DESCRIPTION DU COMPOSANT



Documents pareils
Sécurisation des architectures traditionnelles et des SOA

Manuel. User Management BUCOM

Manuel Bucom Version 3.1 Octobre 2008

Qu'est ce qu'une Fédération d'identités? Définitions Fonctionnement de base Fonctionnement détaillé Les principaux composants

ISMS. (Information Security Management System) LOGO Institution. Politique de télétravail Versie /06/2008

Comité sectoriel de la sécurité sociale et de la santé Section «Sécurité sociale»

OASIS Date de publication

PortWise Access Management Suite

A l'attention du Directeur général, du Directeur financier

NOUVELLE PROCEDURE DE CONNEXION A INTERVAT

LemonLDAP::NG / SAML2. Xavier GUIMARD (Gendarmerie Nationale) Clément OUDOT (Groupe LINAGORA)

Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale»

DAVION Didier 33 avenue Paul Cézanne HOUPLINES. Auditeur n NPC URBANISATION ET ARCHITECTURE DES SYSTEMES D INFORMATION DOSSIER SSO

L'identité numérique du citoyen Exemples Internationaux

Comité sectoriel de la Sécurité sociale et de la Santé

JOSY. Paris - 4 février 2010

l eworkspace de la sécurité sociale

25 septembre Migration des accès au Registre national en protocole X.25 vers le protocole TCP/IP, pour les utilisateurs du Registre national

Accès réseau Banque-Carrefour par l Internet Version /06/2005

Contrôle d accès basé sur les rôles et négociation dans un environnement multi cercles de confiance

La fédération d identités, pourquoi et comment? Olivier Salaün, RENATER ANF Mathrice 2014

NKGB - CNHB FCA Release 3.0

Présentation SafeNet Authentication Service (SAS) Octobre 2013

EXPOSE. La SuisseID, qu est ce que c est? Secrétariat d Etat à l Economie SECO Pierre Hemmer, Chef du développement egovernment

ENVOLE 1.5. Calendrier Envole

Tour d horizon des différents SSO disponibles

BCED - WI. Carine D Hamers (ETNIC) Bernard Genin (DTIC) et Laurent Servais (ETNIC) Alexia Antoine (BCED) et Sami Laribi (ETNIC)

Demande d accès aux données de la Banque-Carrefour des Entreprises et de la base de données «Activités ambulantes et foraines»

arcopole Studio Annexe 4 Intégration LDAP et processus d authentification Site du programme arcopole :

Single Sign On. Nicolas Dewaele. Single Sign On. Page 1. et Web SSO

TUTORIEL RADIUS. I. Qu est-ce que RADIUS? II. Création d un groupe et d utilisateur

MINISTÈRE DES SOLIDARITÉ ET DE LA COHÉSION SOCIALE

Authentification et contrôle d'accès dans les applications web

Comité sectoriel de la sécurité sociale et de la santé Section sécurité sociale

Groupe Eyrolles, 2004 ISBN :

Fiche méthodologique Rédiger un cahier des charges

Service pour la Gestion des Gestionnaires d Accès (GGA) Guide Step-by-Step

Information sur l accés sécurisé aux services Baer Online Monaco

Drupal et les SSO Nicolas Bocquet < nbocquet@linalis.com >

CONVENTION INDIVIDUELLE D HABILITATION. «société d assurance indépendante» (Convention complète)

Application des Spécifications détaillées pour la Retraite, architecture portail à portail

Introduction. aux architectures web. de Single Sign-On

Guide Share France. Web Single Sign On. Panorama des solutions SSO

SITUATION DES PROJETS DU REGISTRE NATIONAL.

Version 2.3 Février Page 1

Les services dispensés sont accessibles par différentes voies :

La suite logicielle Lin ID. Paris Capitale du Libre 25 septembre 2008

Un exemple d'authentification sécurisée utilisant les outils du Web : CAS. P-F. Bonnefoi

E-PROCUREMENT GESTION D UTILISATEURS

Authentification avec CAS sous PRONOTE.net Version du lundi 19 septembre 2011

Procédure à suivre pour accéder aux applications sécurisées

Administration en Ligne e-démarches. Console du gestionnaire. Guide utilisateur. Aout 2014, version 2.1

