Gestion des utilisateurs et des accès Composant pour un Egov intégré Qu'est-ce qu'un composant? C est un élément indispensable à l intégration des systèmes e-gov des différents niveaux politiques. Cet élément doit être réutilisable et intégrable. Il peut s agir d un code, d une application, d une source d information authentique ou d un service. Institution Public cible Services publics fédéraux, institutions de la sécurité sociale, fonctionnaires, citoyens, entreprises Table des matières DESCRIPTION DU COMPOSANT... 1 TABLE DES MATIÈRES... 1 1. DESCRIPTION... 3 1.1. Gestion générique des utilisateurs et des accès (UAM - User and Acces Management)... 4 1.2. Gestion des accès pour entreprises... 5 1.3. Cercles de confiance... 5 2. STATUT... 6 3. PERSONNE DE CONTACT... 6 4. CONDITIONS D UTILISATION DU COMPOSANT RÉUTILISABLE... 7 5. PROCÉDURES DE DEMANDE D UTILISATION... 7 6. SUPPORT (MODE SERVICE)... 7 7. INFORMATIONS FONCTIONNELLES... 7 7.1. Description de l input/output du composant réutilisable... 7 Enregistrement & Authentification de l identité... 7 Enregistrement et vérification des références et des mandats... 10 Preuves d accès pour applications externes... 11 Gestion générique des accès... 11 7.2. Description des possibilités d intégration et d interfacing du composant réutilisable... 13 1
7.3. Description des éléments volumétriques pris en compte lors du développement de ce composant... 13 7.4. Description des autres éléments pertinents... 13 8. INFORMATIONS TECHNIQUES... 13 8.1. Gestion générique des accès... 13 8.2. Gestion des accès pour les entreprises... 14 2
1. Description Un système de gestion des utilisateurs et des accès doit pouvoir être utilisé afin d identifier les entités, de les authentifier et de vérifier leurs caractéristiques, leurs mandats et leurs autorisations d accès lorsqu elles souhaitent utiliser les services électroniques offerts par les services publics belges, les institutions publiques de la sécurité sociale et par d autres instances belges chargées de services d intérêt général. De nombreux services électroniques sont accessibles à diverses parties, que ce soit dans ou en dehors de l administration fédérale. Ces services peuvent contenir des informations sensibles et également permettre d accomplir des transactions. Il est donc capital de n accorder l accès qu à des personnes ou des organisations compétentes. Un module de contrôle solide, flexible et intégrable constitue donc une base cruciale à un e-gouvernement efficace. La gestion des accès comprend quatre éléments majeurs : Identification Définir qui est l utilisateur final. Ceci se fait au moyen d'une donnée d'identification comme par exemple un numéro d'identification personnelle (selon les cas il s'agira d'un numéro de registre national ou d'un numéro BCSS) ou d un numéro d entreprise. Authentification de l identité Il s agit de la vérification de l identité. L authentification et l identification d un utilisateur se feront typiquement en une seule étape. Pour cela, on pourra s appuyer sur le système d'authentification des citoyens et des fonctionnaires, sur le système d authentification pour les entreprises et sur la carte d identité électronique (eid). Vérification des références et des mandats Un utilisateur peut posséder certaines caractéristiques. Ce sont des attributs qui ne définissent pas tant son identité mais plutôt sa qualité, sa fonction dans une organisation donnée, sa qualification professionnelle Le même utilisateur peut également être en possession d un mandat lui permettant d effectuer des actions (juridiques) bien définies au nom d une autre entité identifiée. Autorisation N accorder l accès qu à des services et des données électroniques auxquels l utilisateur peut accéder.. 3
