La PKI marie authentification forte et autorisation. Avec le rachat de Clear Trust, de Securant, RSA Security est le dernier en date à ajouter cette corde à son arc. “Les entreprises désirent muscler leur portail avec des fonctions d’authentification pour contrôler qui regarde quel contenu “, explique Xavier Lecoq-Bernard, ingénieur avant-vente chez RSA. Et d’ajouter que “les définitions d’autorisations via les extensions de certificats manquent de souplesse.” Résultat : chaque modification entraîne l’émission d’un nouveau certificat.Baltimore s’est, lui, emparé de Nevex, éditeur de Select Access. “L’enregistrement des droits d’accès via un serveur LDAP et l’émission d’un certificat s’effectuent simultanément “, précise Mahmoud Denfer, Senior Technical Consultant. Légère, l’intégration repose sur un module LAM (LDAP Authorization Module), capable de synchroniser ces deux mondes. Select Access et Unicert continuent aussi d’être vendus séparément. La prochaine étape sera la possibilité, pour une entreprise, d’enregistrer des droits d’accès auprès d’une autorité de certification partenaire de cet éditeur.
Foire d’empoigne sur les standards
Cette convergence débouche sur des standards complémentaires. C’est le cas, selon Baltimore, de XKMS (XML Key Management Specification) pour la gestion des clés et de SAML (Security Association Mark Up Language) pour la vérification des niveaux d’autorisation. Jusqu’alors, chacun a poussé sa propre structure d’échange, et le consensus opéré autour de XML n’a pas empêché les dissensions. L’intégration passe aussi, selon RSA Security, par une administration commune. “D’ores et déjà, l’authentification par mot de passe sur Ace Server se configure en frontal sur Clear Trust “, souligne Xavier Lecoq-Bernard. Clear Trust se distingue par une architecture Java. L’emploi d’EJB offre un contrôle d’accès plus granulaire. Celui-ci se fait via des API standards au niveau des applications et des fonctions métier des composants Java, et non plus seulement sur le serveur web.Inversement, Entrust est parti tôt sur une architecture Corba, dont elle avait héritée au moment de l’acquisition de Get Access d’Encommerce. “Corba apporte des capacités de distribution de composants et de montée en charge “, souligne Ian Walker, directeur technique chez Entrust. L’intégration à son portail PKI, True Pass, se révèle plus étroite. L’authentification et la gestion des droits des utilisateurs profitent ainsi d’une administration commune : les privilèges attribués à un utilisateur par un certificat sur le web sont automatiquement réduits lors d’une authentification par un terminal mobile.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
