ech-0107 Principes de conception pour la gestion de l identité et de l accès (IAM)

Transcription

1 Nrmes en cyberadministratin Page 1 sur 28 ech-0107 Principes de cnceptin pur la gestin de l identité et de l accès (IAM) Titre Cde Type Stade Principes de cnceptin de l'iam ech-0107 Best Practice Définie Versin 1.00 Statut Annulé Validatin Date de publicatin Remplace Langues Auteur(s) Français, Allemand Willy Müller, ISB, willy.mueller@isb.admin.ch Hans Häni, AFT TG, hans.haeni@tg.ch Grupe de prjet -SEAC IAM Éditeur / Distributeur T , F / Cndensé Le présent dcument définit les exigences, les principes et les règles relatifs à la cnceptin du système IAM, qui divent être cnsidérés dans le cadre de la mise à dispsitin des slutins IAM fédératives dans la cyberadministratin Suisse, pur que les applicatins et les services lcaux dans les infrastructures nuvelles et existantes puissent utiliser ces ffres. Ces bnnes pratiques divent aussi être utilisées dans le service de la cybersanté Suisse.

2 Nrmes en cyberadministratin Page 2 sur 28 Table des matières Statut du dcument Intrductin Dmaine d'applicatin Définitins IAM Exigences Structure rganisatinnelle Aperçu Principes généraux de prjet Identity Prvider (IdP) Credential Prvider Claim Prvider (CP) Authenticatin Prvider Authrizatin Prvider Access Prvider Respnsable des ressurces Service de vérificatin de l'attributin des drits Architecture du système d'infrmatin Architecture des dnnées Architecture des applicatins Aperçu Principes généraux de cnceptin Services de gestin Identity Management Service Credential Management Service Claim Management Service Gestin des drits pur l accès aux ressurces Gestin des drits, utilisatin des ressurces Access Services Client Service d identificatin... 20

3 Nrmes en cyberadministratin Page 3 sur Access Service Service d'authentificatin Service d'autrisatin Ressurce Dmaines et leur interactin Principes de cnceptin Mise en œuvre Exclusin de respnsabilité Drits de tiers Drits d auteur Annexe A Références & bibligraphie Annexe B Cllabratin & cntrôle Annexe C Abréviatins Annexe D Glssaire... 28

4 Nrmes en cyberadministratin Page 4 sur 28 Statut du dcument Le présent dcument a été annulé par le Cmité d experts. Par cnséquent, il a frce nrmative pur le champ d applicatin défini dans le dmaine de validité déterminé.

5 Nrmes en cyberadministratin Page 5 sur 28 1 Intrductin 1.1 Dmaine d'applicatin Le présent dcument définit les exigences et les principes de cnceptin du système de gestin des identité et des accès (IAM). Ces principes divent être cnsidérés dans le cadre de la mise à dispsitin des slutins IAM fédératives dans la cyberadministratin suisse, pur que les applicatins et les services lcaux puissent utiliser ces ffres de façn intrarganisatinnelle. Ce dcument sert de guide pur tus ceux qui créent des slutins IAM dans le dmaine de la cyber-administratin. Le dcument décrit une architecture cnceptinnelle qui dit cnstituer la base du prjet en vue de la créatin de nuvelles slutins IAM et de l évaluatin des slutins IAM existantes. L IAM est l un des myens permettant de mettre en place des mesures imprtantes en termes de sécurité. En cnséquence, les slutins IAM divent naturellement satisfaire aux exigences de sécurité en vigueur, qui snt suvent élevées. Ces exigences snt décrites dans les nrmes de sécurité crrespndantes, et ne sernt pas à nuveau mentinnées dans ce dcument. La structure du dcument est basée sur le cadre d'architecture [TOGAF]. Elle cntient des principes de prjet qui sernt appliqués 1 dans les phases «B. Structure rganisatinnelle» et «C. Architecture du système d infrmatin». 1.2 Définitins IAM Définitin des termes suvent utilisés dans ce dcument : IAM Sujet Ressurce Client Gestin des identités et des accès (Identity and Access Management) Entité qui a accès u vudrait avir accès à une ressurce électrnique. Il peut s'agir d'une persnne physique u mrale, mais aussi d'une machine. Applicatin, service, fnctin, prcessus u dnnées, auquel un sujet vudrait avir accès. Système technique (applicatin, navigateur Internet etc.), au myen duquel le sujet accède à la ressurce. 1 ech-0107 peut être cnsidéré cmme «Fundatin Architecture» dans le sens du cntinuum d architecture seln TOGAF, vir The Open Grup. TOGAF Versin 9. The Open Grup Architecture Framewrk (TOGAF), p 543 et suivantes.