Les modules décrits sont représentés de manière schématique dans la figure 1. Les blocs de couleur indiquent quels composants sont proposés dans le cadre de cette offre de services. Identification Numéro d identification personnelle, numéro d entreprise Authentification Token Nom d utilisateur / mot de passe eid Nom d utilisateur / mot de passe Citoyens / professionnels Entreprises Vérification Attribut / Mandat Sources authentiques (mandats pour entreprises, ) Sources authentiques (cadastres des dispensateurs de soins, Magma, ) Autorisation Gestion générique des accès - UAM Citoyens, fonctionnaires, professionnels, Gestion des accès pour entreprises Figure 1 Présentation des concepts et des composants Le système de gestion des utilisateurs et des accès peut se scinder en deux volets importants : un système générique et un système s adressant aux entreprises. Ces deux volets seront brièvement abordés puis développés dans le paragraphe 7. 1.1. Gestion générique des utilisateurs et des accès (UAM - User and Access Management) Ce module a été développé en vue d'assurer la gestion des utilisateurs et des accès de la manière la plus générique et modulaire possible. Le système est composé de telle sorte qu il peut être utilisé tant par des citoyens, des professionnels que des entreprises. 4
Après l identification et l authentification (externe) de l identité de l utilisateur, le système peut prendre des décisions sur le droit d accès. Toutes les règles de décision s appuient sur l'information tirée de sources authentiques sousjacentes. En fonction du public cible, les sources correctes peuvent être consultées. Le système peut reposer sur des sources qui lui son propres mais aussi sur des sources externes comme par exemple le système de mandats Magma, la banque de données des huissiers de justice, les banques de données de la Santé publique, etc. Le système offert comprend les fonctionnalités suivantes : - un système flexible contenant la description des règles d accès - un mécanisme d'évaluation pour définir les accès - un modèle fédéré dans lequel les différents partenaires peuvent échanger des informations - des mécanismes d intégration avec des sources authentiques - un système de gestion basé web pour la gestion des règles - intégrable en tant que composant dans d autres environnements 1.2. Gestion des accès pour entreprises Contrairement au système générique, ce composant s adresse à l identification et à l authentification des représentants des entreprises ou de leurs mandataires (secrétariats sociaux, prestataires de services, full service centers, ) et s occupe de gérer et de contrôler l accès aux applications accordé à ces instances. Un contrôle des accès peut donc être effectué non seulement pour les membres du personnel d une entreprise mais aussi pour les membres du personnel des mandataires de cette entreprise. Le système offert comprend les fonctionnalités suivantes : - l enregistrement électronique d une entreprise et de ses éventuels prestataires de services - un service d identification et d authentification - une gestion basée web des utilisateurs et des autorisations - un service de contrôle des autorisations - une gestion des utilisateurs pour les expéditeurs de messages électroniques 1.3. Cercles de confiance Un système d'accès modulaire et fédéré permet de faire bénéficier différentes parties de leurs sources authentiques et de leurs modules d accès électronique respectifs. Ces liens de collaborations sont souvent décrits comme des «cercles de confiance». L'objectif est d éviter une centralisation inutile 5
de se protéger contre des menaces inutiles contre la vie privée d éviter des contrôles multiples identiques et le stockage répété de loggings Ces «cercles de confiance» peuvent être réalisés au moyen d une distribution des tâches auprès des instances concernées et grâce à des conventions claires en la matière : qui effectue quelles authentifications, vérifications et contrôles avec quels moyens et qui en assume la responsabilité comment les résultats des authentifications, vérifications et contrôles sont échangés électroniquement et de manière sécurisée entre les instances concernées qui conserve quels loggings comment s assure-t-on que lors d une enquête, à l initiative d un organe de contrôle ou suite à une plainte, un historique complet peut être tracé: quelle personne physique a utilisé quel service ou quelle transaction (relativement à quel citoyen ou entreprise), via quel canal, dans quel but et à quel moment. 2. Statut En production 3. Personne de contact Pour en savoir plus sur ce composant, veuillez vous adresser à : Nom : Gossiaux Jean-Marie (Conseiller en Sécurité BCSS) Téléphone : 02/741.83.30 Fax : E-mail : Jean.Marie.Gossiaux@ksz.fgov.be Nom : Marti Alexandra Téléphone : 02/787.54.78 Fax : E-mail : Alexandra.Marti@smals.be Nom : Vandersteene Denis Téléphone : 02/787.54.76 Fax : E-mail : Denis.Vandersteene@smals.be 6
