple, Maxware Virtual Directory, Radiant Logic Virtual Directory Server, etc.). On parle alors d’annuaire ou de méta-annuaire « virtuel ».

La gestion du contenu du référentiel des identités

Ce référentiel doit être accompagné d’outils qui vont permettre aux utilisateurs de consulter eux-mêmes les données qui les concernent et de les mettre à jour si nécessaire, en respectant les processus organisationnel de l’entreprise. Ces outils offrent des interfaces de saisie et de consultation des données de l’annuaire, à l’aide de formulaires qu’il est possible de créer et de modifier via des fichiers de paramétrage, voire d’une interface d’administration de l’outil.

Ils outils savent généralement prendre en compte les règles de confidentialité de l’annuaire afin de protéger les données personnelles des utilisateurs lors de la consultation et de la saisie, et s’adaptent aux contraintes organisationnelles de l’entreprise, nécessitant l’intervention de plusieurs acteurs ou administrateurs, le cas échéant, pour mettre à jour ces données. Ils offrent, pour cela, des mécanismes de workflow permettant d’associer chaque étape d’un processus à un ensemble d’acteurs. Par exemple, la mise à jour du mot de passe peut se faire par l’utilisateur lui-même, mais celle du nom de son responsable hiérarchique ou de sa fonction doit être validée par une personne faisant partie des Ressources Humaines.

L’identification et l’authentification électronique

Ce service est l’un des principaux usages de la gestion des identités. En effet, il constitue le premier niveau de sécurité à mettre en place afin de contrôler l’accès aux ressources de l’entreprise dont les applications informatiques.

L’identification permet de reconnaître l’utilisateur à partir d’un identifiant, généralement court et simple à retenir. L’authentification consiste à s’assurer de l’identité de l’utilisateur à l’aide d’un mot de passe, mais aussi à l’aide d’autres moyens plus sécurisés, comme un certificat électronique, une carte à puce ou encore une signature biométrique (empreinte digitale, forme du visage, etc.).

La gestion des mots de passe

La perte d’un mot de passe par un utilisateur peut s’avérer coûteuse pour les administrateurs s’ils gèrent des milliers de personnes, et si le système d’information est constitué de centaines d’applications. La solution passe par des outils qui d’une part vont permettre de réduire le nombre de mots de passe, voire de les synchroniser automatiquement entre différentes applications, et d’autre part de permettre la réinitialisation du mot de passe par l’utilisateur luimême et ceci à l’aide d’informations complémentaires qu’il devra fournir pour prouver son identité.

L’allocation et la dés-allocation automatisées de ressources

Pour tout nouvel arrivant dans une entreprise, qu’il soit client ou employé, il sera nécessaire d’activer des comptes dans les différentes applications et services auxquels il aura accès. Par exemple, il sera nécessaire de lui créer un compte de messagerie, un compte sur le serveur de fichiers et d’impression de l’entreprise, lui donner accès au portail documentaire sur l’intranet, etc. De plus, la création, suppression et modification des comptes doivent être conforme aux processus organisationnels de l’entreprise. En effet, une filiale d’un groupe pourra gérer de façon autonome ses utilisateurs.

Ou encore, la création d’un nouvel employé dans le système de messagerie, doit normalement commencer par la création de celui-ci dans le système des ressources humaines.

De part la multiplicité des applicatifs et la complexité des processus organisationnel, la gestion de comptes applicatifs peut s’avérer fastidieuse dans les entreprises. Pour cela, il est utile de mettre en place des outils facilitant la création, modification et suppression de ces comptes et ceci de façon centralisée. On désigne aussi cette fonction par « e-provisionning ».

La gestion des droits d’accès aux applications

Il s’agit d’un part de décrire les droits d’accès des utilisateurs aux différentes applications de l’entreprise et d’autre part de contrôler l’accès à celles-ci en respectant ces règles.

La description des droits d’accès peut s’avérer complexe, car elle peut dépendre de plusieurs paramètres comme le rôle ou la fonction de l’individu, voire sa localisation géographique (accès de l’intérieur ou de l’extérieur de l’entreprise), le type de réseau qu’il utilise (l’Internet ou l’Intranet), ou encore le groupe de travail auquel il appartient, etc. Par exemple, il ne pourra accéder aux applications de veille concurrentielle que s’il fait partie de la Direction Marketing, ou encore aux applications financières de l’entreprise que s’il fait partie de la Direction Financière. Le contrôle d’accès aux applications doit par la suite être effectué au moment où l’utilisateur demande l’accès à une application ou à un service donné, et ceci quel que soit le canal de communication utilisé (Internet, intranet, PC ou téléphone mobile).