6 Nrmes en cyberadministratin Page 6 sur 28 Identité Identité numérique Identifiant Espace de nms Credential Security Tken Claim Inscriptin Administratin Authentificatin Authentificatin Autrisatin Identity Prvider (IdP) Credential Prvider Identifiant, suvent asscié à une quantité de caractéristiques supplémentaires, qui peuvent être attribuées clairement à un Sujet dans un espace de nms. Un sujet peut psséder plusieurs identités. Identité, au frmat cdé, qui peut être traitée en frmat électrnique. Chaîne de caractères qui définit clairement un sujet dans un espace de nms. Dmaine d'applicatin, pur lequel une chaîne de caractères est définie (p. ex. une entreprise, un Etat, une cmmunauté spécialisée, une cmmunauté linguistique). Habilitatin et infrmatin d identificatin, grâce auxquelles l'identité d'un sujet demandant l'accès peut être vérifiée. Jetn de sécurité (tken de sécurité) qui peut être utilisé pur autriser l'accès à une ressurce. Affirmatin sur un sujet, certifiée cnfrme par un rganisme fficiel, p. ex. "a 18 ans", "est médecin". (Dans les uvrages IAM, n truve également les termes 'rôle', 'attribut' u 'grupe' seln le cntexte). Prcessus visant à btenir une identité u un credential délivré par un service d'inscriptin. Dans ntre cntexte, btentin de tutes les cnditins nécessaire afin de puvir définir, au mment de l accès, si un sujet est autrisé à accéder à une ressurce. Justificatin de l'identité d'un sujet. Prcessus de vérificatin d'une identité. Délivrance d'un drit d'accès pur une identité vérifiée. Furnisseur d'identités numériques. Furnisseur de Credentials, p. ex. furnisseur de certificats électrniques.

7 Nrmes en cyberadministratin Page 7 sur 28 Claim Prvider (CP) Respnsable de ressurce Access Prvider Authenticatin Prvider Authrizatin Prvider Plicy Plicy Enfrcement Pint User Trust-Level Autrisatin grssière Autrisatin précise Accès Auditing Dmaine Dmaine de base Organisme qui enregistre les Claims et certifie qu'un sujet crrespnd à un Claim défini (p. ex. ccupe un certain rôle). Organisme respnsable de l'attributin de drits de Claims pur l'accès aux ressurces qu'il gère (p. ex. : respnsable d'applicatin, respnsable de service, prpriétaire de dnnées). Organisme qui réalise de façn centralisée l'ensemble du prtcle d'authentificatin et d'autrisatin et prend la décisin définitive d'autriser l'accès en se basant sur les Credentials mis à dispsitin etc. L'Access Prvider met également à dispsitin les dnnées nécessaires aux services de cmptabilité, de facturatin et de délivrance de licences d'utilisatin. Organisme qui furnit une prestatin d'authentificatin. Organisme qui furnit une prestatin d'autrisatin. Dans ntre cntexte : IAM-Plicy. Réglementatins et prescriptins cnsignées par écrit et devant être bservées pur respecter les bjectifs des dmaines cncernés. (PEP) Lieu ù la plicy est appliquée. Persnne qui suhaite accéder à une ressurce. Niveau de cnfiance cnclu entre les participants, qui définit les exigences en terme de sécurité des prcessus et des cmpsants technlgiques. Autrisatin u refus de l'accès à une ressurce. Autrisatin u refus de l'accès à certaines fnctins u dnnées mises à dispsitin par une ressurce. Activatin d'une ressurce, dans le but d'exécuter une fnctin u d'extraire des dnnées. Pur garantir la clarté et la vérifiabilité, les accès snt enregistrés. a) Vérificatin de la cnfrmité à la Plicy. b) Liste de tutes les actins et décisins pur garantir la traçabilité. Cmmunauté u rganisatin avec une plicy cmmune. Dmaine qui gère des ressurces et qui impse le respect de la Plicy pur les Plicy Enfrcement Pints.

8 Nrmes en cyberadministratin Page 8 sur 28 Meta-dmaines Auditing Dmaines que le travail en cllabratin régit entre deux u plusieurs dmaines. a) Vérificatin de la cnfrmité à la Plicy. b) Liste de tutes les actins et décisins pur garantir la traçabilité. Remarque : certains termes snt suvent utilisés en anglais dans les uvrages de référence. Nus avns évité d'utiliser des termes français de façn cnséquente. 2 Exigences Exigences IAM à l'égard des utilisateurs Je dis indiquer mn identité uniquement lrsque cela est nécessaire. Je dis indiquer mes Credentials uniquement lrsque cela est nécessaire. Je peux accéder aux ressurces sécurisées dans le mnde entier, indépendamment du lieu ù je me truve. Je n'ai besin que de peu d'identités électrniques. Je ne dis gérer qu'un faible nmbre de Credentials. Il est bn marché de se prcurer des identités électrniques et des Credentials. Il est facile de se prcurer des identités électrniques et des Credentials. Les identités électrniques et les Credentials snt faciles à utiliser. Un éventuel représentant peut agir à ma place. Dans le cas ù il me représente (cnfirmé par les Claims crrespndants), sn identité électrnique recevra les drits nécessaires pur les ressurces requises. Persnne ne peut avir accès à mes dnnées persnnelles, sauf si je l'autrise expressément. La slutin est fiable. Je peux définir un représentant qui peut agir à ma place. Le représentant peut être une autre persnne u une machine. Exigences IAM à l'égard des respnsables de ressurces Il est impssible d'abuser des ressurces. L'accès aux ressurces est accrdé uniquement aux persnnes u aux systèmes autrisés. Les dépenses liées à la gestin des identités électrniques snt minimales. Les dépenses liées à la gestin des Credentials snt minimales.