4. Conditions d utilisation du composant réutilisable Le composant peut être utilisé par d autres services publics fédéraux belges : Oui Les règles d utilisation doivent être convenues suite à un projet d installation. A ce sujet, les services publics fédéraux sont priés de prendre contact avec Jean- Marie Gossiaux. 5. Procédures de demande d utilisation Afin d utiliser / intégrer ce composant, les procédures suivantes doivent être effectuées ; signature du contrat d utilisation, stipulation des garanties et des conditions financières etc. : Toutes les demandes seront adressées à la BCSS. 6. Support (en mode service) Dans le cas où le composant est effectivement utilisé, le support est assuré par l institution. Vous pouvez alors vous adresser à : Nom : Marti Alexandra Téléphone : 02/787.54.78 Fax : E-mail : Alexandra.Marti@smals.be 7. Informations fonctionnelles Vous trouverez ci-dessous un aperçu des fonctionnalités offertes par le composant. 7.1. Description de l input/output du composant réutilisable Enregistrement & Authentification de l identité En fonction du public cible, les procédures d enregistrement et les méthodes d authentification peuvent différer. Il faut distinguer : Les citoyens Les professionnels : ce groupe comprend tant les collaborateurs des services publics fédéraux que certaines professions libérales 7
(dispensateurs de soins, notaires, huissiers de justice, comptables, ) Les entreprises et leurs mandataires Niv Citoyens Pour les citoyens, le système fédéral d authentification est d application. Il existe plusieurs niveaux de sécurité en fonction de la nature de l application. Le tableau ci-dessous contient les méthodes d enregistrement, et les mécanismes d authentification mis en place ainsi que les domaines pour lesquels ces méthodes et mécanismes sont requis. Enregistrement de l identité des citoyens Authentification de l identité des citoyens Applications 0 Aucun Aucune services/infos publics 1 en ligne par l introduction du numéro du registre national, du numéro de la carte d identité et du numéro de la carte SIS 2 niveau 1 + envoi d un e-mail avec un url d activation à l adresse e- mail donnée par le citoyen, envoi d un token papier au domicile principal du citoyen repris dans le registre national 3 se présenter en personne à la commune pour obtenir l eid 4 se présenter en personne à la commune pour obtenir l eid numéro d utilisateur et mot de passe choisis par l utilisateur niveau 1 + introduction d un string indiqué sur le token demandé de façon aléatoire (le token contient 24 string) certificat d authentification sur eid + mot de passe par session certificat d authentification sur l eid + certificat de signature sur l eid + mot de passe par transaction services/infos peu sensibles services/infos sensibilité moyenne services/infos hautement sensibles services exigeant une signature électronique 8
Niv Professionnels Ils suivent les mêmes procédures qu un citoyen. Dans le cas d'un collaborateur d un service public fédéral, le token de niveau 2 est envoyé au conseiller en sécurité de ce service public, lequel transmet ce token à l utilisateur concerné. Entreprises et leurs mandataires La gestion des utilisateurs d une entreprise ou de ses mandataires ne relève pas des tâches de l État fédéral. Chaque entreprise est responsable de la gestion de ses propres utilisateurs une fois qu ils sont enregistrés dans le système de gestion des accès. Cette procédure d enregistrement est électronique et permet d enregistrer de manière efficace et rapide l entreprise dans le système de contrôle des accès. La procédure peut être suivie tant par les entreprises que par leurs prestataires de services. Après l enregistrement, on dispose d un compte de gestion associé à un gestionnaire local. Ce gestionnaire local est chargé de l ensemble de la gestion des utilisateurs et de leurs accès et dispose pour ce faire d'une application web. L authentification de l utilisateur peut se faire au moyen de la carte d identité électronique (eid) ou bien au moyen d'un numéro d utilisateur et d'un mot de passe définis dans le système de gestion