La fédération des identités

Toutefois, dans certaines situations, il sera utopique de centraliser la gestion des identités. Les cas les plus évidents sont relatifs à des partenaires et fournisseurs. Mettre en place un annuaire partagé entre une entreprise, ses partenaires et fournisseurs, est complexe et ne présente pas toujours beaucoup d’intérêt. Cela pose de nombreux problèmes, comme la définition d’un modèle de données commun et d’un identifiant unique, la synchronisation des données de l’annuaire avec les applications existantes, la maintenance et l’évolutivité de la solution pour répondre à de nouveaux besoins, etc.

La solution passe alors par un réseau de systèmes de gestion des identités, gérant chacun un sous-ensemble des données ou des services, et possédant des interfaces d’échanges standards et ouverts. On parle alors de fédération des identités.

Plusieurs technologies et standards permettent aujourd’hui de réaliser des services de fédération des identités. Ceux-ci s’appuient essentiellement sur les technologies issues de l’Internet comme les Web services et XML. Il s’agit de SAML, Liberty Alliance et WSFederation.

Gouvernance des accès et gestion des risques

Les éléments techniques décrits ci-dessus doivent servir un approche plus globale dénommée « gouvernance des accès ».

Techniquement mis en oeuvre par les équipes informatiques, la gestion de la gouvernance des accès bascule vers un processus conjoint mené par les équipes informatiques et les cadres fonctionnels. Il s’agit alors en première étape de définir des rôles métiers compréhensibles par les utilisateurs puis d’établir des processus de certification des droits d’accès par les managers fonctionnels.

Par exemple, un responsable comptable devra définir et valider dans les temps les autorisations d’accès détaillées des membres de son équipe. L’automatisation peut ensuite être mise en place. Enfin, une traçabilité complète associée aux différents modèles d’habilitation et aux usages est centrale pour une gouvernance complète des accès.

Il s’agit d’un projet d’entreprise pour collecter, rationaliser mettre en place processus dont les sponsors sont la plupart du temps la direction générale ou la direction des ressources humaines..

Cahier des charges Conformité des accès : Identités, annuaire, SSO

Dell rachète SonicWall

Dell vient de racheter SonicWall afin de développer son offre dans le secteur de la sécurité IT. SonicWall est un spécialiste des solutions de pare-feu et de protection unifiée pour entreprises.
Avec le rachat de SonicWall, Dell compte développer ses offres de sécurité IT et s'adapter à la demande toujours plus importante dans le domaine du cloud.

Actualité du 16/03/2012

Anonymous-OS Live

Le collectif de hackers Anonymous vient de lancer Anonymous-OS Live, son propre système d'exploitation. Anonymous-OS Live est un système d'exploitation dérivé de Linux Ubuntu 11.10.

Actualité du 15/03/2012

Akamai présente Kona Site Defender, la nouvelle solution de protection contre les attaques DDoS et les attaques applicatives

Akamai Technologies, Inc. (NASDAQ: AKAM), la principale plate-forme de Cloud à offrir une expérience utilisateur riche et sécurisée sur l’ensemble des terminaux, présente sa toute dernière solution : Kona Site Defender. Conçu pour fournir une protection contre les attaques de plus en plus fréquentes et complexes des sites, des applications web et des données, Kona Site Defender est un module de sécurité vendu indépendamment des solutions d’accélération et d’optimisation de contenus d’Akamai.

Actualité du 21/02/2012

Riverbed lance la nouvelle gamme de produits Granite : cette nouvelle architecture permet la consolidationcomplète de l’informatique

Riverbed Technology, fournisseur de solutions optimisant les performances de l’infrastructure informatique, annonce la nouvelle approche architecturale Edge-VSI (infrastructure de serveur virtuel en périphérie). Celle-ci agit au niveau des serveurs de périphérie comme l’infrastructure du poste de travail (VDI) le fait pour les postes de travail : elle permet à l’équipe informatique de consolider et gérer tous les serveurs de périphérie dans le data center.

Actualité du 08/02/2012

Cahier des charges Conformité des accès : Identités, annuaire, SSO

guidescomparatifs.com propose une gamme d'ateliers dédiés à l’univers de la gouvernance des accès.
Cet atelier d'une journée a pour objectif d’accompagner l’équipe projet dans la compréhension des éléments structurants d'un projet global de gestion des identités.

Le fil conducteur de l’atelier est le guide "Conformité des accès : Identités, annuaire, SSO", utilisé tout au long de la journée comme élément référant.

La première demi-journée est dédiée une présentation générale de la problématique. La seconde permet d’approfondir les questions posées dans le guide. L’animateur analyse avec les participants tous les critères, en précisant les contextes techniques et les implications qui en découlent.

A l’issue de cette journée, une synthèse est effectuée à la lumière du contexte du projet et

Cahier des charges Conformité des accès : Identités, annuaire, SSO