Au centre des problématiques
de sécurité informatique, figure la gestion des accès
aux applications du système d'information. Pour répondre
à cet enjeu, deux solutions sont généralement
déployées. En amont, une plate-forme d'annuaire
est chargée de centraliser les données touchant aux utilisateurs
(rôles, identifiants, etc.) ainsi qu'aux outils mis à
leur disposition (degré de criticité, etc.).
En aval, un environnement de gestion des droits d'accès
permet d'exécuter les politiques associées à chaque intervenant.
Il s'appuie principalement sur les informations fournies
par l'annuaire.
Pour fonctionner, un telle architecture nécessite
la mise en oeuvre de standards d'intégration à
différents niveaux. Au delà des liens entre
annuaires et systèmes de gestion d'accès,
elle doit en effet pouvoir s'interfacer par ailleurs aux
applicatifs métier de l'entreprise. Conscients
de ces questions, les acteurs du marché de la sécurité
oeuvrent depuis plusieurs années déjà
à la définition de technologies normalisées
(voir le tableau ci-dessous).
LDAP:
un standard de gestion d'annuaires
Amorcés
dans les années 1980, les premiers projets de
standardisation ciblaient la manière de structurer
un annuaire mais aussi de nommer les données
qu'il contient. Première technologie à
s'imposer dans ce domaine : X500. Issu de cette
expérience pilote, LDAP est créé
en 1993. Moins complexe à implémenter
que son grand frère, cette couche s'est imposée
depuis comme socle de référence dans l'univers
des annuaires d'entreprise. Elle est intégrée aujourd'hui
par la quasi totalité des éditeurs sur
ce segment.
A la manière de X500, LDAP définit également
des mécanismes d'invocation et de mise à
jour (par le biais de requêtes) définis
sous forme de services (authentification, manipulation
des droits, etc.).
C'est précisément cet environnement qui
assure la connexion entre l'annuaire et les outils qui
l'entourent. Serveur d'applications, progiciels, solutions
métier, etc. Au fil des années, cette
caractéristique a amené LDAP a se généraliser
également côté systèmes client.
Il est devenu dès lors un point de passage obligé
pour tout chantier de rationalisation du traitement
des droits du système d'information, le déploiement
d'une infrastructure de SSO (ou login unique) par exemple.
L'émergence
de protocoles complémentaires
Suite à
l'émergence du XML à partir de 1998, de
nouveaux langages ont vu le jour dans le domaine de
la structuration d'annuaires et de l'invocation de données
d'accès à distance (SAML et WS-Security
notamment).
Les avantages qu'ils apportent ? Ces vocabulaires
répondent notamment aux besoins d'intégration
entre produits de gestion des accès, en assurant
notamment des tâches de synchronisation d'informations
relatives aux droits. A la différence de LDAP,
les protocoles qu'ils mettent en oeuvre s'adossent en
outre à HTTP. Fort de ce nouveau moyen de communication,
ils ouvrent les infrastructures de SSO sur le monde
des applications Internet et à la prise en charge
de nouvelles catégories de brique (sites Web,
Web Services, applications hébergées,
etc.). Le projet Liberty Alliance initié par
Sun représente sans doute l'une des expériences
les plus abouties de cette vision.
Les
standards de gestion des accès
|
Technologie
|
Annuaires
compatibles
|
Commentaire
|
Les
modèles d'annuaires
|
X500
X.500 Directory Services |
CP
Directory (Critical Path), Active Directory (Microsoft)
et eDirectory (Novell).
|
Créé
en 1988, X500 est l'une des toutes premières normes
d'annuaire. Couvrant à la fois la structure et
le nommage des données, elle répond également
aux questions d'invocation.
|
LDAP
Lightweight Directory Access Protocol
(IETF)
|
Directory Server (IBM), Active Directory (Microsoft),
eDirectory (Novell), Internet Directory (Oracle)
et Sun One Diretory Server (Sun).
|
LDAP
s'inspire directement de X500. Parfois considérées
comme moins sures, ses fonctions d'invocation
sont devenues avec le temps une véritable référence.
|
Autres
protocoles d'accès aux données
|
DSML
Directory Service Markup Langage
(OASIS)
|
CP
Directory (Critical Path) et Directory Server
(IBM).
|
Standardisé
par l'OASIS dans le cadre du projet ebXML, DSML
offre une couche pour invoquer un annuaire LDAP
par le biais de commandes au format XML.
|
LDAP
Schema for UDDI
(IETF)
|
eDirectory (Novell).
|
A
l'inverse de DSML, LDAP Schema for UDDI permet
de lancer des requêtes LDAP vers un référentiel
XML, un annuaire UDDI en l'occurrence.
|
Technologie
|
Annuaires
compatibles
|
Commentaire
|
Les
langages d'échange et de description de
données XML
|
SAML
Security Assertion Markup Language
(OASIS)
|
Internet
Directory (Oracle), eDirectory (Novell) et Sun
One Directory Server (Sun).
|
Ce
langage décrit les informations relatives au profil
d'une personne ou d'un composant ainsi que les
droits qui leur sont associés, en termes
d'accès notamment.
|
WS-Security
Web Services Security
(OASIS)
|
Active
Directory (Microsoft) et Internet Directory (Oracle).
|
Certaines
briques de WS-Security (S-Secure Conversation,
WS-Federation et WS-Authorization) ont pour but
de standardiser la manière d'authentifier
l'accès à un Web Services.
|
XACML
Directory Service Markup Langage
(OASIS)
|
-
|
Soutenu
par Sun, IBM et Entrust, cette spécification normalise
les correspondances Web Services et autorisations
associées.
|
Infrastructure
de SSO
|
Liberty
Alliance
(Liberty
Alliance Project) |
eDirectory
(Novell) et Sun One Diretory Server (Sun).
|
Liberty
Alliance est conçu pour déployer des services
d'authentification et d'identification mutualisés
entre environnements Web (extranets, intranets,
etc.). Il s'adosse notamment à SAML.
|
Nom
|
Solutions
|
Commentaire
|
|