IDENTITÉ DIGITALE FÉDÉRÉE

Transcription

1 Informatique de gestion et systèmes d information ISnet 76 IDENTITÉ DIGITALE FÉDÉRÉE Projet déposé dans le cadre du programme Réserve stratégique de la HES-SO Juin 2003 Requérant principal : HEG Genève Peter Daehne

2 1 Quel est le problème? Le principe de l'identité digitale fédérée (federated digital identity) permet à deux systèmes d'authentification différents de corréler leur représentation propre d'éléments sécurisés (utilisateurs, applications, ) de telle manière que l'un des deux systèmes puisse accepter l'authentification de l'élément sécurisé effectuée par l'autre. Depuis 2001, certains standards émergent et essaient, avec plus ou moins de succès, de régler ce problème. On peut citer, parmi d'autres, SAML (Security Assertion Markup Language) [Saml], le Passeport de Microsoft [Pass] ou encore WS-Security [Wss]. En réponse à ce foisonnement de standards pour la plupart incompatibles entre eux, un consortium d'environ 160 entreprises s'est formé, principalement sur l'initiative de Sun Microsystems, sous le nom de Liberty Alliance avec comme tâche de définir un standard ouvert de gestion de l'identité digitale fédérée [LaA03]. Les objectifs de ce standard sont d'assurer l'interopérabilité des systèmes, de favoriser l'interaction d'individus et d'entreprises à travers un réseau sur une base sécurisée, respectant la sphère privée et assurant la sécurité des informations partagées. La version 1.1 de ce standard a été publiée dans le courant du mois de mars 2003 et les premiers prototypes d'implantation (la plupart fournis en open-source) commencent à apparaître. Le standard défini par Liberty Alliance permet à des entreprises de définir des liens de confiance facilitant ensuite la navigation d'un utilisateur (individu ou application) authentifié à travers les réseaux (LAN, intranet, internet, réseau mobile) de ces entreprises [LaB03]. En plus de la navigation, l'individu et/ou l'application authentifiés peuvent obtenir un accès sélectif (éventuellement payant) à des services d'informations [Pap03]. Il s'agit maintenant de concevoir un modèle de mise en œuvre de ce standard dans le cadre d'une PME. Le problème posé est à la fois technique et économique. D'un point de vue technique, il est nécessaire d'élaborer une architecture logicielle ainsi qu'une méthodologie de mise en œuvre adaptées à la structure et à la taille de l'entreprise ; du point de vue économique [Cla02], il faut développer de nouveaux modèles business pour les scénarios de définition des liens de confiance, les coûts et les revenus ainsi que les relations contractuelles entre prestataires et consommateurs de services. 2 Pourquoi faut-il absolument résoudre ce problème? Le partage d'informations entre les entreprises et leurs clients et partenaires a pris de plus en plus d'importance dans le monde économique actuel. Cette situation, outre l'augmentation constante de la quantité d'information partagée, a mis en évidence l'importance de l'adhésion à des standards d'authentification des utilisateurs, individus ou applications [Nor02]. Ces dernières années, la fonction de l'internet a évolué de l'interconnexion d'ordinateurs vers l'interconnexion d'applications et de services. Le nombre de clients ainsi que le nombre de dispositifs et points d'accès à ces applications et services ont également explosé. La gestion de l'identité est ainsi devenue un élément vital de toute transaction, qu'elle soit commerciale ou qu'il s'agisse d'un échange de données. Celle-ci est devenue une composante critique de chaque entreprise active dans un environnement distribué [Pap03]. Le standard de Liberty Alliance propose une architecture de gestion de l'identité digitale. À chaque identité sont associés des attributs permettant une gestion fine et ciblée de ces systèmes distribués tout en préservant l'intégrité et la confidentialité des données représentées par ces attributs. Cette dernière caractéristique est vitale dans l'établissement de la relation de confiance entre l'entreprise et ses partenaires. L'architecture proposée permet également l'intégration de l'existant, atout fondamental pour une large acceptation de cette technologie. Ecole Haute École de Gestion de Genève Adresse 7, route de Drize, CH-1227 Carouge Tél. : Fax : Page 2 sur 6 /