Gestion des Clés. Pr Belkhir Abdelkader. 10/04/2013 Pr BELKHIR Abdelkader

Augmenter l efficacité et la sécurité avec la gestion des identités et le SSO

SÉCURITÉ POUR LES ENTREPRISES UN MONDE NUAGEUX ET MOBILE. Sophia-Antipolis 01/07/2013 Cyril Grosjean

Comité sectoriel de la sécurité sociale et de la santé Section «Santé»

A. À propos des annuaires

Note Technique Sécurité. Système d'authentification. Authentification hors APN LuxGSM Authentification 3G/APN. Système de notification

Groupe Eyrolles, 2004 ISBN :

Guide d'intégration de l'application IAM

Perso. SmartCard. Mail distribution. Annuaire LDAP. SmartCard Distribution OCSP. Codes mobiles ActivX Applet. CRLs

Service en ligne Obligation de retenue (Articles 30bis et 30ter)

MINISTÈRE DES SOLIDARITÉ ET DE LA COHÉSION SOCIALE

ACCÈS AUX RESSOURCES NUMÉRIQUES

Comment assurer la gestion des identités et des accès sous forme d un service Cloud?

Authentification des citoyens et des entreprises dans le cadre du gouvernement électronique. Orientations et stratégie

FEDICT RAPPORT D ACTIVITES 2007

La gestion des identités au CNRS Le projet Janus

Projet ESB - Retour d expérience

CONVENTION INDIVIDUELLE D HABILITATION. «Expert en automobile indépendant» (convention complète)

Déclaration électronique de votre système d alarme

Règlement pour les fournisseurs de SuisseID

AccessMaster PortalXpert

Instituut van de Bedrijfsrevisoren Institut des Réviseurs d'entreprises

Solutions Microsoft Identity and Access

Sage CRM. 7.2 Guide de Portail Client

Convention d adhésion à la fédération d identités marocaine pour l éducation et la recherche (EduIDM)

CAS, un SSO web open source. 14h35-15h25 - La Seine A

Gestion des Identités et des Autorisations: Modèle générique

La directive INSPIRE en Wallonie: le géoportail et l infrastructure de diffusion des géodonnées en Région wallonne (InfraSIG(

Sécurité des réseaux sans fil

Gestion des identités

DB2P pour sociétés : document explicatif

Installation du point d'accès Wi-Fi au réseau

Le rôle Serveur NPS et Protection d accès réseau

Business et contrôle d'accès Web

étendre l authentification unique Web à des environnements Cloud et mobiles agility made possible

plate-forme PaaS (Autorisation)

GUICHET D ENTREPRISES INSCRIPTION PERSONNE PHYSIQUE

SPF FIN. Patris Spécification de Use Case: 15-UC01 Obtenir de l'information patrimoniale. Version 1.1

agility made possible

La carte de contrôle chômage complet

Service d'authentification LDAP et SSO avec CAS

Windows Server Chapitre 3 : Le service d annuaire Active Directory: Concepts de base

Gestion des risques transactionnels. Cas concret: MultiLine

AVIS D'INFORMATIONS COMPLÉMENTAIRES, AVIS D'INFORMATIONS SUR UNE PROCÉDURE INCOMPLÈTE OU AVIS RECTIFICATIF

Transcription:

Gestion des utilisateurs et des accès Composant pour un Egov intégré Qu'est-ce qu'un composant? C est un élément indispensable à l intégration des systèmes e-gov des différents niveaux politiques. Cet élément doit être réutilisable et intégrable. Il peut s agir d un code, d une application, d une source d information authentique ou d un service. Institution Public cible Services publics fédéraux, institutions de la sécurité sociale, fonctionnaires, citoyens, entreprises Table des matières DESCRIPTION DU COMPOSANT... 1 TABLE DES MATIÈRES... 1 1. DESCRIPTION... 3 1.1. Gestion générique des utilisateurs et des accès (UAM - User and Acces Management)... 4 1.2. Gestion des accès pour entreprises... 5 1.3. Cercles de confiance... 5 2. STATUT... 6 3. PERSONNE DE CONTACT... 6 4. CONDITIONS D UTILISATION DU COMPOSANT RÉUTILISABLE... 7 5. PROCÉDURES DE DEMANDE D UTILISATION... 7 6. SUPPORT (MODE SERVICE)... 7 7. INFORMATIONS FONCTIONNELLES... 7 7.1. Description de l input/output du composant réutilisable... 7 Enregistrement & Authentification de l identité... 7 Enregistrement et vérification des références et des mandats... 10 Preuves d accès pour applications externes... 11 Gestion générique des accès... 11 7.2. Description des possibilités d intégration et d interfacing du composant réutilisable... 13 1

