InterLDAP - Gestion des IdentitésLa plate-forme InterLDAP de gestion des identités dispose :
SERVICES D’ADMINISTRATION DES IDENTITES Au sein d’une grande organisation, une infrastructure de gestion des identités requiert une administration qui se doit d’être flexible, gérée soit sur un mode central, soit de façon déléguée, voir dans certains cas suivant un modèle spécifié directement par l’entité. L’administration déléguée est un élément extrêmement important afin d’assurer la réussite de tels projets, et donc également au sein d’InterLDAP : pour toute structure de l’annuaire, vous pouvez définir un groupe responsable de celle-ci afin d’inclure les personnes qui sont à même de la gérer ainsi que, suivant le modèle précisé, l’ensemble des objets (structures, affectations, ressources, ...) dépendants de cette structure. Ce groupe peut également déléguer la gestion des objets en créant et en effectant des personnes à un nouveau groupe responsable associé à l’entité délégué. A titre d’exemple, un centre de compétences doit être administré par son responsable, toutefois dans la réalité, il va en déléguer la gestion à son secrétariat. Les organisations peuvent donc disposer d’une administration déléguée en exploitant différents modèles suivant les ressources administrées : la hiérarchie permet de gérer les nominations, les administrateurs sont à même de déléguer à des responsables applicatifs fonctionnels la gestion de leur population, l’organisation géographique permettra de déléguer la gestion des adresses, boîtes postales internes, ... InterLDAP fournit les outils nécessaires pour contrôler les droits de visualisation, de mise à jour, de création et de suppression d’enregistrements, à ceux qui sont à même de gérer mais également de déléguer ces droits à tout autre personne. L’administration déléguée permet aux organismes de distribuer la charge de gestion et d’administration directement aux unités organisationnelles les plus proches de la population des utilisateurs finaux. En général, l’administration est centralisée à certains départements pour de multiples systèmes pour toute l’entreprise. Avec le système InterLDAP, les changements faits au travers d’une application connectée à l’annuaire sont partagés par l’ensemble des applications et donc par l’ensemble des systèmes. Il devient donc possible de déléguer l’administration de la gestion des utilisateurs d’un système dépendant de l’organisation générale, à chaque structure : à titre d’exemple le responsable financier d’une filiale ou d’une région, peut donc nommer les personnes qui y auront accès pour cette structure donnée et ce par le biais d’une interface fonctionnelle au sein d’InterLDAP. SERVICES DE GESTION DES ACCES Authentification, accréditation et Web SSO sont des services clés afin d’assurer la réussite d’un service de gestion des accès. De tels services sont utilisés pour assurer la gestion effective des accréditations des utilisateurs de façon à décider à quelles ressources l’utilisateur a accès : pages web, applications ou autres services. Les droits d’accès doivent pouvoir être assignés aux utilisateurs suivant leur rôle au sein de l’organisation. Avec le concept des groupes responsables, l’organisation est à même de définir une ensemble précis de droits d’accès utiles pour préciser les responsabilités des rôles, qu’ils soient employés, clients, fournisseurs ou partenaires commerciaux. L’authentification est le processus par lequel l’identité d’un utilisateur est vérifiée. Ce service nécessite l’utilisation d’informations adéquates basées sur une politique liée à des règles d’accès. Les méthodes d’authentification peuvent varier d’une simple identifiant / mot de passe à des méthodes plus sécurisées telles que les certificats ou les dispositifs biométriques. Le processus d’accréditation intervient lorsqu’un utilisateur authentifié cherche à accéder à une ressource. Le système doit alors valider l’accès, que ce soit à une application, à un service ou même aux informations d’identité et d’accréditation elle-même. L’accréditation peut être aussi bien basée sur un des rôles de l’utilisateur que sur la politique associée à ce rôle et permet de donner accès à des pages web spécifiques, à des URLs ou à des composants Java. Les conditions d’accréditation peuvent également exploiter la période de la journée ou le poste utilisé en combinaison (ou en remplacement) d’un des rôles de l’utilisateur. Le Web SSO permet à un utilisateur durant la même session (c’est-à-dire après une unique authentification) d’accéder à différentes applications Web, à différents services ou sites sans avoir à se ré-authentifier. Disposer d’une telle infrastructure associée à la gestion des droits et la gestion des identités permet d’introduire un niveau de sécurité important et diminuer les travaux affectés aux équipes informatiques. Le Web SSO ne nécessite que très peu d’intervention sur le serveur Web (au contraire d’autres solutions de SSO, aucun module n’est maintenu sur le serveur). Les serveurs actuellement supportés sont :
Toutefois toute autre serveur web en mesure de restreindre les accès par adresse IP, ou par certificat client peut être utilisé. SERVICES DE PROVISIONING Le provisioning est le processus permettant d’assurer la gestion des privilèges des utilisateurs et des systèmes sur des ressources et des services. Au sein d’une infrastructure de gestion des identités, l’administration doit pouvoir donc être centralisée ou disponibles en différentes localisations géographiques, organisationnelles et hiérarchiques afin d’assurer les différentes phases de ce processus. Afin de maintenir à jour les droits d’accès d’un utilisateur, InterLDAP utilise un workflow qui fournit la possibilité de gérer le provisioning. Quand un administrateur assigne des droits à certains utilisateurs, le workflow qui assure le processus de provisioning identifie puis notifie les mises à jour sur les applications et les fiches d’identité afin d’assurer la synchronisation pour l’ensemble des applications du SI. Au travers du service de méta-annuaire, il devient donc possible de maintenir à jour l’ensemble des droits d’accès, des profils et de politiques générales d’accès aux ressources. |
||
de services d’administration des identités