3 Il est maintenant essentiel de disposer d'un modèle de mise en œuvre de ce standard ainsi que des modèles business associés de manière à être prêts à répondre à la demande des PME du tissu économique local. Il est fondamental de résoudre simultanément les problèmes techniques et business qui se posent dans ce cadre de manière à pouvoir proposer une solution cohérente et complète qui permette aux entreprises de prendre des décisions stratégiques tant sur le plan technologique que commercial. 3 Pourquoi la HES-SO (école, établissement, centre de compétences / institut / groupe de compétences) doit-elle résoudre ce problème? Ce projet s'inscrit dans le cadre des pôles de compétences en sécurité et fiabilité des systèmes d'information ainsi que dans celui des systèmes d'information distribués et mobiles de la Haute École de Gestion de Genève et du Centre de Compétences ISNet. Notre laboratoire est déjà bien engagé dans les réflexions sur l'architecture distribuée et l'étude des problèmes concernant la sécurité informatique. Le problème de la mise en œuvre de ce standard s'inscrit donc totalement dans cette démarche puisqu'il touche précisément le domaine de la gestion applicative de l'authentification dans des services et applications distribués. Il s'agit d'un problème relevant complètement de la recherche appliquée car les sujets traités sont d'une grande actualité et concernent un nombre croissant de PME actives (ou projetant de le devenir) dans des environnements distribués et mobiles. Il permet de jeter les bases d'un transfert de connaissances utiles vers les entreprises concernées. L'aspect interdisciplinaire du projet est également crucial car le problème posé est non seulement technologique, mais également économique. La Haute École de Gestion de Genève étant également active dans les disciplines de l'économie d'entreprise, les liens de collaboration horizontaux existant dans l'établissement forment les conditions-cadre idéales au développement conceptuel et à l'implantation du modèle proposé. Il nous semble dès lors tout à fait opportun de jeter dès aujourd'hui les bases conceptuelles et méthodologiques de la problématique de gestion de l'identité digitale et des modèles business y associés dans le cadre d'une PME. Notons enfin que ce projet ouvre par ailleurs la perspective de mandats industriels, voire de projets CTI. 4 Quels sont les objectifs principaux du projet? Les objectifs principaux du projet sont à la fois techniques et économiques. Ils visent à concevoir une architecture et une méthodologie de mise en œuvre du concept d'identité digitale fédérée dans le cadre d'une PME ainsi que de développer les modèles business associés à cette mise en œuvre. En particulier, nous nous proposons : d'évaluer la conformité des premiers prototypes d'implantation aux spécifications ; de concevoir une méthodologie de mise en œuvre de l'identité digitale fédérée (en déployant les outils de Liberty Alliance) dans le cadre d'une PME ; de définir l'architecture logicielle et matérielle nécessaire à ce déploiement ; en application de la méthodologie, de développer un prototype opérationnel mettant en évidence les caractéristiques d'une telle solution ; ainsi que de développer les modèles business pour : les scénarios de déploiement interentreprises de l'identité digitale fédérée ; les modèles de coûts et de revenus de telles solutions ; les relations contractuelles régissant les droits et les devoirs des divers participants. Page 3 sur 6 /

4 Le résultat de notre recherche devrait permettre aux entreprises de disposer d'une solution complète et cohérente leur permettant de prendre en connaissance de cause les décisions stratégiques techniques et commerciales nécessaires à leur positionnement dans un environnement distribué sécurisé. Notre approche fournira finalement les fondements d'une collaboration interentreprises dans cet environnement. 5 En quoi les résultats obtenus vont-ils être utiles à l école, établissement, centre de compétences / institut / groupe de compétences et à la formation dispensée par la HES-SO? Notre recherche permettra de développer une compétence unique dans un secteur représentant un des plus grands défis technologiques pour le développement de solutions informatiques distribuées. L'expertise acquise et les solutions développées pourront directement être exploitées dans le cadre de transferts de technologie vers les PME-PMI. Les domaines couverts par la recherche sont l'ingénierie logicielle, la sécurité informatique, les architectures distribuées ainsi que la modélisation business de transactions et de collaborations électroniques. Des éléments des résultats pourront être intégrés à divers cours des filières informatique de gestion et économie d'entreprise ; on peut citer en particulier les cours d'analyse, d'algorithmes, de programmation, de génie logiciel et de gestion d'entreprise. Les résultats de projet serviront de fondement de nouveaux cours de formation que nous pourrons proposer dans le cadre des études HES (Bachelor et Master) ainsi que de cours de formation continue. Il ouvre également la perspective de mandats confiés par des PME à la Haute École de Gestion. 6 En quoi votre contribution se distingue-t-elle de l état de l art? Les standards de gestion d'une identité digitale fédérée définis par Liberty Alliance sont des spécifications architecturales et techniques. Celles-ci définissent les conditions de l'interopérabilité de systèmes disparates, les règles de gestion des informations confidentielles des utilisateurs identifiés, l'intégration des standards existants, etc. Depuis le courant du mois de mars 2003, certains partenaires du consortium fournissent des outils implantant ces spécifications. Le problème de la méthodologie de mise en œuvre de ces outils ainsi que celui de la modélisation business des transactions et collaborations électroniques dans ce contexte n'est, à notre connaissance, pas du tout abordé [Van03]. La conception d'une méthodologie, la réalisation d'une architecture complète sous forme de prototype ainsi que l'élaboration des modèles business associés constitue donc une approche originale et de grande importance dans le domaine de gestion de l'identité digitale fédérée. 7 Quelles sont les étapes de votre projet? A chaque étape (sauf la première) correspond un délivrable mentionné au point 8 de ce document. 1. Approfondissement de l'étude des spécifications détaillées de l'architecture et des standards définis par Liberty Alliance. Durée : 10 J/H 2. Évaluation de la conformité des prototypes d'implantation aux spécifications ; choix du ou des prototypes d'implantation retenus pour la conception du modèle d'application. Durée : 25 J/H 3. Conception d'une méthodologie de mise en œuvre de l'identité digitale fédérée en déployant les outils retenus. Durée : 45 J/H Page 4 sur 6 /