7.3. Description des éléments volumétriques pris en compte lors du développement de ce composant... 13 7.4. Description des autres éléments pertinents... 13 8. INFORMATIONS TECHNIQUES... 13 8.1. Gestion générique des accès... 13 8.2. Gestion des accès pour les entreprises... 14 2

1. Description Un système de gestion des utilisateurs et des accès doit pouvoir être utilisé afin d identifier les entités, de les authentifier et de vérifier leurs caractéristiques, leurs mandats et leurs autorisations d accès lorsqu elles souhaitent utiliser les services électroniques offerts par les services publics belges, les institutions publiques de la sécurité sociale et par d autres instances belges chargées de services d intérêt général. De nombreux services électroniques sont accessibles à diverses parties, que ce soit dans ou en dehors de l administration fédérale. Ces services peuvent contenir des informations sensibles et également permettre d accomplir des transactions. Il est donc capital de n accorder l accès qu à des personnes ou des organisations compétentes. Un module de contrôle solide, flexible et intégrable constitue donc une base cruciale à un e-gouvernement efficace. La gestion des accès comprend quatre éléments majeurs : Identification Définir qui est l utilisateur final. Ceci se fait au moyen d'une donnée d'identification comme par exemple un numéro d'identification personnelle (selon les cas il s'agira d'un numéro de registre national ou d'un numéro BCSS) ou d un numéro d entreprise. Authentification de l identité Il s agit de la vérification de l identité. L authentification et l identification d un utilisateur se feront typiquement en une seule étape. Pour cela, on pourra s appuyer sur le système d'authentification des citoyens et des fonctionnaires, sur le système d authentification pour les entreprises et sur la carte d identité électronique (eid). Vérification des références et des mandats Un utilisateur peut posséder certaines caractéristiques. Ce sont des attributs qui ne définissent pas tant son identité mais plutôt sa qualité, sa fonction dans une organisation donnée, sa qualification professionnelle Le même utilisateur peut également être en possession d un mandat lui permettant d effectuer des actions (juridiques) bien définies au nom d une autre entité identifiée. Autorisation N accorder l accès qu à des services et des données électroniques auxquels l utilisateur peut accéder.. 3

Les modules décrits sont représentés de manière schématique dans la figure 1. Les blocs de couleur indiquent quels composants sont proposés dans le cadre de cette offre de services. Identification Numéro d identification personnelle, numéro d entreprise Authentification Token Nom d utilisateur / mot de passe eid Nom d utilisateur / mot de passe Citoyens / professionnels Entreprises Vérification Attribut / Mandat Sources authentiques (mandats pour entreprises, ) Sources authentiques (cadastres des dispensateurs de soins, Magma, ) Autorisation Gestion générique des accès - UAM Citoyens, fonctionnaires, professionnels, Gestion des accès pour entreprises Figure 1 Présentation des concepts et des composants Le système de gestion des utilisateurs et des accès peut se scinder en deux volets importants : un système générique et un système s adressant aux entreprises. Ces deux volets seront brièvement abordés puis développés dans le paragraphe 7. 1.1. Gestion générique des utilisateurs et des accès (UAM - User and Access Management) Ce module a été développé en vue d'assurer la gestion des utilisateurs et des accès de la manière la plus générique et modulaire possible. Le système est composé de telle sorte qu il peut être utilisé tant par des citoyens, des professionnels que des entreprises. 4

