Infrastructure/Chantiers
Annuaires d'entreprise et outils de gestion des accès: les standards se précisent
LDAP, X500, SAML, DSML, etc. Les protocoles et langages de gestion des données utilisateur, liés notamment à l'authentification, sont nombreux. Tour d'horizon des tâches allouées à chacun d'eux.  (Jeudi 3 juillet 2003)
En savoir plus
Au centre des problématiques de sécurité informatique, figure la gestion des accès aux applications du système d'information. Pour répondre à cet enjeu, deux solutions sont généralement déployées. En amont, une plate-forme d'annuaire est chargée de centraliser les données touchant aux utilisateurs (rôles, identifiants, etc.) ainsi qu'aux outils mis à leur disposition (degré de criticité, etc.). En aval, un environnement de gestion des droits d'accès permet d'exécuter les politiques associées à chaque intervenant. Il s'appuie principalement sur les informations fournies par l'annuaire.

Pour fonctionner, un telle architecture nécessite la mise en oeuvre de standards d'intégration à différents niveaux. Au delà des liens entre annuaires et systèmes de gestion d'accès, elle doit en effet pouvoir s'interfacer par ailleurs aux applicatifs métier de l'entreprise. Conscients de ces questions, les acteurs du marché de la sécurité oeuvrent depuis plusieurs années déjà à la définition de technologies normalisées (voir le tableau ci-dessous).

LDAP: un standard de gestion d'annuaires
Amorcés dans les années 1980, les premiers projets de standardisation ciblaient la manière de structurer un annuaire mais aussi de nommer les données qu'il contient. Première technologie à s'imposer dans ce domaine : X500. Issu de cette expérience pilote, LDAP est créé en 1993. Moins complexe à implémenter que son grand frère, cette couche s'est imposée depuis comme socle de référence dans l'univers des annuaires d'entreprise. Elle est intégrée aujourd'hui par la quasi totalité des éditeurs sur ce segment.

A la manière de X500, LDAP définit également des mécanismes d'invocation et de mise à jour (par le biais de requêtes) définis sous forme de services (authentification, manipulation des droits, etc.). C'est précisément cet environnement qui assure la connexion entre l'annuaire et les outils qui l'entourent. Serveur d'applications, progiciels, solutions métier, etc. Au fil des années, cette caractéristique a amené LDAP a se généraliser également côté systèmes client. Il est devenu dès lors un point de passage obligé pour tout chantier de rationalisation du traitement des droits du système d'information, le déploiement d'une infrastructure de SSO (ou login unique) par exemple.

L'émergence de protocoles complémentaires
Suite à l'émergence du XML à partir de 1998, de nouveaux langages ont vu le jour dans le domaine de la structuration d'annuaires et de l'invocation de données d'accès à distance (SAML et WS-Security notamment).

Les avantages qu'ils apportent ? Ces vocabulaires répondent notamment aux besoins d'intégration entre produits de gestion des accès, en assurant notamment des tâches de synchronisation d'informations relatives aux droits. A la différence de LDAP, les protocoles qu'ils mettent en oeuvre s'adossent en outre à HTTP. Fort de ce nouveau moyen de communication, ils ouvrent les infrastructures de SSO sur le monde des applications Internet et à la prise en charge de nouvelles catégories de brique (sites Web, Web Services, applications hébergées, etc.). Le projet Liberty Alliance initié par Sun représente sans doute l'une des expériences les plus abouties de cette vision.

Les standards de gestion des accès
Technologie
Annuaires compatibles
Commentaire
Les modèles d'annuaires
X500
X.500 Directory Services
CP Directory (Critical Path), Active Directory (Microsoft) et eDirectory (Novell).
Créé en 1988, X500 est l'une des toutes premières normes d'annuaire. Couvrant à la fois la structure et le nommage des données, elle répond également aux questions d'invocation.
LDAP
Lightweight Directory Access Protocol
(IETF)
Directory Server (IBM), Active Directory (Microsoft), eDirectory (Novell), Internet Directory (Oracle) et Sun One Diretory Server (Sun).
LDAP s'inspire directement de X500. Parfois considérées comme moins sures, ses fonctions d'invocation sont devenues avec le temps une véritable référence.
Autres protocoles d'accès aux données
DSML
Directory Service Markup Langage
(OASIS)
CP Directory (Critical Path) et Directory Server (IBM).
Standardisé par l'OASIS dans le cadre du projet ebXML, DSML offre une couche pour invoquer un annuaire LDAP par le biais de commandes au format XML.
LDAP Schema for UDDI
(IETF)
eDirectory (Novell).
A l'inverse de DSML, LDAP Schema for UDDI permet de lancer des requêtes LDAP vers un référentiel XML, un annuaire UDDI en l'occurrence.
Technologie
Annuaires compatibles
Commentaire
Les langages d'échange et de description de données XML
SAML
Security Assertion Markup Language
(OASIS)
Internet Directory (Oracle), eDirectory (Novell) et Sun One Directory Server (Sun).
Ce langage décrit les informations relatives au profil d'une personne ou d'un composant ainsi que les droits qui leur sont associés, en termes d'accès notamment.
WS-Security
Web Services Security
(OASIS)
Active Directory (Microsoft) et Internet Directory (Oracle).
Certaines briques de WS-Security (S-Secure Conversation, WS-Federation et WS-Authorization) ont pour but de standardiser la manière d'authentifier l'accès à un Web Services.
XACML
Directory Service Markup Langage
(OASIS)
-
Soutenu par Sun, IBM et Entrust, cette spécification normalise les correspondances Web Services et autorisations associées.
Infrastructure de SSO
Liberty Alliance
(Liberty Alliance Project)
eDirectory (Novell) et Sun One Diretory Server (Sun).
Liberty Alliance est conçu pour déployer des services d'authentification et d'identification mutualisés entre environnements Web (extranets, intranets, etc.). Il s'adosse notamment à SAML.
Nom
Solutions
Commentaire

 
 
[Antoine Crochet-Damais, JDNet]
 
 
Accueil | Haut de page
 
 

  Nouvelles offres d'emploi   sur Emploi Center
Auralog - Tellmemore | Publicis Modem | L'Internaute / Journal du Net / Copainsdavant | Isobar | MEDIASTAY

Voir un exemple

Voir un exemple

Voir un exemple

Voir un exemple

Voir un exemple

Toutes nos newsletters