01net. - Le workflow au cœur de la gestion des identités

nos newsletters

nos magazines

écrire à l'auteur		imprimer

envoyer par mail		Version PDF

	Sommaire du dossier
	Le workflow au cœur de la gestion des identités
	L'annuaire, premier dépositaire de l'identité
	La traçabilité des processus nourrit le workflow
	Sans référentiel, la gestion des identités devient fédération
	Des solutions plus complètes
	Il ne faudra pas exclure l'utilisateur de la relation de confiance

Cet article est extrait de : 01 Informatique
		Hebdomadaire stratégique d'actualité, son objectif est d'informer et d'aider les décideurs dans leurs choix de produits et de solutions technologiques. Découvrez le magazine Contactez la rédaction Abonnez vous

[ SÉCURITÉ ]
Le workflow au coeur de la gestion des identités
L'annuaire et le moteur de workflow rassemblent aujourd'hui les différentes briques des solutions de gestion des identités.

Christophe Dupont Elise et Jérôme Saiz , 01 Informatique, le 15/07/2005 à 07h00

En l'espace d'un an, la gestion des identités est passée d'une approche fractionnée à une vue globale. L'époque où les entreprises ne dépassaient pas les mises en oeuvre de contrôle d'accès ou n'allouaient automatiquement que quelques ressources est révolue. Les acteurs de l'authentification forte et de l'authentification unique (SSO ou Single Sign-On) n'accaparent plus comme avant le marché. Ils n'hésitaient pas alors à présenter leurs briques comme le coeur de la gestion des identités. Ils ont été remis à leur place.

Certes, un système de SSO facilite la vie des utilisateurs et rationalise les coûts de help desk par des fonctions de self-service et de délégation. Mais il ne représente toujours que la partie visible de l'iceberg. Dans la gestion des identités de l'entreprise, « une solution d'authentification forte n'est qu'un système de plus à alimenter en droits, un système cible » , insiste Michel Van den Berghe, PDG d'Atheos.

Gérer les identités, c'est appréhender les ressources de l'entreprise sans les dissocier des utilisateurs. Selon la formule de Marcel Rizcallah, directeur technique de Valoris, la finalité est de « mieux cibler les utilisateurs en fonction de leurs besoins ». D'où un travail essentiel de personnalisation de l'allocation des ressources. En amont de tout projet, il est donc indispensable de mener une réflexion organisationnelle sur les processus métier dans l'entreprise, et de définir les profils des utilisateurs en ciblant leurs rôles, desquels on déduit les attributs.

Se calquer sur les processus métier
La constitution de l'annuaire, référentiel des identités de l'entreprise, doit être le point final de cette réflexion. Mais les processus métier sont soumis aux changements organisationnels. Et, avec eux, les profils et les rôles. Le workflow s'adapte à cette mobilité. Il assure une traçabilité du cycle de vie des identités des utilisateurs par des mécanismes de requête, d'approbation et de validation, en se calquant sur les processus métier.

Cette approche - poussée par les entreprises et relayée par les consultants et intégrateurs - s'éloigne cependant des propos tenus par les éditeurs sur l'allocation automatique des ressources. Ce décalage entre l'offre et la demande s'explique par la forte présence sur le secteur de la gestion des identités des éditeurs d'annuaires.

Encore récemment, leur stratégie s'est réduite à recycler des solutions d'annuaire et de méta-annuaire. Pour la simple raison que ces fournisseurs possèdent la multitude de connecteurs nécessaires à la création/ modification/suppression de comptes auprès des applications et référentiels majeurs. Attention, toutefois : bâtir un annuaire central n'est pas la panacée si les identités sont déjà présentes dans le système d'information, dans divers référentiels. Par ailleurs, le workflow peut très bien se substituer au méta-annuaire pour propager les informations sur l'évolution du cycle de vie des identités.

Enfin, la gestion des identités n'est pas du seul ressort des équipes informatiques. « Des entreprises ont abandonné des projets d'annuaire parce qu'elles ont été incapables de définir leurs processus métier et de les rationaliser avant de les outiller » , rappelle Marcel Rizcallah. Pour éviter cet écueil, il convient d'impliquer les gens du métier. En leur fournissant, avec les outils de gestion de contenu d'annuaire, une interface fonctionnelle pour intervenir directement dans le workflow.

Pour en savoir plus.

Glossaire

Access Control List (ACL)

Ensemble de règles qui décrivent les droits d'accès de certains objets de l'annuaire sur d'autres. Une ACL rassemble plusieurs règles nommées ACI (Access Control Information), qui précisent son champ d'application.

LDAP (Lightweight Directory Access Protocol)

Standard de normalisation de l'interface d'accès aux annuaires.

Liberty Alliance

Ensemble de standards décrivant les relations de confiance et les méthodes d'échange d'informations entre les utilisateurs d'une communauté de partenaires.

Méta-annuaire

Outil d'administration centralisée des données sur les ressources et les personnes de l'entreprise, incorporant des mécanismes de synchronisation bidirectionnelle.

RBAC (Role Based Access Control)

Contrôle d'accès fondé sur des rôles, qui consiste à attribuer des droits aux utilisateurs selon leur fonction. Les habilitations ne sont plus associées à des personnes, mais à des rôles dans l'entreprise.

SAML (Security Assertion Markup Language)

Langage permettant de véhiculer, dans un environnement de services web, une assertion relative à l'authentification d'un utilisateur.

WS-Security

Extension du standard Soap décrivant l'ajout d'informations de sécurité (signatures, chiffrement, jetons d'authentification, certificats, etc.) aux messages Soap. Ces données, par défaut en clair, doivent être chiffrées ou signées, et WS-Security ne présume pas de la confiance qu'on peut leur accorder. C'est le rôle de WS-Trust et de WS-Federation.