Après l identification et l authentification (externe) de l identité de l utilisateur, le système peut prendre des décisions sur le droit d accès. Toutes les règles de décision s appuient sur l'information tirée de sources authentiques sousjacentes. En fonction du public cible, les sources correctes peuvent être consultées. Le système peut reposer sur des sources qui lui son propres mais aussi sur des sources externes comme par exemple le système de mandats Magma, la banque de données des huissiers de justice, les banques de données de la Santé publique, etc. Le système offert comprend les fonctionnalités suivantes : - un système flexible contenant la description des règles d accès - un mécanisme d'évaluation pour définir les accès - un modèle fédéré dans lequel les différents partenaires peuvent échanger des informations - des mécanismes d intégration avec des sources authentiques - un système de gestion basé web pour la gestion des règles - intégrable en tant que composant dans d autres environnements 1.2. Gestion des accès pour entreprises Contrairement au système générique, ce composant s adresse à l identification et à l authentification des représentants des entreprises ou de leurs mandataires (secrétariats sociaux, prestataires de services, full service centers, ) et s occupe de gérer et de contrôler l accès aux applications accordé à ces instances. Un contrôle des accès peut donc être effectué non seulement pour les membres du personnel d une entreprise mais aussi pour les membres du personnel des mandataires de cette entreprise. Le système offert comprend les fonctionnalités suivantes : - l enregistrement électronique d une entreprise et de ses éventuels prestataires de services - un service d identification et d authentification - une gestion basée web des utilisateurs et des autorisations - un service de contrôle des autorisations - une gestion des utilisateurs pour les expéditeurs de messages électroniques 1.3. Cercles de confiance Un système d'accès modulaire et fédéré permet de faire bénéficier différentes parties de leurs sources authentiques et de leurs modules d accès électronique respectifs. Ces liens de collaborations sont souvent décrits comme des «cercles de confiance». L'objectif est d éviter une centralisation inutile 5

de se protéger contre des menaces inutiles contre la vie privée d éviter des contrôles multiples identiques et le stockage répété de loggings Ces «cercles de confiance» peuvent être réalisés au moyen d une distribution des tâches auprès des instances concernées et grâce à des conventions claires en la matière : qui effectue quelles authentifications, vérifications et contrôles avec quels moyens et qui en assume la responsabilité comment les résultats des authentifications, vérifications et contrôles sont échangés électroniquement et de manière sécurisée entre les instances concernées qui conserve quels loggings comment s assure-t-on que lors d une enquête, à l initiative d un organe de contrôle ou suite à une plainte, un historique complet peut être tracé: quelle personne physique a utilisé quel service ou quelle transaction (relativement à quel citoyen ou entreprise), via quel canal, dans quel but et à quel moment. 2. Statut En production 3. Personne de contact Pour en savoir plus sur ce composant, veuillez vous adresser à : Nom : Gossiaux Jean-Marie (Conseiller en Sécurité BCSS) Téléphone : 02/741.83.30 Fax : E-mail : Jean.Marie.Gossiaux@ksz.fgov.be Nom : Marti Alexandra Téléphone : 02/787.54.78 Fax : E-mail : Alexandra.Marti@smals.be Nom : Vandersteene Denis Téléphone : 02/787.54.76 Fax : E-mail : Denis.Vandersteene@smals.be 6

4. Conditions d utilisation du composant réutilisable Le composant peut être utilisé par d autres services publics fédéraux belges : Oui Les règles d utilisation doivent être convenues suite à un projet d installation. A ce sujet, les services publics fédéraux sont priés de prendre contact avec Jean- Marie Gossiaux. 5. Procédures de demande d utilisation Afin d utiliser / intégrer ce composant, les procédures suivantes doivent être effectuées ; signature du contrat d utilisation, stipulation des garanties et des conditions financières etc. : Toutes les demandes seront adressées à la BCSS. 6. Support (en mode service) Dans le cas où le composant est effectivement utilisé, le support est assuré par l institution. Vous pouvez alors vous adresser à : Nom : Marti Alexandra Téléphone : 02/787.54.78 Fax : E-mail : Alexandra.Marti@smals.be 7. Informations fonctionnelles Vous trouverez ci-dessous un aperçu des fonctionnalités offertes par le composant. 7.1. Description de l input/output du composant réutilisable Enregistrement & Authentification de l identité En fonction du public cible, les procédures d enregistrement et les méthodes d authentification peuvent différer. Il faut distinguer : Les citoyens Les professionnels : ce groupe comprend tant les collaborateurs des services publics fédéraux que certaines professions libérales 7

