Maîtrise Responsabilité Sécurité Contrôle 1

Transcription

1 Maîtrise Responsabilité Sécurité Contrôle 1

2 Roland Burgniard 2

3 GESTION DES IDENTITÉS GESTION DES DROITS D'ACCÈS Peuplement Propagation Utilisation DAC MAC RBAC TMAC ORBAC Maintien Dépeuplement * L authentification n est volontairement pas traitée. 3

4 Dans les entreprises, cela donne souvent ça : 4

5 Est il nécessaire de généraliser un modèle pour tous les besoins? Chaque modèle possède ses avantages et ses inconvénients. Il n'existe pas un modèle idéal, mais plutôt un modèle adapté à un besoin, à une complexité, à une ORGANISATION. 5

6 Un nouveau modèle pour la gouvernance des accès 6

7 ORFAG est l'acronyme anglais de «Organisation i Rolesl based For Access Governance» Développement Pragmatique de plusieurs années Début des Réflexions IA² : 2000 Basé sur GINA opérationnel avec plus de 200 services applicatifs. 7

8 C'est un modèle qui se veut unique au sein d'une grande entreprise. Il cohabite avec d autres modèles basés sur les rôles Il tient compte d'une double dynamique d évolution: la dynamique d'un service applicatif, avec son cycle de vie et sa vision de l'organisation théorique, La dynamique de l'organisation. Deux Responsabilités = Intervention de deux acteurs pour la délivrance d un dun droit d accès : Le propriétaire du service applicatif, le responsable de l'organisation bénéficiaire. 8

9 L autorisation d accès daccès Les services applicatifs L organisation Le modèle ORFAG traite d'un "Quoi" théorique, c'est à dire des rôles définis par les applications, et associe le "Qui" à des rôles dans une organisation gérée de manière unique et décentralisée é pour l'ensemble des services applicatifs. * L environnement (vue comme un domaine de sécurité) pourrait être considéré comme une quatrième composante 9

10 L autorisation d accès daccès Les services applicatifs L organisation On appelle service applicatif toute instanciation d une solution ou d un dun logiciel informatique apportant des services ou des fonctionnalités à un groupe d utilisateurs. On établit un inventaire du patrimoine des services applicatifs de l'entreprise. Une gouvernance des accès n'est possible que si l on maîtrise cet inventaire et les responsabilités associées 10

11 Les services applicatifs Le modèle ORFAG en distingue deux types : l organisation interne de l entreprise L autorisation d accès daccès L organisation les organisations externes. 11

12 L autorisation d accès daccès Les services applicatifs L organisation Introduction de la notion de rôle joué par un individu dans une organisation. Rôles Gérésé rôles spécifiques à une unité organisationnelle, rôles projets, liés à une activité spécifique, rôles imposés par le modèle. Rôles Transversaux Ces rôles permettent d améliorer daméliorer l efficience du système. 12

13 L autorisation d accès daccès Les services applicatifs L organisation Le modèle ORFAG en distingue deux types : Les utilisateurs internes à l entreprise: lentreprise: Personnes Physiques Les Comptes Génériques Les utilisateurs externes à l entreprise: Les Identités gérées manuellement Les identités fédérées Les identités auto définies 13

14 L autorisation d accès daccès Les services applicatifs L organisation Le modèle ORFAG en distingue deux types : Personnes Physiques Personnes Morales La tutelle Autorité interne responsable du lien avec l organisation externe? Définition des règles d enrôlement 14

15 L autorisation d accès daccès Les services applicatifs L organisation Le modèle ORFAG impose l intervention de deux acteurs pour un double objectif: reconnaissance des deux dynamiques d évolution, sous deux responsabilités différentes La gestion des accès nominatifs if décentralisée é 15

16 L autorisation d accès daccès Les services applicatifs L organisation Coté services applicatifs, le propriétaire du service applicatif peut accorder une autorisation sous trois formes : L héritage de rôle. La délégation de gestion à un rôle organisationnel La délégation engendrée par une interopérabilité. Le modèle impose une double validation de l autorisationà chaque délégation de responsabilité. 16

17 L autorisation d accès daccès Les services applicatifs L organisation Coté responsable d unités organisationnelles Aucune autorisation nominative n'est possible Réelle séparation de pouvoir Intervention de deux acteurs pour attribuer un accès. 17

18 Les services applicatifs Le modèle ORFAG en différencie deux catégories : Dans le même service L autorisation d accès L organisation Lorganisation À une autre organisation 18

19 Les services applicatifs Processus d enrôlement métier Identité numérique <> registre L autorisation d accès daccès L organisation 19

20 Ce modèle de gouvernance permet un pilotage centralisé de la gestion des accès pour l ensemble des royaumes de sécurité de l entreprise. A tout moment, il est capable d identifier le(s) responsable(s) de la décision d une autorisation d accès daccès. La gestion nominative ainsi factorisée vis à vis des différents services applicatifs améliore de fait l efficience et l efficacité de la gestion des droits d accès. 20

21 il permet d avoir un inventaire des services applicatifs corrélés aux organisations internes et externes de l entreprise. Il prend en compte li l interopérabilité édes systèmes. Il gère la notion de projet. Il impose pour tous les cas d autorisation possibles, l intervention de deux acteurs. Il est Pilotable. 21

22 C est le cœur d un annuaire pour contrôler les accès de manière centralisée. 22

23 APIs SAML WS SECURTY Services Applicatifs hors standard Connecteurs Applicatifs JAAS J2EE ac³ Connecteurs RADIUS LDAP Service Audit Service SSO Service Gestion des Accès 23

24 Réponses 24