9 Nrmes en cyberadministratin Page 9 sur 28 Les dépenses liées à la gestin des Claims snt minimales. Les dépenses liées à la gestin des autrisatins snt minimales. Les bjectifs juridiques, ntamment la prtectin des dnnées ainsi que tus les autres bjectifs de sécurité spécifiques à l rganisatin divent être garantis à tut mment. La clarté et la vérifiabilité de l'accès d'un certain sujet à une ressurce définie à un mment dnné snt garanties. Le rapprt entre une identité électrnique et ses Credentials dit être garanti à tut mment. Les nrmes et standards techniques et rganisatinnels en vigueur divent être respectés.

10 Nrmes en cyberadministratin Page 10 sur 28 3 Structure rganisatinnelle 3.1 Aperçu Le graphique suivant représente la structure rganisatinnelle de l'iam de façn schématique. La distinctin entre le temps de définitin et le temps d'exécutin est essentielle, puisque les Prvider respnsables nt des rôles différents. Illustratin 1 : Structure rganisatinnelle Prcessus du temps de définitin Pendant le temps de définitin, tutes les cnditins requises snt créées pur puvir définir au mment de l'accès si un sujet a le drit d'accès à une ressurce. Le dérulement du "temps de définitin" dit avir lieu avant la première utilisatin de la ressurce par le sujet. L'Identity Prvider garantit l'identificatin physique du sujet à l'aide des règles définies. En se basant sur l'identité, le Credential Prvider met à dispsitin des Credentials.

11 Nrmes en cyberadministratin Page 11 sur 28 Le Claim Prvider enregistre les infrmatins dnt il a besin pur apprter la preuve qu'un sujet crrespnd bien aux Claims demandés en vue du temps d'exécutin. Prcessus du temps d'exécutin L'rganisme respnsable de l'accès au mment de l'exécutin est l'access Prvider. Il cntrôle l'accès à la ressurce de façn centralisée. Pur cela, il a recurs aux services mis à dispsitin par l'authenticatin Prvider et l'authrizatin Prvider. Le graphique représente clairement l'interdépendance des Prviders (lignes discntinues). Elles indiquent que les Prviders du temps de définitin mettent les dnnées apprpriées (certificats, Claims etc.) à la dispsitin des Prviders du temps d'exécutin. Chacun des prcessus effectués peut être assuré par différents rôles, unités d'rganisatin, suvent même par des rganisatins (vir Tableau 1). Les chapitres suivants décrivent brièvement les tâches des différents rôles (et implicitement les prcessus). Prcessus Rôles Temps de définitin : Identity Management Credential Management Claim Management Gestin des drits Vérificatin de l'attributin des drits Identity Prvider Credential Prvider Claim Prvider Respnsable des ressurces Service de vérificatin de l'attributin des drits Temps d'exécutin : Utilisatin des ressurces Vérificatin de l'accès Authentificatin Autrisatin Sujet Access Prvider Authenticatin Prvider Authrizatin Prvider Tableau 1 : Prcessus IAM et rôles u rganismes crrespndants Relatins de cnfiance (Trust-Relatinships) Cmme les services de gestin snt furnis en règle générale par des rganisatins u des unités d'rganisatin extérieures, les relatins de cnfiance divent être établies entre les différents Prviders. L'établissement de ces relatins de cnfiance est assuré habituellement

12 Nrmes en cyberadministratin Page 12 sur 28 dans le cadre de la négciatin des cntrats crrespndants. Ceux-ci dépassent suvent les limites du réseau. L'ensemble des prtcles d'authentificatin et d'autrisatin intègre uniquement les services des Prviders liés par une relatin de cnfiance. Les indicatins des autres Prviders ne snt pas acceptées. 3.2 Principes généraux de prjet Les prcessus et les fnctins liés à l'attributin d'identifiants, de Credentials, de Claims et de drits relatifs aux Claims peuvent être gérés indépendamment les uns des autres par différentes rganisatins et les ressurces crrespndantes peuvent être intégrées et administrées indépendamment les unes des autres sur le plan technique. 3.3 Identity Prvider (IdP) L'Identity Prvider attribue des identités numériques. Gestin des identités avec des mesures apprpriées pur éviter les dublns Mise à dispsitin d'un service d'infrmatin L'Identity Prvider définit et publie: les règles d'attributin, d'utilisatin et de gestin des identités la qualité de l'identificatin le dmaine de validité des identités attribuées le prcessus d'identificatin les cnditins d'utilisatin par les partenaires Principes de cnceptin : Il peut y avir différents ID Managment Prviders. L'ID-Prvider peut chisir le type d'identifiant. Le service dit puvir être cntrôlé et vérifié en permanence. 3.4 Credential Prvider Le Credential Prvider furnit des myens de vérifier les identités numériques. Mise à dispsitin des Credentials apprpriés pur une identité Gestin du lien entre l'identité et ses Credentials Principes de cnceptin : Il peut y avir différents Credential Prviders.