(dispensateurs de soins, notaires, huissiers de justice, comptables, ) Les entreprises et leurs mandataires Niv Citoyens Pour les citoyens, le système fédéral d authentification est d application. Il existe plusieurs niveaux de sécurité en fonction de la nature de l application. Le tableau ci-dessous contient les méthodes d enregistrement, et les mécanismes d authentification mis en place ainsi que les domaines pour lesquels ces méthodes et mécanismes sont requis. Enregistrement de l identité des citoyens Authentification de l identité des citoyens Applications 0 Aucun Aucune services/infos publics 1 en ligne par l introduction du numéro du registre national, du numéro de la carte d identité et du numéro de la carte SIS 2 niveau 1 + envoi d un e-mail avec un url d activation à l adresse e- mail donnée par le citoyen, envoi d un token papier au domicile principal du citoyen repris dans le registre national 3 se présenter en personne à la commune pour obtenir l eid 4 se présenter en personne à la commune pour obtenir l eid numéro d utilisateur et mot de passe choisis par l utilisateur niveau 1 + introduction d un string indiqué sur le token demandé de façon aléatoire (le token contient 24 string) certificat d authentification sur eid + mot de passe par session certificat d authentification sur l eid + certificat de signature sur l eid + mot de passe par transaction services/infos peu sensibles services/infos sensibilité moyenne services/infos hautement sensibles services exigeant une signature électronique 8

Niv Professionnels Ils suivent les mêmes procédures qu un citoyen. Dans le cas d'un collaborateur d un service public fédéral, le token de niveau 2 est envoyé au conseiller en sécurité de ce service public, lequel transmet ce token à l utilisateur concerné. Entreprises et leurs mandataires La gestion des utilisateurs d une entreprise ou de ses mandataires ne relève pas des tâches de l État fédéral. Chaque entreprise est responsable de la gestion de ses propres utilisateurs une fois qu ils sont enregistrés dans le système de gestion des accès. Cette procédure d enregistrement est électronique et permet d enregistrer de manière efficace et rapide l entreprise dans le système de contrôle des accès. La procédure peut être suivie tant par les entreprises que par leurs prestataires de services. Après l enregistrement, on dispose d un compte de gestion associé à un gestionnaire local. Ce gestionnaire local est chargé de l ensemble de la gestion des utilisateurs et de leurs accès et dispose pour ce faire d'une application web. L authentification de l utilisateur peut se faire au moyen de la carte d identité électronique (eid) ou bien au moyen d'un numéro d utilisateur et d'un mot de passe définis dans le système de gestion des accès pour les entreprises. Le tableau ci-dessous contient les méthodes d enregistrement, le mécanismes d authentification mises en place ainsi que les domaines pour lesquels ces méthodes et mécanismes sont requis. Enregistrement de l identité des mandataires des entreprises Authentification de l identité des mandataires des entreprises Applications 0 Aucun Aucune services/infos publics 1 - Gestionnaire local : lettre à l ONSS de la part l entreprise pour laquelle le concerné fait office de gestionnaire local - autres utilisateurs : validation faite par le gestionnaire local numéro d'utilisateur et mot de passe services/infos peu et moyennement sensibles 9

2 se présenter en personne à la commune pour obtenir l eid 3 se présenter en personne à la commune pour obtenir l eid certificat d authentification sur eid + mot de passe par session certificat d authentification sur l eid + certificat de signature sur l eid ou certificat du user management entreprise + mot de passe par transaction services/infos hautement sensibles services exigeant une signature électronique Momentanément, un gestionnaire local ne peut pas déléguer ses droits de gestionnaire à des tiers au sein de l entreprise. Une adaptation du système est actuellement en cours de développement. Ceci permettra à un gestionnaire local de déléguer le droit de gestion à d autres utilisateurs pour l attribution de certaines applications. Enregistrement et vérification des références et des mandats Citoyens Il n existe momentanément pas de vérification d'attributs ou de mandats pour un citoyen. Professionnels L instance qui, pour une catégorie d'utilisateurs professionnels, peut en établir avec suffisamment de certitude les attributs ou le mandat, introduira cette information dans une source authentique accessible à tous les intéressés. La vérification de ces attributs ou mandat se fait au moyen d une consultation de la source authentique. La gestion peut se faire au moyen du système de gestion des mandats de la BCSS, le système Magma de Fedict ou d un système spécifique. Mandat des entreprises Une source authentique au sein de l ONSS est disponible avec par entreprise, un mandat du gestionnaire local d utiliser au nom de l entreprise certaines informations ou certains services par entreprise, un mandat éventuel du prestataire de services (un secrétariat social reconnu ou un autre prestataire de services) 10

