On entend par applications de "gestion d'identité"
l'ensemble des systèmes qui permettent de gérer la vie informatique
des collaborateurs de l'entreprise. Elles couvrent le provisioning : l'arrivée
et départ des employés. Elles fournissent des services de consultation
des données utilisateurs et, bien entendu, d'authentification et d'habilitations.
La première génération
: le désordre
Dans l'histoire des systèmes d'information, la multiplication des
applications métiers conçues de manière autonome a engendré
des référentiels utilisateurs disparates et hétérogènes
sur le plan technologique.
Les données utilisateurs se sont ainsi vues stockées sous divers
formats : fichiers plats, bases de données relationnelles, etc. La synchronisation
de ces référentiels est vite devenue une problématique sensible,
résolue de façon partielle par des appels de batch.
La
seconde génération : LDAP, un référentiel spécialisé
A partir de 1996, les annuaires LDAP (Lightweight Directory Access Protocol)
ont proposé une technologie dédiée à la gestion d'identité
: une base de données hiérarchique adaptée à la description
d'organisation d'entreprise, une technologie optimisée pour des recherches
concurrentes sur d'immenses bases d'utilisateurs, et surtout un standard capable
de prendre en charge les authentifications et habilitations de toutes les applications
du SI. LDAP a ainsi permis d'envisager la possibilité d'un référentiel
utilisateurs unique et centralisé.
Dans la pratique, les grandes entreprises gèrent
jusqu'à quatre annuaires différents :
- La base utilisateurs de l'ERP ;
- L'annuaire du parc informatique ;
- L'annuaire de la messagerie ;
- L'annuaire LDAP des applications Web.
Diverses raisons expliquent l'échec de la véritable centralisation
: d'une part, les DRH gèrent des données confidentielles sur les
collaborateurs qu'elles ne désirent pas partager avec les autres applications.
D'autre part, les annuaires de gestion de parc et de messagerie ne sont pas suffisamment
souples pour fusionner avec les annuaires applicatifs.
Le besoin de synchronisation subsiste donc. Il est résolu par le méta-annuaire,
un outil d'EAI orienté données et spécialiste des référentiels
utilisateurs. Le méta-annuaire apporte une solution de contournement à
l'annuaire central, cependant il a les mêmes limites que les outils "d'EAI
lourd" : il est "déresponsabilisant" et "générateur
d'entropie". En effet, il encourage le désordre par la multiplication
des référentiels.
Le protocole LDAP constitue un middleware simple
d'utilisation pour gérer authentification et habilitation. Pourtant, les
grandes entreprises décident souvent de ne pas l'implémenter directement
dans les applications. Elles préfèrent proposer une couche d'abstraction
spécifique à leurs intégrateurs afin de :
- Gérer des pools de connexion ;
- Gérer un mapping objet / hiérarchique ;
- Gérer une politique des mots de passe ;
- Créer un point de contrôle de sécurité.
Cette tendance de fond fait apparaître un besoin de services autour d'une
technologie LDAP, trop axée sur les données.
La troisième génération
: une approche service avec le projet Liberty
D'après la plupart des analystes, la tendance de l'intégration
d'applications est d'abandonner une approche "EAI lourd" pour un "EAI
léger" basé sur les Web Services. De la même manière,
les technologies de gestion d'identité tendent indubitablement vers une
intégration plus légère. Le projet Liberty, lancé
par un vaste consortium d'acteurs de l'informatique, va dans ce sens et est extrêmement
prometteur.
Liberty propose de standardiser l'invocation des
services d'identité en définissant un protocole basé sur
les standards et indépendant des langages de programmations. Il définit
une infrastructure basée sur des fournisseurs de services (services
provider) et des fournisseurs d'identité (identity provider)
:
- Les fournisseurs de services sont les applications nécessitant une authentification,
donc consommatrices de données utilisateurs ;
- Les fournisseurs d'identité délivrent ces informations utilisateurs
;
- Ces acteurs sont reliés entre eux par des "cercles de confiance"
définissant des accords de coopération.
Les utilisateurs peuvent utiliser plusieurs fournisseurs
d'identité (par exemple un fournisseur pour accéder à des
applications avec un profil personnel, et un autre avec un profil professionnel).
Lorsqu'ils accèdent à une application, ils peuvent donc choisir
de se présenter sous un profil ou un autre.
La grande innovation des fournisseurs d'identité
est d'offrir, en plus de l'authentification, une série de services autour
du référentiel utilisateurs :
- Un service de Single Sign On, permettant la propagation des sessions
utilisateurs entre fournisseurs de services ;
- Un service de Global Logout, permettant de mettre fin à l'ensemble
des sessions chez les fournisseurs de services ;
- Un service de profils utilisateurs, permettant de compartimenter les
données utilisateurs et d'en réglementer l'accès ;
- Un service de pseudonymes, permettant à l'utilisateur de masquer
son identité.
Le projet Liberty décrit ainsi une série de services d'identité
user-centric, grâce auxquels leur usager peut gérer l'accès
à ses données personnelles. Il propose donc une solution extraordinairement
mature aux enjeux de la gestion d'identité. Il solutionne les insuffisances
de LDAP en terme de services.
Sur le plan technique, la norme décrit
des mécanismes d'échange entre fournisseurs d'identité et
fournisseurs de services :
- Une solution à base de redirections HTTP, qui normalise les mécanismes
implémentés dans les moteurs de SSO propriétaires ;
- Une solution basée sur SOAP, qui inscrit le projet dans une approche
EAI léger.
Le projet Liberty met donc fin aux besoins de
synchronisation en permettant une intégration des fournisseurs d'identité
dans une démarche d'urbanisation globale.
Il apporte une réponse très pertinente aux problématiques
récurrentes de gestion des référentiels utilisateurs.
Les innovations qu'apporte le projet Liberty dans
le domaine de la gestion d'identité sont comparables à l'apport
des Web Services dans le domaine de l'intégration inter-applicative.
Si ce standard est encore en cours de finalisation, il commence à être
implémenté par les grands éditeurs (Sun, Novell, Critical
Path, etc.) et expérimenté par de grandes entreprises comme France
Télécom. Il deviendra incontournable dans les années à
venir.
|