13 Nrmes en cyberadministratin Page 13 sur 28 Les Credentials peuvent se différencier au regard de la cnceptin technlgique et du niveau de sécurité ainsi atteint. Le niveau de cnfiance et de sécurité des Credentials est défini et publié. Les prcessus d'attributin, après l expiratin et l'abus de Credentials, snt définis. 3.5 Claim Prvider (CP) Le Claim Prvider gère les infrmatins requises pur vérifier si un sujet crrespnd à un Claim à un mment dnné. Gestin de la banque de dnnées de Claims Vérificatin, enregistrement u suppressin de Claims, c.à.d. annnce qu une certaine identité remplit un Claim défini. Certificatin des Claims gérée auprès des demandeurs autrisés Définitin des prcessus d'attributin, après l expiratin et l'abus de Claims Principes de cnceptin : Le Trust Level attribué pur la certificatin des Claims est défini. 3.6 Authenticatin Prvider L'Authenticatin Prvider met à dispsitin un service qui vérifie l'identité numérique à l'aide d'un Credential. Met à dispsitin un service électrnique d'authentificatin (Authenticatin Service). Gère et dcumente les relatins de cnfiance, auprès des Identity Prviders et Credential Prviders qu'il assiste Dcumente les Trust Levels qu'il a attribués et les technlgies de sécurité. Principes de cnceptin : Pur furnir sa prestatin, l'authenticatin Prvider cllabre avec les Identity Prviders et Credential Prviders cncernés. 3.7 Authrizatin Prvider L'Authrizatin Prvider met à dispsitin un service qui vérifie si un sujet a le drit d'accéder à une ressurce et dans quelles cnditins.

14 Nrmes en cyberadministratin Page 14 sur 28 Met à dispsitin un service électrnique en vue de l'autrisatin. Gère les relatins de cnfiance des Access Prviders et des Claim Prviders qu'il assiste Dcumente les Claims qu'il attribue Gère les exigences en termes d'autrisatin en vue de l'accès aux ressurces qu'il administre et qui lui snt signalées par les respnsables des ressurces. Principes de cnceptin : Attributin de Claims gérés par divers Claim Prviders indépendants. Les règles d'autrisatin snt définies exclusivement pur les Claims, jamais pur des sujets précis. 3.8 Access Prvider L'Access Prvider met à dispsitin un service qui vérifie l'identité d'un demandeur pur le rediriger vers une ressurce uniquement si ce demandeur a le drit d'y avir accès. Met à dispsitin un service électrnique - l'access Service - qui garantit le respect des directives relatives à la sécurité de l'accès aux ressurces utilisées. Gère les relatins de cnfiance des Authenticatin Prviders et des Authrizatin Prviders qu'il assiste. Garantit, si nécessaire, le caractère cmplet des dcumentatins de tus les accès (Auditing), ainsi que la qualité des Credential utilisés. Principes de cnceptin : L'Access Prvider assiste les différents Identity Prviders, Credential Prviders et Claim Prviders - au mieux, tus les Prviders cncernés. L'Access Prvider attribue tus les Trust Levels curants. L'Access Prvider attribue de façn idéale tutes les technlgies de sécurité apprpriées (p. ex. mts de passe, certificats électrniques, mts de passe uniques pur l'authentificatin). L'Access Prvider peut ccuper le rôle d'un Authenticatin Prvider et d'un Authrizatin Prvider. 3.9 Respnsable des ressurces Le respnsable des ressurces définit qui a le drit d'avir accès aux ressurces. Le respnsable des ressurces est l'rganisme respnsable de l'attributin des drits aux Claims dnnant accès aux ressurces qu'il gère.

15 Nrmes en cyberadministratin Page 15 sur 28 Le respnsable des ressurces définit les exigences en termes de sécurité relative aux ressurces qu'il gère et les signale à l'authrizatin Prvider. Il définit en particulier : le Trust/Security Level requis pur une ressurce, à quel Identity Prvider, Credential Prvider et Claim Prvider la ressurce est cnfiée (c.-à-d. par quel rganisme d'attributin les identités, les Credentials et les certificatins de Claim sernt acceptés), à quel Claims un sujet dit crrespndre, pur avir le drit d'avir accès à une ressurce, quels drits snt accrdés en fnctin des Claims, lrs de l'accès à la ressurce, Le respnsable des ressurces assure la cnvivialité de la présentatin des cnditins d'utilisatin et de respnsabilité, valables dans le cadre de l'utilisatin de la ressurce. Principes de cnceptin : Les drits snt tujurs accrdés exclusivement seln les Claims (u une cmbinaisn de ceux-ci), jamais directement à l'utilisateur. Les administrateurs snt sumis aux mêmes exigences en termes de sécurité (accès et autrisatin) que les autres sujets. Des Claims spécifiques snt définis même pur les tâches de gestin. Ce principe est valable pur tus les sujets et les ressurces, p. ex. pur les gestinnaires d'identités, de Credentials et de Claims Service de vérificatin de l'attributin des drits Le service de vérificatin assure que les drits snt accrdés de façn cnfrme aux directives relatives à la sécurité de l'accès, au-delà du système.

