IAM – 5. C’est quoi : IAM ?

Nous avons parlé de la sécurité, des processus métier et du portail d’identité, sans jamais vraiment définir ce qu’était la gestion d’identité (l’IAM en anglais pour Identity and Access Management). C’est ce que nous allons tenter d’accomplir dans cet article.

L’identité

L’identité correspond à tout ce qui représente, ce qui caractérise un individu.
Dans l’entreprise, l’identité rassemble les informations publiques comme le nom et le prénom, les informations privées comme le numéro de téléphone et l’adresse de la maison, les informations professionnelles comme le numéro de portable professionnel ou le nom du manager et des informations en rapport avec le métier comme les comptes applicatifs et les habilitations.

En général les identités et les informations qui vont avec sont réunies dans un référentiel central qu’on appelle un annuaire LDAP. Le modéliser et configurer les outils qui vont permettre de le gérer et le synchroniser avec les autres référentiels applicatifs est un art qui ne doit pas être négligé.

Les habilitations

L’identité centralisée permet de définir les droits d’accès aux applications autorisées pour chaque utilisateur du SI. Un modèle de contrôle d’accès basé sur les rôles, RBAC, peut être défini pour factoriser les droits par rapport aux applications. Aujourd’hui, la gestion des habilitations est beaucoup plus avancée, Le modèle ORBAC prévoit des couches d’abstraction supplémentaires pour faciliter l’affectation des habilitations.

Le provisioning

Dans certains cas, il est même possible de centraliser l’affectation des permissions dans chaque application, qu’elles soient directement connectées à l’annuaire central ou qu’elles gardent leur référentiel d’identités. Pour ces dernières, des outils de synchronisation et des connecteurs adéquats sont nécessaires.

L’IHM DCMS

Il est très valorisant de proposer aux utilisateurs du SI des interfaces métier qui s’appuient sur ces outils techniques. Un organigramme, un point d’entrée dans le portail d’entreprise pour le self-service, la recherche simplifiée d’un utilisateur à travers l’application Web « pages jaunes / pages blanches » sont des exemples qui augmentent la productivité des employés.

Les processus

La productivité des employés peut encore être améliorée si les processus métier sont ajoutés au portail d’entreprise. Avoir la possibilité de demander une dérogation à une règle de sécurité sur le portail d’entreprise et suivre en temps réel l’avancée du processus dans ce même portail place l’entreprise sur le podium des plus novatrices qui offrent un maximum de services centralisés.

La sécurité

La gestion d’identité ne propose pas seulement des services d’interface à forte valeur ajoutée. Le Web SSO permet de sécuriser l’accès aux applications Web au niveau serveur. L’entreprise SSO permet de sécuriser les autres applications directement à partir du poste de travail. Ces outils permettent d’éviter la prolifération de mots de passe compliqués à retenir pour l’utilisateur et le fameux effet post’it ! La PKI, terme désignant l’infrastructure de gestion de clés publiques, permet de renforcer la sécurité par une authentification forte

L’audit

Les responsables de la sécurité doivent s’assurer que le SI est bien protégé en le supervisant. Ils doivent savoir répondre aux questions : « Qui est entré sur cette application à tel moment ? » ou encore « Qui a tenté d’accéder à l’application à ce moment ? ». L’audit sert à augmenter la sécurité, mais aussi à améliorer les performances, détecter les anomalies et à créer des indicateurs décisionnels.

La fédération

C’est peut-être le domaine de la gestion d’identité le moins abouti par le manque de normalisation des spécifications. C’est pourtant la solution de partage des identités entre partenaires : créer une relation de confiance pour augmenter le nombre de ses services à offrir aux employés et aux clients.