5 4. Développement des modèles business. Durée : 10 J/H 5. Définition de l'architecture logicielle et matérielle nécessaire au déploiement de l'identité digitale fédérée. Durée : 20 J/H 6. En application de la méthodologie, développement du prototype opérationnel. Durée : 30 J/H Résumé des étapes, durées et écoles impliquées Étape Durée Ecole Approfondissement de l'étude des spécifications 10 J/H HEG Genève Évaluation de la conformité des implantations 25 J/H HEG Genève Conception de la méthodologie de mise en œuvre 45 J/H HEG Genève Développement des modèles business 10 J/H HEG Genève Définition de l'architecture logicielle et matérielle 20 J/H HEG Genève Développement du prototype-modèle opérationnel 30 J/H HEVs Total 140 J/H 8 Quels sont les délivrables et quand ces éléments vont-ils être remis? Rapports : (les dates sont calculées sur la base d'un démarrage du projet début octobre 2003) 1. Rapport de synthèse sur la conformité des principaux prototypes d'implantation aux spécifications de Liberty Alliance. Prévu : fin janvier Méthodologie de mise en œuvre de l'identité digitale fédérée en déployant les outils retenus dans le cadre d'une PME. Prévu : fin juin Modèles business. Prévu : fin avril Spécification d'architecture logicielle et matérielle. Prévu : début septembre Prototype opérationnel. Prévu : fin octobre Rapport final. Prévu : début novembre Publication du résultat de ces travaux dans une revue professionnelle spécialisée. Prévu : automne La HES-SO dispose-t-elle des équipements nécessaires pour réaliser ce projet? Oui. 10 Bibliographie [Cha02] David Chappel, Tyler Jewell, Java Web Services, O'Reilly & Associates, Mars 2002, ISBN [Cla02] Mike Clark, Peter Fletcher, Jeffrey Hanson, Romin Irani, Mark Waterhouse, Jorgen Thelin, Web Services Business Strategies and Architectures, Expert Press, Août 2002, ISBN Page 5 sur 6 /

6 [Dei02a] Harvey Deitel, Paul Deitel, J. Gadzik, K. Lomeli, S. Santry, S. Zhang, Java Web Services For Experienced Programmers, Prentice Hall, Août 2002, ISBN [Dei02b] Harvey Deitel, Paul Deitel, B. Duwalt, L. Trees, Web Services: A Technical Introduction, Prentice Hall, Août 2002, ISBN [LaA03] Liberty Alliance Project, Introduction to the Liberty Alliance Identity Architecture, mars 2003 [LaB03] Liberty Alliance Project, Business Benefits Of Federated Identity, avril 2003 [Nor02] Eric Norlin & André Durand, Federated Identity Management, [Pap03] Greg Papadopoulos, Getting It Right Digital identification and fine-grained billing in the Web services world, [Pass] Microsoft Passport, [Saml] SAML, [Tas02] John Taschek, Liberty Alliance or Passeport?, Juin 2002 [Van03] Michelle Vance, Tiffany Van Gorder, Liberty Alliance Releases New Specifications, Privacy and Security Guidelines to Drive Development of Identity-Based Web Services, Avril 2003 [Wss] WS-Security, Lieu / Date : Genève, le 5 mai 2003 Signatures : Chef de projet : Coordinateur du centre de compétences : Signature autorisée par la direction de l'école : Annexes : Demande de financement Fiche signalétique Attestation de co-financement Page 6 sur 6 /