16 Nrmes en cyberadministratin Page 16 sur 28 4 Architecture du système d'infrmatin 4.1 Architecture des dnnées Cnfrmément à la ntatin UML [UML], le graphique suivant représente les principaux bjets de dnnées dans le dmaine de l'iam et autres dmaines cnnexes : Illustratin 2 : Architecture des dnnées. Une étile signifie «0 à plusieurs». Une fin de ligne sans étile signifie «exactement 1». Un sujet peut avir plusieurs identités avec chacune un identifiant respectif. Chaque identifiant est attribué habituellement par un Identity Prvider différent. Pur chaque identité, un sujet peut avir plusieurs Credentials, qui peuvent avir différentes qualités (p. ex. mts de passe, certificats électrniques) et être attribués par des Prviders ayant différentes règles de sécurité. Il faut bserver que les Credentials peuvent aussi crrespndre à des identités existantes, c.-à-d. que l'identificatin n'est nécessaire qu'une seule fis, tutefis, n peut utiliser un nmbre quelcnque de Credentials. Un sujet crrespnd habituellement à plusieurs Claims, p. ex. il peut ccuper différents rôles, qui, en règle générale, ne snt pas tus attribués (certifiés) par le même Claim Prvider. Les drits snt gérés par le respnsable des ressurces. Les drits définissent quel Claim (u quelle cmbinaisn de Claims) a le drit d'accéder à une ressurce et dans quelles cnditins. Chaque accès d'un sujet à une ressurce - dans la mesure ù il y a une demande - est dcumenté. La smme des infrmatins relatives à l'accès permet la vérificatin cntrôlable et

17 Nrmes en cyberadministratin Page 17 sur 28 exigée d'un pint de vue légal. L'infrmatin relative à l'accès peut aussi être cnsultée à d'autres fins, p. ex. pur facturer les prestatins et réaliser des statistiques. Ces bjets snt décrits de façn détaillée dans le chapitre Architecture des applicatins Aperçu L'architecture du système d'infrmatin est définie par les cmpsants représentés sur l'illustratin suivante. Il y a une claire distinctin entre les services de gestin (représentés en bleu clair) et les services d'pératin. Les services d'pératin snt cncernés en premier lieu pur autriser l'accès à une ressurce. Dans certains cas, le sujet utilise un cmpsant hardware (p. ex. Smartcard, Carte mémire Memry Stick) pur enregistrer ses Credentials, impliquant la cllabratin avec le Client pur l'utilisatin d'un cmpsant hardware. Seln les furnisseurs, les services d'authentificatin et d'autrisatin peuvent accéder directement (service synchrne) u indirectement (le service de gestin furnit les dnnées dans le cadre d'une réplicatin) aux services de gestin crrespndants. Dans ce cas, l'access Service crrespnd au terme Plicy Enfrcement Pint (PEP), suvent emplyé dans les uvrages de références. Le PEP est chargé de garantir le respect de la Plicy définie également par des myens techniques (p. ex. par des prtcles sécurisés semblables à ceux utilisés dans le cadre de transactins etc.)

18 Nrmes en cyberadministratin Page 18 sur 28 Illustratin 3 : Architecture des applicatins La gestin des drits cntrôle, d une part, l'accès à la ressurce, et d autre part, la granularité fine de l accès aux fnctins mises à dispsitin par la ressurce. Les principes généraux de cnceptin et les différents cmpsants snt décrits en détail cidessus Principes généraux de cnceptin Les infrastructures de l'iam snt mdulaires et scalables. Les services cllabrent par l'intermédiaire d'interfaces standardisées qui utilisent des standards uverts (p. ex. Security Assertin Markup Language (SAML)). Pur l authentificatin et l autrisatin smmaire, les ressurces utilisent des services délcalisés. Les prtcles d'authentificatin nécessaires seln les exigences de l'utilisateur peuvent être effectués sur la même infrastructure de l'iam. Les infrastructures existantes peuvent être intégrées. L'authentificatin et l'autrisatin en vue de l accès aux ressurces repsent sur les identifiants, Credentials et Claims standardisés et certifiés seln le type d'applicatin. Le nmbre d'identifiants, de Credentials et de Claims utilisés dit être réduit au minimum et si pssible cnslidé : Quand cela est pssible, il faut utiliser en règle générale des identifiants, Credentials et Claims valables pur cntrôler les drits d'accès. Des cncepts fédératifs permettent de cnstruire les relatins de cnfiance (Trusts) avec d'autres dmaines et d'utiliser des identifiants, Credentials et Claims définis ailleurs. L'autrisatin de l'accès à une ressurce (dans la mesure ù elle est nécessaire sur le plan technique) nécessite préalablement l'authentificatin du sujet demandant l'accès. Aucune infrmatin sur le sujet demandant l'accès n'est transmise à la ressurce si cela n'est pas nécessaire techniquement. (Dans tus les cas, l'autrisatin a lieu uniquement sur la base des Claims indiqués.) Afin d encurager la réutilisatin, l accès aux dnnées de type Claim dit s effectuer par le biais d interfaces et de prtcles standardisés Services de gestin Identity Management Service L'Identity Management Service délivre et gère des identités électrniques.