Thierry ALBAIN

5 Responses to “IAM – 5. C’est quoi : IAM ?”


  1. 1 Celine 14/08/2008 à 10:33

    Pour travailler depuis maintenant près d’1 an sur les problématiques IAM d’un point de vue process provisionnement/déprovisionnement d’identité applicative, voici mes dernières réflexions sur le sujet.
    On parle souvent d’identité mais en fait on devrait plutôt parler d’accès. En effet, nous naissons tous avec une identité mais cette identité est un concept complètement abstrait. Il ne devient concret que dans un contexte donné. Ex: je suis la fille de ma mère. On ne peut donc appréhender l’identité que par ces déclinaisons.
    En d’autres termes, pour ma mère la déclinaison de mon identité s’appelle sa fille, pour la sécurité sociale, la déclinaison de mon identité s’appelle mon numéro de sécu, pour la psychanalyse cette déclinaison s’appelle mon moi/surmoi, pour SQLI, mon numéro d’employée, etc…
    De fait l’identité ne peut être pensé que sous forme de décliinaison et donc d’accès. Et cela est évidemment identique pour l’identité informatique qui n’existe toujours que dans un contexte donné. Et c’est bien là où est la difficulté notamment dans les projets de fédération. Dans une entreprise l’identité est définie selon le contexte de l’entreprise, et donc avec des formats de données corporatifs. Hors en fait on ne parle ici que d’une déclinaison de l’identité et non pas de l’identité en elle-même. Je pense donc qu’il manque un niveau d’abstraction à la définition de l’identité aujourd’hui dans l’IAM, afin que soient moins confondues l’identité en soi et la déclinaison de l’identité (çàd l’accès).
    Tout le reste: habilitation, audit, federation, provisionning, federation, annuaires, sécurité, SSO etc doit alors être pensé comme un ensemble (compliqué certes) mais uniquement comme un ensemble de processes de gestion des accès, et non pas de gestion d’identité.

  2. 2 Thierry ALBAIN 19/09/2008 à 10:58

    Merci Céline pour ton commentaire. Il est vrai que la gestion des identités en entreprise sert principalement à gérer les accès aux applications. Mais cela reste quand même restrictif. Les applications pages blanches pages jaunes permettent de rechercher des identités, un organigramme expose hiérarchiquement les identités de l’entreprise.
    Si nous voulons être plus exhaustif, il faudrait parler de la gestion des identités, de la gestion des accès mais aussi de la gestion des rôles.
    La gestion des rôles (ou profils) permet d’avoir un niveau d’abstraction plus élevé au dessus des identités et des accès.

  3. 3 Celine 10/10/2008 à 19:26

    L’introduction du concept de role est intéressante car elle introduit justement cette notion de projection d’identité, mais elle est limitée dans le sens où elle est très dépendante de la façon dont l’entreprise définit le role, et donc de son contexte métier. Un exemple: un commercial agricole n’est pas un commercial SSII même si certaines caractéristiques sont communes. Je pense donc qu’il faut abstraire bien plus le concept d’identité dans le SI.

  4. 4 Morne Butor 20/02/2009 à 15:28

    "La fédération : C’est peut-être le domaine de la gestion d’identité le moins abouti par le manque de normalisation des spécifications." dis-tu. Je ne comprends pas. Il me semble que SAML 2.0, dans la foulée de Liberty Alliance, définit de nombreux cas d’usage types. Ils ne sont jamais applicables tels quels, mais ce sont des guides utiles pour entrer dans la complexité d’une mise en application, il me semble. Alors pourquoi un "manque de normalisation des spécifications" ?

  5. 5 Thierry Albain 24/02/2009 à 10:43

    Aujourd’hui, pour faire de la fédération d’identité, nous devons choisir entre les normes SAML et WS-Federation. L’une comme l’autre a au moins une implémentation de référence, mais les deux sont incompatibles entre elles.
    Si nous faisons le choix de SAML V2, nous devons choisir entre des projets libres et des solutions éditeurs qui implémentent cette norme ou plus précisément une version plus ancienne de cette norme.
    C’est en cela que je dis que le domaine de la fédération d’identité n’est pas abouti. L’exemple de WS-Federation le prouve, Microsoft a écrit cette norme parce qu’il considère que « WS-Federation est plus flexible que SAML », voir l’article du Monde Informatique : http://www.lemondeinformatique.fr/a
    Il faudra sans doute attendre une nouvelle version de SAML, plus aboutie, qui permettra de couvrir plus de cas d’usage.


Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s




Mises à jour Twitter

Erreur : Twitter ne répond pas. Veuillez patienter quelques minutes avant d'actualiser cette page.

Entrer votre adresse e-mail pour vous inscrire a ce blog et recevoir les notifications des nouveaux articles par e-mail.

Rejoignez 29 autres abonnés

Catégories

Statistiques

  • 64 124 hits

%d blogueurs aiment cette page :