Réseaux : identifiez-vous !

S'abonner :

Newsletters

Magazines

01men.

[ INFRASTRUCTURE ]
Réseaux : identifiez-vous !
Faiblement transactionnels, les annuaires sont inadaptés pour la gestion de profils d'utilisateurs ou celle de permissions en réseau. Pour y remédier, les serveurs d'identités investissent le marché.

Francisco Villacampa , Décision Informatique (n° 595), le 15/06/2004 à 07h00

Middleware d'un nouveau type, le serveur d'identités a l'ambition de faciliter l'authentification, puis la transmission de multiples profils métier à des applications en réseau, sous le contrôle de l'utilisateur comme de l'administrateur. Si le créneau est encore émergent, il est promis à un bel avenir. En effet, le marché de la gestion des identités croît à un rythme annuel supérieur à 100 %. À l'échelle mondiale, il devrait avoisiner, en 2007, un CA de 2,3 milliards de dollars, projette le cabinet d'analyse The Radicati Group. Ces chiffres reflètent l'engouement de secteurs précurseurs tels que la banque en ligne ou l'administration électronique, dont fait partie la direction générale des impôts.

Parmi les points forts du serveur d'identités figurent la création et la suppression automatique de ressources informatiques (provisioning) suivant les propriétés attribuées à un rôle.

Plusieurs profils pour un même utilisateur

Constitutif de l'identité, le rôle regroupe pour un même utilisateur plusieurs profils métier tels que manager ou salarié nomade. Ces profils formés en langage SAML (Security Assertion Markup Language) expriment les permissions de l'utilisateur en réseau. Suivant les choix de l'administrateur, « le moteur du serveur d'identités interprétera ces profils, afin par exemple de créer ou de supprimer des comptes de courrier électronique, ou d'établir un accès à un progiciel », souligne Guido Korsch, ingénieur commercial chez ASG Software. « Cela évitera l'existence de comptes dormants, qui sont une menace importante, et que le cabinet d'analyse IDC estime à environ 60 % des comptes créés en entreprise », se réjouit, pour sa part, Alexis Moussine-Pouchkine, consultant Java chez Sun.

Côté utilisateur, le serveur d'identités garantit la protection des données personnelles en réseau. « Il fournit des outils qui autorisent la consultation, la mise à jour ou la transmission de données concernant les utilisateurs et que stocke l'annuaire LDAP », précise Marcel Rizcallah, directeur technique de Valoris. Ce qui autorise par exemple l'achat en ligne d'un billet d'avion, puis la transmission de son adresse de courrier électronique uniquement aux loueurs de voitures. Pour ce faire, le serveur d'identités communique un jeton de permission rédigé en langage SAML ou ID-FF.

Sur Internet, cette communication s'effectue suivant le mode dit de « fédération des identités » . « L'internaute qui s'identifie auprès d'un domaine à l'aide d'une signature de type SSO est ensuite identifié par tous les sites en réseau capables d'interpréter le jeton », détaille Laurent Vieille, responsable produit chez Axalto, un éditeur de solutions de SSO par cartes à puce. Et ceci, sans risques pour la sécurité, car les mots de passe et les identifiants ne sont pas propagés, contrairement au mode de synchronisation propre aux annuaires LDAP. « Il existe cependant d'autres formes de communication des permissions. Par exemple, de gré à gré, hiérarchique ou par corrélation. Plus limitées, elles propagent l'identité auprès d'une ou de plusieurs applications déterminées » , précise Omar M'Rani, directeur de l'agence SQLI région Est.

L'annuaire résiste

Malgré les atouts des serveurs d'identités, les éditeurs d'annuaires ne se sentent pas pour autant floués. « Notre solution de méta annuaire Radiant One synchronise déjà des profils métier entre différents annuaires. Quant à l'authentification, elle est prise en charge par notre annuaire Entact ID », souligne Guido Korsch. Face à ces arguments, les architectes rétorquent que les serveurs d'identités présentent l'avantage d'opérer des traitements sur les données d'identité, que l'annuaire se contente de stocker. « Grâce à l'exploitation intensive du langage XML, le serveur d'identités peut aisément contrôler la présence de doublons, de comptes inactifs ou de droits illicites. Pour sa part, l'annuaire LDAP reste faiblement transactionnel et ne dispose pas de langage inter-opérable tel SAML pour diffuser les identités » , analyse Omar M'Rani.

Par ailleurs, les serveurs d'identités privilégient les architectures de composants. De ce fait, l'ajout d'un circuit de validation ou celui d'une journalisation des accès peut s'effectuer par l'installation de composants tiers, qu'exécutera un serveur d'applications fédérateur.

Télécharger le schéma

Convergence en vue

Parmi d'autres éditeurs, IBM, Microsoft, Netegrity, Novell, RSA Security et Sun disposent déjà d'offres de gestion des identités. Le langage qui s'impose aujourd'hui est sans conteste SAML, dont les spécifications sont implémentées par la plupart des produits. « SAML est un standard de l'Oasis. Il détermine l'identité de l'utilisateur, ses permissions, le partage de données d'identité et l'établissement d'habilitations pour exploiter des ressources informatiques », détaille Marcel Rizcallah, directeur technique de Valoris.

Quant aux spécifications de référence Liberty Alliance Phase 2, elles sont fondées sur le langage ID-FF, qui donnera naissance aux prochaines spécifications SAML 2.0. La convergence est donc proche. L'éditeur Microsoft lui-même intégrera le standard de la Liberty Alliance, parallèlement à sa norme WS-Federation.

Un marché prometteur

Cliquez ici pour agrandir l'image

L'augmentation incessante des utilisateurs de services en réseau entraîne peu à peu l'adoption des serveurs d'identités. Si l'annuaire LDAP est indispensable pour stocker le référentiel des droits d'accès, il reste cantonné au rôle de SGBD. Le serveur d'identités hérite du travail de transmission des permissions ou d'allocation de ressources.