19 Nrmes en cyberadministratin Page 19 sur 28 Furnit des fnctins d'attributin et de gestin d'identités électrniques. Limite la durée de vie des identités électrniques. Dnne aux Authenticatin Service Prviders dignes de cnfiance au mins l'accès électrnique aux infrmatins relatives aux identités Credential Management Service Le Credential Management Service délivre et gère des Credentials. Les Credentials peuvent être de différents types et snt attribués à un sujet défini. Furnit des fnctins d'attributin et de gestin des Credentials. Permet de vérifier la validité des Credentials gérés et l'appartenance à un identifiant. Limite la durée de vie des Credentials attribués. Dnne aux Authenticatin Service Prviders dignes de cnfiance au mins l'accès électrnique aux infrmatins relatives aux Credentials Claim Management Service Le Claim Management Service dcumente un u plusieurs Claims pur des sujets définis. Furnit des fnctins de gestin des infrmatins nécessaires pur puvir définir de manière incntestable si un sujet (précisément : l'identifiant d'un sujet) crrespnd à un Claim défini (p. ex. "Hans Meier est gémètre pur le cantn de Berne"). Certifie par vie électrnique l'attributin u la nn-attributin d'un Claim défini à un sujet (précisément : l'identifiant d'un sujet). Dnne aux Authrizatin Prviders dignes de cnfiance au mins l'accès électrnique aux infrmatins relatives aux Claims gérés Gestin des drits pur l accès aux ressurces La gestin des drits pur l accès aux ressurces administre les drits d'accès à une ressurce, c.-à-d. les indicatins qui divent être remplies par les Claims pur qu un sujet puisse accéder à une ressurce (autrisatin smmaire). Furnit des fnctins de gestin des infrmatins sur les Claims qui snt autrisé à accéder aux ressurces définies. Dnne aux Authrizatin Services dignes de cnfiance l'accès électrnique aux infrmatins relatives aux autrisatins gérées.

20 Nrmes en cyberadministratin Page 20 sur Gestin des drits, utilisatin des ressurces La gestin des drits pur l utilisatin des ressurces définit quels Claims/rôles peuvent appeler quelles fnctins des ressurces (autrisatin fine). Met à dispsitin les fnctins pur la gestin des infrmatins sur les Claims qui divent être remplis par un sujet pur puvir accéder à la fnctin de la ressurce crrespndante. Garantit l accès électrnique à la ressurce pur les infrmatins d autrisatin cncernées Access Services Client Le Client accède à une ressurce et vérifie l'identité du sujet demandant l'accès, dans la mesure ù cela est nécessaire. Il délègue l authentificatin à un service d identificatin u assure lui-même ces tâches. Interface : Out : Identifiant, Credential, [Claims] En ptin : appelle le service d identificatin en vue de l authentificatin. Appelle la ressurce et lui transmet l'identifiant et le Credential, éventuellement les Claims certifiés du sujet demandant l'accès. Si le Client est une interface utilisateur : publie les cnditins de respnsabilité lrs du Lgin, si exigé Service d identificatin Le service d identificatin permet au sujet de s authentifier, par exemple en demandant sn identifiant d utilisateur et sn mt de passe u un mt de passe unique, u en lisant les infrmatins nécessaires à partir d un Smartcard. Interface : Out : identificateur, Credential, [Claims] En ptin : demande la ressurce à appeler, pur laquelle les Claims et les Trust / Security levels snt nécessaires pur l accès. Authentifie le sujet cnfrmément au Trust / Security level (par ex. grâce au lg-in).

