|
| |
| DSI |
| La gestion d'identité, fonction névralgique du système d'information |
| Centralisation ou fédération : deux approches s'offrent aux entreprises pour gérer les données d'accès au SI, selon Valoris.
(28/05/2004) |
|
Sur le terrain des systèmes d'entreprise, la gestion des identités se place au croisement de deux problématiques : la question de la sécurisation des accès aux applications d'une part, et celle de la mise à disposition d'informations ciblées en fonction des utilisateurs d'autre part. C'est le thème abordé par Valoris dans un livre blanc publié au début du mois.
Ici, on entend par identités "celles des utilisateurs d'un système d'information", prévient pour commencer le cabinet de conseil dans son document. Partant de là, les données recouvertes par cette notion renvoient à l'ensemble des éléments nominatifs (identifiant, mot de passe, rôle, etc.) nécessaires au bon fonctionnement du SI, notamment à l'orchestration des doits de consultation et d'exécution de l'ensemble des ressources qu'il met en oeuvre au niveau des applications et des données (métier et techniques).
Dans sa première partie, le livre blanc aborde les briques nécessaires au processus de gestion des identités. Au centre du dispositif figure un référentiel (ou annuaire) chargé de stocker l'ensemble des éléments associés à chaque collaborateur. Une base de données à laquelle se connectent les applications, généralement par le biais de protocoles standardisés (de type LDAP), avec pour objectif de contrôler les données d'accès (identifiant et mot de passe) et valider les privilèges des utilisateurs - lire le panorama sur les solutions d'annuaire.
Cet environnement centralisé est généralement combiné à plusieurs outils complémentaires : D'abord des applications d'intégration comme les meta-annuaires qui, en lien avec les environnements de e-provisionning, ont pour but de répercuter les contenus d'identités saisis en amont au sein des différentes briques du SI impliquées dans le processus (référentiel local, module de gestion des accès, etc.). Ensuite des solutions de gestion de contenu qui permettront de gérer les données d'identité en tant que telles par le biais de formulaires et de processus de validation.
| Centralisation versus fédération |
Dans la seconde partie de son document, Valoris aborde la problématique du partage des identités au sein d'un grand groupe composé de filiales dotées de plates-formes informatiques techniquement et fonctionnellement hétérogènes. "Comment partager les règles d'habilitation entre différentes entités qui ne partagent pas le même SI, et surtout qui ne présentent pas la même stratégie de sécurité ?", se demande notamment Valoris.
Pour répondre cette interrogation, la société de services distingue deux approches possibles. La première consiste à centraliser les contenus, l'ensemble des systèmes se connectant à cette base, en mode LDAP par exemple, pour valider les connexions. La seconde passe par la mise en oeuvre d'un réseau de référentiels de contenu d'identité "gérant chacun un sous-ensemble des informations ou des services, et possédant des interfaces d'échange standard", détaille Valoris.
Même s'il peut paraître à la fois plus complexe à déployer et globalement plus onéreux, ce deuxième modèle qui est notamment prôné par Sun (au sein de la Liberty Alliance) et Microsoft (avec Passport) présenterait néanmoins des avantages, selon Valoris. D'abord, il réduit les risques de perte de données en répartissant les contenus sur plusieurs serveurs. Ensuite, il constitue une solution intéressante pour gérer l'intégration de systèmes partenaires ou clients. Enfin, il limite les problèmes d'indisponibilité par une montée en charge mieux répartie. |
|
|
 |
Dossier 