des accès pour les entreprises. Le tableau ci-dessous contient les méthodes d enregistrement, le mécanismes d authentification mises en place ainsi que les domaines pour lesquels ces méthodes et mécanismes sont requis. Enregistrement de l identité des mandataires des entreprises Authentification de l identité des mandataires des entreprises Applications 0 Aucun Aucune services/infos publics 1 - Gestionnaire local : lettre à l ONSS de la part l entreprise pour laquelle le concerné fait office de gestionnaire local - autres utilisateurs : validation faite par le gestionnaire local numéro d'utilisateur et mot de passe services/infos peu et moyennement sensibles 9
2 se présenter en personne à la commune pour obtenir l eid 3 se présenter en personne à la commune pour obtenir l eid certificat d authentification sur eid + mot de passe par session certificat d authentification sur l eid + certificat de signature sur l eid ou certificat du user management entreprise + mot de passe par transaction services/infos hautement sensibles services exigeant une signature électronique Momentanément, un gestionnaire local ne peut pas déléguer ses droits de gestionnaire à des tiers au sein de l entreprise. Une adaptation du système est actuellement en cours de développement. Ceci permettra à un gestionnaire local de déléguer le droit de gestion à d autres utilisateurs pour l attribution de certaines applications. Enregistrement et vérification des références et des mandats Citoyens Il n existe momentanément pas de vérification d'attributs ou de mandats pour un citoyen. Professionnels L instance qui, pour une catégorie d'utilisateurs professionnels, peut en établir avec suffisamment de certitude les attributs ou le mandat, introduira cette information dans une source authentique accessible à tous les intéressés. La vérification de ces attributs ou mandat se fait au moyen d une consultation de la source authentique. La gestion peut se faire au moyen du système de gestion des mandats de la BCSS, le système Magma de Fedict ou d un système spécifique. Mandat des entreprises Une source authentique au sein de l ONSS est disponible avec par entreprise, un mandat du gestionnaire local d utiliser au nom de l entreprise certaines informations ou certains services par entreprise, un mandat éventuel du prestataire de services (un secrétariat social reconnu ou un autre prestataire de services) 10
d utiliser au nom de l entreprise certaines informations ou certains services par prestataire de services, un mandat du gestionnaire local d utiliser au nom du prestataire de services certaines informations ou certains services possibilité pour les gestionnaires locaux d entreprises/prestataires de services, d accorder des mandats à d autres préposés d une entreprise/prestataire de services d utiliser au nom de l entreprise/prestataire de services certaines informations ou certains services Ce système peut évoluer en fonction des nouveaux besoins des divers intéressés sous la coordination d un groupe d utilisateurs. Preuves d accès pour applications externes La gestion des accès pour entreprises peut délivrer des preuves d accès à des portails et des sites web externes. Ces preuves d accès contiennent la preuve de l identité ainsi que des informations relatives à l accès à des applications. Grâce à ce modèle fédéré, un service public peut bénéficier d un système de contrôle des accès central sans devoir en assumer la gestion. Gestion générique des accès Ce système de contrôle des accès repose sur quelques grands composants fonctionnels et se base sur le «Policy Enforcement Model». La description des règles d accès est parfois aussi appelée Policy. - Policy Enforcement Point (PEP) : est responsable de l interception de l action effectuée par l utilisateur et de l octroi de la décision d autorisation finale. - Policy Decision Point (PDP) : est responsable de la prise de décision d autorisation. Cette décision sera prise sur la base des règles d accès formulées (policies) et de l information extraite de sources diverses (information contextuelle et PIP). Elle sera transmise au Policy Enforcement Point (PEP). - Policy Administration Point (PAP) : ce composant est responsable de la gestion des règles d accès. - Policy Information Point (PIP) : livre l information de base pour le système de contrôle des accès. Chaque PIP assure l accès aux sources authentiques tant internes qu externes comme le système de gestion pour les professionnels de la sécurité sociale, le système de 11