21 Nrmes en cyberadministratin Page 21 sur 28 Dans le cas ù il s agit d une interface-utilisateur chez le Client : Publie les dispsitins de respnsabilité lrs du Lgin, si exigé Access Service L'Access Service vérifie l'identité du sujet demandant l'accès et refuse l'accès si le sujet n'y a pas drit. Interface : In : Identifiant, Credential, [Claims], Ressurce Out : Security Tken Furnit au Client sur demande les infrmatins nécessaires relatives à la sécurité de l'accès (p. ex. les Claims nécessaires, le Trust Level exigé). Appelle un service d'authentificatin et annule l'pératin si l'authentificatin a échuée. Appelle un service d'autrisatin pur vérifier l'autrisatin et annule l'pératin si aucun Claim avec drit d'accès à la ressurce n'a été truvé pur le sujet demandant l'accès (l'identifiant représenté par le sujet). Transmet à la ressurce à appeler, dans le Security Tken, les infrmatins relatives à l'authentificatin et à l'autrisatin vérifiées. Crée et gère les infrmatins relatives à l'accès en vue d'un cntrôle, si exigé. Ces infrmatins cntiennent tutes les dnnées requises pur une clarté entière. Ces infrmatins peuvent être cnsultées en cas de besin à des fins de facturatin. Furnit des fnctins d'audit et de Mnitring vérifiées et vérifiables. Cllabre éventuellement avec le service de gestin des licences, p. ex. pur refuser l'accès, si le nmbre maximum de Cncurrent User est atteint. Principes de cnceptin Si le sujet ne dispse pas du drit d'utilisatin de l'applicatin à appeler, l'appel n'est pas transmis à la ressurce. L'Access Service fnctinne au-delà des limites des réseaux et des dmaines. Il peut être utilisé pur sécuriser l'accès aux ressurces les plus différentes. En cas de besin, il peut cllabrer avec plusieurs services d'authentificatin et d'autrisatin. Dans la mesure ù cela est pssible en cnsidérant le Trust-Level, les identités, Credentials et Claims existants peuvent être gérés par d'autres rganismes (fédératin) Service d'authentificatin Le service d'authentificatin vérifie à l'aide des Credentials si le sujet demandant l'accès est bien celui qu'il prétend être.

22 Nrmes en cyberadministratin Page 22 sur 28 Interface : In : Identifiant, Credentials Out : Identité vérifiée, indique si la vérificatin de l'identité est psitive u nn. Vérifie si les Credentials furnis crrespndent à l'identité de l'identifiant furni. Certifie l'identité du sujet demandant l'accès en cas de répnse psitive Service d'autrisatin Le service d'autrisatin vérifie que le demandeur a le drit d'accéder à la ressurce. Interface : In : Id vérifiée, Credentials, Ressurce, [Claims] Out : Security Tken (avec tutes les infrmatins nécessaires pur accéder à la ressurce, en particulier les certificatins de Claims) Cherche les Claims qui nt accès à la ressurce (dans la mesure ù ils ne snt pas transmis cmme paramètres de saisie). Vérifie que l'id vérifiée crrespnd à un u plusieurs des Claims exigés par la ressurce. Crée un Security Tken pur le sujet avec l'id vérifiée et les Claims certifiés nécessaires à l'accès. Limite la durée de vie du Security Tken. Principes de cnceptin Des Claims (rôles u attributs) snt acceptés par différents services de gestin des Claims. Si la ressurce n'exige pas de cnnaître le sujet demandant l'accès, l'id n'est pas enregistrée dans le Security Tken Ressurce La ressurce permet au sujet d'accéder à autant de fnctins qu'il peut utiliser seln les drits qui lui snt accrdés. Interface : In : Security Tken (avec tutes les infrmatins nécessaires pur accéder à la ressurce, en particulier les certificatins de Claims) La ressurce btient un Security Tken standardisé sur lequel elle se base pur prcéder à l'accès précis. Elle empêche l'accès à un sujet lrsque celui-ci ne dispse pas du drit d'accès en raisn des infrmatins furnies dans le Security Tken.

23 Nrmes en cyberadministratin Page 23 sur 28 Les fnctinnalités de l'authentificatin et de l'autrisatin snt indépendantes de la ressurce appelée. Les autrisatins snt définies exclusivement par rapprt aux Claims transmis à la ressurce. La ressurce furnit - si nécessaire - des fnctins d'audit et de Mnitring vérifiées et vérifiables. Remarques : Cmme la ressurce est appelée par l'intermédiaire d'interfaces et de Security Tken standard, elle peut être intégrée dans les prtails, si nécessaire. 5 Dmaines et leur interactin La cyberadministratin requiert la cllabratin électrnique au-delà des frntières rganisatinnelles. Il existe une pssibilité de résudre les prblèmes IAM en distinguant séparément chaque sujet avec un identifiant dans chaque cntexte d applicatin, en lui attribuant un prpre Credential et en lui affectant les Claims/rôles pertinents. Chaque cntexte d applicatin est cnsidéré en tant que dmaine prpre et islé (un «sil»). L étendue augmente ainsi pur tus les intéressés. Les sujets divent cnturner une multitude d identités et de Credentials. L envergure de la gestin pur les drits est alrs énrme. En même temps, le risque d erreurs et d abus augmente.

24 Nrmes en cyberadministratin Page 24 sur 28 Illustratin 4 : Dmaines et leur interactin Une autre apprche de slutin est privilégiée dans la plupart des cas (cf. illustratin 1) : si différentes rganisatin suhaitent travailler ensemble, elles déterminent une Plicy cmmune, seln les définitins existantes (ntamment Identités, Credentials et Claims) qu elles suhaitent utiliser ensemble. C'est-à-dire qu elles frment un méta-dmaine cmmun avec une Plicy prpre, qui a caractère bligatire pur tus les intéressés. Le méta-dmaine régit, entre autres, les pints suivants : - Quels sujets appartiennent au dmaine? - Cmment les sujets des dmaines snt-ils identifiés de manière unique? - Quels Credentials de quelle qualité sernt acceptés pur l authentificatin des sujets? - Quels Claims de quelle qualité sernt nécessaires pur les accès aux ressurces? - À quelle identité, Credential et Claim Prvider fera t-n cnfiance? 5.1 Principes de cnceptin La Plicy d un dmaine dit être cnsignée par écrit et être publiée et accessible pur tus les participants du dmaine. La quantité des dmaines dit être maintenue au minium. Lrsque cela est pssible, il faut se rattacher à un dmaine supérieur déjà existant au lieu d en créer un nuveau.

