« Des milliers de dates de naissance transitent dans les systèmes d'information, alors que, souvent, il s'agit seulement de savoir si la personne est majeure ou pas, retraitée ou non... », explique Jean-Louis Baffier, responsable du centre d'expertise Fusion Middleware SOA et sécurité chez Oracle France. L'éditeur décide donc de proposer Identity Governance Framework (IGF), une structure de gouvernance de l'identité. L'Américain est accompagné de six acteurs du domaine de la gestion des identités et des accès, à savoir CA, Layer 7 Technologies, Novell, Ping Identity, Securent, et Sun. L'objectif est double : désolidariser les outils de gestion des données liées à l'identité de l'infrastructure sous-jacente (annuaires LDAP ou base de données, accès par carte à puce ou jetons, par exemple), d'une part ; et éviter la présence inutile d'informations sensibles dans toutes les applications d'une entreprise, d'autre part.

IGF se divise en deux volets. Le premier, baptisé CARML (Client Attribute Requirement Markup Language), est un langage XML destiné à la création d'un contrat type. Formalisé par le développeur d'une application, ce contrat facilitera sa mise en oeuvre au sein de l'entreprise utilisatrice. Il définit les attributs nécessaires et suffisants pour en sécuriser l'accès. Le second, AAPML (Attribute Authority Policy Markup Language), est un ensemble de règles qui encadrent l'usage (consommation et modification) des informations sur l'identité. Des API serviront à relier cette couche d'abstraction à l'infrastructure.

Cette initiative apporte, bien sûr, son lot de problèmes. Premier hic, des poids lourds du marché de la gestion des accès et des identités ne sont pas de la fête, tels Microsoft et IBM. Forest Yin, directeur Product Management chez CA, admet volontiers qu'une participation de l'éditeur d'Active Directory serait positive. Mais il redoute qu'une fois entré, celui-ci ne tente de tordre les spécifications à son seul profit. Deuxième hic, IGF n'est pas encore hébergé par une structure de normalisation qui garantirait une certaine indépendance face aux exigences des éditeurs. Cette situation ne devrait pas perdurer.

Chez CA et Oracle, on parle de confier le bébé à Liberty Alliance ou à l'Oasis. Le choix de cet organisme semble pertinent. Il a, en effet, déjà publié trois spécifications essentielles au monde de la gestion des identités et des accès. A savoir XACML (eXtensible Access Control Markup Language), SAML (Security Assertion Markup Language), et SPML (Service Provisioning Markup Language). Le premier standardise la description des politiques de contrôle des accès (droits des utilisateurs sur les ressources informatiques). Le deuxième facilite l'interopérabilité des plates-formes propriétaires de gestion des droits utilisateurs. SPML, enfin, s'attaque aux comptes des salariés au sein des applications d'entreprise. Selon Oracle, son initiative n'entame pas les plates-bandes de ces différents standards, mais les complète. La standardisation de la gestion des identités s'arrête-t-elle avec IGF ? Pas vraiment. Selon Jean-Louis Baffier, « l'idée consiste à disposer d'une solution générique, que l'on peut enrichir. Pour respecter certaines contraintes réglementaires aux Etats-Unis ou en Europe, IGF devra probablement être complété. »