Le projet de gestion d'identité
La gestion d'identité apporte bien plus que des outils techniques de gestion centralisée des identités, elle contribue aussi à valoriser le portail d'entreprise et assurer la sécurité des accès aux applications.
La gestion d'identité est un domaine où l'infrastructure et le Web sont étroitement liés. L'infrastructure pour l'organisation de l'information et le Web pour la présentation des données. L'astucieuse conjugaison des deux permet d'augmenter la productivité des utilisateurs tout en assurant une sécurité accrue du système d'information et en réduisant les coûts d'exploitation du SI.Commençons par un constat sur l'organisation actuelle de certains systèmes d'information. Les technologies successives les ont rendus difficiles à gérer. Chaque application est indépendante et isolée des autres. L'ensemble représente un système hétérogène. Cela dénonce, pour chaque application, une gestion répétitive et au cas par cas, mais aussi une politique de sécurité faible, qui pourtant était suffisante lorsque la technologie associée émergeait.
Pour faire de la gestion d'identité, il faut commencer par centraliser l'information. Aujourd'hui, chacun s'accorde à dire que l'annuaire LDAP est le référentiel d'identités : il est optimisé en lecture de gros volumes d'informations, il permet le stockage des mots de passe et des certificats, il peut prendre à sa charge les authentifications et reste le support privilégié des habilitations.
Seulement, centraliser pour réunir l'information n'a de sens que si cela devient rentable. La première valeur ajoutée, qui se traduit par une réduction de coût de production, est de pouvoir gérer en un point d'accès unique et centralisé l'ensemble du système d'information.
Nous savons que la succession des technologies au fil des années ne permet pas de remplacer chaque référentiel d'application, utilisé pour les authentifications, par un annuaire LDAP. Il est donc essentiel de pouvoir provisionner ces référentiels à partir du LDAP mais aussi de pouvoir y récupérer les créations, modifications et suppressions effectuées. De plus, une application de gestion de contenu d'annuaire, bien faite, permettra de gérer l'ensemble des comptes applicatifs avec les habilitations correspondantes.
Un autre avantage, visible par l'ensemble des employés, est la valorisation du portail d'entreprise par une application orientée contenu d'identité. Rechercher un collaborateur pour avoir par exemple son numéro de téléphone, visualiser sa position dans la hiérarchie grâce à un organigramme ou encore accéder aux informations croisées entre les identités, les lieux de travail, les directions et toutes les informations contenues dans le LDAP, devient possible depuis ce portail. L'intérêt pour une telle application croit fortement si elle suit la même charte graphique que l'ensemble du site.
À ce stade d'organisation du SI, l'information d'identité est centralisée et disponible pour tous à partir du portail d'entreprise dans lequel elle est parfaitement intégrée. Le portail peut être davantage valorisé en proposant des interfaces d'accès aux processus métier qui font intervenir différents services de l'entreprise. Elles proposeront alors de démarrer et de suivre dynamiquement les processus tels que ceux de notification et de validation accompagnant la gestion des certificats d'une PKI interne à une entreprise.
Une des grandes problématiques que la gestion d'identité tente de résoudre est la sécurité des accès aux applications. Chaque application a sa propre politique de mot de passe qui contraint les utilisateurs à retenir plusieurs mots de passe qui évoluent différemment au fil du temps. L'unification des mots de passe n'est pas la solution car elle se positionne sur l'application qui a la politique la plus faible. La signature unique est depuis plusieurs années une solution satisfaisante, qui se traduit par l'installation de logiciels de SSO. Elle reste toutefois une solution intermédiaire, mais qui n'est pas prête de disparaître au vue des technologies émergentes de fédération d'identité.
Les technologies de fédération d'identité, en termes d'échange d'informations liées à la sécurité, ne sont pas mûres. Aujourd'hui coexistent deux normes concurrentes, plus ou moins complémentaires, SAML et WS-Federation, et personne ne saurait dire laquelle subsistera. Quoi qu'il en soit, choisir une de ses normes pour faire évoluer son SI reste une très bonne solution, en parfaite adéquation avec les concepts du SOA.