25 Nrmes en cyberadministratin Page 25 sur 28 Lrsque cela est pssible, les identités, Credentials et Claims déjà existants divent être réutilisés (par ex. fédératin, méta-directry cmmun ) Lrsque cela est pssible, les identités, Credentials et Claim-Prvider déjà existants divent être pris en cmpte. 6 Mise en œuvre Les présents principes du prjet décrivent, cmme le titre l indique, la façn dnt une cyberadministratin cmpatible avec un système IAM dit être administrée. Ces principes ne décrivent pas une slutin cncrète. Lrs de la mise en œuvre, une série de résultats supplémentaires dit être établie, entre autres : - Définitins des exigences mesurables - Cncept de prtectin et de sécurité des dnnées - Cncepts des rôles - Plicies - Structure des slutins.

26 Nrmes en cyberadministratin Page 26 sur 28 7 Exclusin de respnsabilité Drits de tiers Les nrmes élabrées par l'assciatin ech et mises gratuitement à la dispsitin des utilisateurs, ainsi que les nrmes de tiers adptées, nt seulement valeur de recmmandatins. L'Assciatin ech ne peut en aucun cas être tenue pur respnsable des décisins u mesures prises par un utilisateur sur la base des dcuments qu'elle met à dispsitin. L'utilisateur est tenu d'étudier attentivement les dcuments avant de les mettre en applicatin et au besin de prcéder aux cnsultatins apprpriées. Les nrmes ech ne remplacent en aucun cas les cnsultatins techniques, rganisatinnelles u juridiques apprpriées dans un cas cncret. Les dcuments, méthdes, nrmes, prcédés u prduits référencés dans les nrmes ech peuvent le cas échéant être prtégés par des dispsitins légales sur les marques, les drits d'auteur u les brevets. L'btentin des autrisatins nécessaires auprès des persnnes u rganisatins détentrices des drits relève de la seule respnsabilité de l'utilisateur. Bien que l'assciatin ech mette tut en œuvre pur assurer la qualité des nrmes qu'elle publie, elle ne peut furnir aucune assurance u garantie quant à l'absence d'erreur, l'actualité, l'exhaustivité et l'exactitude des dcuments et infrmatins mis à dispsitin. La teneur des nrmes ech peut être mdifiée à tut mment sans préavis. Tute respnsabilité relative à des dmmages que l'utilisateur purrait subir par suite de l'utilisatin des nrmes ech est exclue dans les limites des réglementatins applicables. 8 Drits d auteur Tut auteur de nrmes ech en cnserve la prpriété intellectuelle. Il s engage tutefis à mettre gratuitement, et pur autant que ce sit pssible, la prpriété intellectuelle en questin u ses drits à une prpriété intellectuelle de tiers à la dispsitin des grupes de spécialistes respectifs ainsi qu à l assciatin ech, pur une utilisatin et un dévelppement sans restrictin dans le cadre des buts de l assciatin. Les nrmes élabrées par les grupes de spécialistes peuvent, myennant mentin des auteurs ech respectifs, être utilisées, dévelppées et déplyées gratuitement et sans restrictin. Les nrmes ech snt cmplètement dcumentées et libres de tutes restrictins relevant du drit des brevets u de drits de licence. La dcumentatin crrespndante peut être btenue gratuitement. Les présentes dispsitins s appliquent exclusivement aux nrmes élabrées par ech, nn aux nrmes u prduits de tiers auxquels il est fait référence dans les nrmes ech. Les nrmes inclurnt les références apprpriées aux drits de tiers.

27 Nrmes en cyberadministratin Page 27 sur 28 Annexe A Références & bibligraphie [IAM Wiki] [UML] [TOGAF] Annexe B Cllabratin & cntrôle Fischer Markus Gantenbein Ret Häni Hans Itin Markus Jensen Rüdiger Lambelet Erich Lippuner Mathias Mathys Wlfram Meyer Elias Müller Willy Ottinger Vincent Perrud Thierry Petralia Andreas Ueltschi Andreas Sun Micrsystems (Suisse) AG TG ZH Swisstp BEDAG SG BEDAG Abraxas ISB Genève BIT Adnvum Sun/Oracle Annexe C Abréviatins IAM IdP CP UML PEP SAML TOGAF. Identity und Access Management Identity Prvider Credential Prvider Unified Mdelling Language Plicy Enfrcement Pint Security Assertin Markup Language The Open Grup Architecture Framewrk

28 Nrmes en cyberadministratin Page 28 sur 28 Annexe D Glssaire Vir chap. 1.2