mandats Magma, la banque de données des huissiers de justice, les banques de données du SPF Santé publique, Les instances actuelles continuent à assurer la gestion et l entretien de ces sources. Seule la consultation de ces sources est exploitée via un PIP. Un PIP se chargera également de l information permettant de vérifier les qualités et les mandats. Figure 2 Le Policy Enforcement Model Le système de contrôle des accès repose sur un système externe d identification et authentification de l'utilisateur. En fonction de la sensibilité de l application à laquelle l utilisateur souhaite avoir accès (degré de confidentialité de l information contenue, sorte de traitement et impact du traitement), il faut définir le niveau d authentification requis. La figure 2 présente un scénario possible : 1. L utilisateur souhaite avoir accès à une application sur le portail d un service public. 2. Pour l authentification, un service externe au système de contrôle des accès est utilisé. Ce service fournit une preuve que l utilisateur est bien celui qu il prétend être. Un exemple possible est le service d authentification fédéral qui délivre un token SAML. 12
3. L accès à une application est intercepté et une demande d autorisation est envoyée au PDP via le PEP. 4. Le PDP retire la policy applicable du PAP. 5. Toute l information relative à la policy chargée est extraite des différentes sources autorisées par le biais des PIP. Il s agit de données relatives à l utilisateur, à ses mandats ou toute autre information qui est d application. 6. La décision d autorisation qui est prise est ensuite renvoyée par le PDP au PEP, qui l appliquera. 7.2. Description des possibilités d intégration et d interfaçage du composant réutilisable Le PEP est disponible en tant que composant de sécurité J2EE pour BEA WebLogic et IBM WebSphere. Le PDP peut être invoqué via un appel web service contenant un message SAML. De cette manière, chaque environnement peut construire son propre PEP avec intégration du système de décision d autorisation. La gestion des accès pour les entreprises peut délivrer des assertions SAML relatives à l authentification ou à l autorisation d un utilisateur. 7.3. Description des éléments volumétriques pris en compte lors du développement de ce composant Le système générique des accès a été développé avec une charge prévue de 2.000.000 hits/jour 10.000 visiteurs/jour 2.5 applications sécurisées différentes par visite Temps de réponse maximal accepté (charge normale) 0.5 sec/request Temps de réponse maximal accepté (charge maximale) 1 sec/request 7.4. Description des autres éléments pertinents 8. Informations techniques 8.1. Gestion générique des accès Le système de contrôle des accès emploie des standards J2EE (sécurité J2EE 1.3) pour l octroi du contrôle des accès. 13
Le PEP est actuellement disponible en tant que composant pour BEA WebLogic 8.1 et IBM WebSphere 6.0. Ceci peut cependant être développé pour d autres plates-formes en fonction des besoins. Les règles d'accès sont décrites sur la base de XACML 2.0 (standard Oasis) La communication entre les différents composants se fait au moyen du protocole SAML (request/response) encapsulé dans des Web Services. 8.2. Gestion des accès pour les entreprises Les données de l utilisateur et leurs autorisations sont stockées via une application web basée Java dans un répertoire LDAP (V.5.2) et une banque de données Oracle. Elles sont consultables au moyen du service de base CLC (Consultation LDAP Consultatie). Pour WebLogic 8.1, il existe un module d'accès utilisateur traitant à la fois le login et le contrôle des accès. Le module FAS/E (Federal Authentication Service Enterprise) permet aux applications ne faisant pas partie du portail de la sécurité sociale d utiliser l authentification et l autorisation de la gestion des accès pour les entreprises. Cette invocation se fait via les assertions SAML standard. A terme, la gestion des accès pour les entreprises sera exploitée comme PIP via le système générique des accès. 14