d utiliser au nom de l entreprise certaines informations ou certains services par prestataire de services, un mandat du gestionnaire local d utiliser au nom du prestataire de services certaines informations ou certains services possibilité pour les gestionnaires locaux d entreprises/prestataires de services, d accorder des mandats à d autres préposés d une entreprise/prestataire de services d utiliser au nom de l entreprise/prestataire de services certaines informations ou certains services Ce système peut évoluer en fonction des nouveaux besoins des divers intéressés sous la coordination d un groupe d utilisateurs. Preuves d accès pour applications externes La gestion des accès pour entreprises peut délivrer des preuves d accès à des portails et des sites web externes. Ces preuves d accès contiennent la preuve de l identité ainsi que des informations relatives à l accès à des applications. Grâce à ce modèle fédéré, un service public peut bénéficier d un système de contrôle des accès central sans devoir en assumer la gestion. Gestion générique des accès Ce système de contrôle des accès repose sur quelques grands composants fonctionnels et se base sur le «Policy Enforcement Model». La description des règles d accès est parfois aussi appelée Policy. - Policy Enforcement Point (PEP) : est responsable de l interception de l action effectuée par l utilisateur et de l octroi de la décision d autorisation finale. - Policy Decision Point (PDP) : est responsable de la prise de décision d autorisation. Cette décision sera prise sur la base des règles d accès formulées (policies) et de l information extraite de sources diverses (information contextuelle et PIP). Elle sera transmise au Policy Enforcement Point (PEP). - Policy Administration Point (PAP) : ce composant est responsable de la gestion des règles d accès. - Policy Information Point (PIP) : livre l information de base pour le système de contrôle des accès. Chaque PIP assure l accès aux sources authentiques tant internes qu externes comme le système de gestion pour les professionnels de la sécurité sociale, le système de 11

mandats Magma, la banque de données des huissiers de justice, les banques de données du SPF Santé publique, Les instances actuelles continuent à assurer la gestion et l entretien de ces sources. Seule la consultation de ces sources est exploitée via un PIP. Un PIP se chargera également de l information permettant de vérifier les qualités et les mandats. Figure 2 Le Policy Enforcement Model Le système de contrôle des accès repose sur un système externe d identification et authentification de l'utilisateur. En fonction de la sensibilité de l application à laquelle l utilisateur souhaite avoir accès (degré de confidentialité de l information contenue, sorte de traitement et impact du traitement), il faut définir le niveau d authentification requis. La figure 2 présente un scénario possible : 1. L utilisateur souhaite avoir accès à une application sur le portail d un service public. 2. Pour l authentification, un service externe au système de contrôle des accès est utilisé. Ce service fournit une preuve que l utilisateur est bien celui qu il prétend être. Un exemple possible est le service d authentification fédéral qui délivre un token SAML. 12

3. L accès à une application est intercepté et une demande d autorisation est envoyée au PDP via le PEP. 4. Le PDP retire la policy applicable du PAP. 5. Toute l information relative à la policy chargée est extraite des différentes sources autorisées par le biais des PIP. Il s agit de données relatives à l utilisateur, à ses mandats ou toute autre information qui est d application. 6. La décision d autorisation qui est prise est ensuite renvoyée par le PDP au PEP, qui l appliquera. 7.2. Description des possibilités d intégration et d interfaçage du composant réutilisable Le PEP est disponible en tant que composant de sécurité J2EE pour BEA WebLogic et IBM WebSphere. Le PDP peut être invoqué via un appel web service contenant un message SAML. De cette manière, chaque environnement peut construire son propre PEP avec intégration du système de décision d autorisation. La gestion des accès pour les entreprises peut délivrer des assertions SAML relatives à l authentification ou à l autorisation d un utilisateur. 7.3. Description des éléments volumétriques pris en compte lors du développement de ce composant Le système générique des accès a été développé avec une charge prévue de 2.000.000 hits/jour 10.000 visiteurs/jour 2.5 applications sécurisées différentes par visite Temps de réponse maximal accepté (charge normale) 0.5 sec/request Temps de réponse maximal accepté (charge maximale) 1 sec/request 7.4. Description des autres éléments pertinents 8. Informations techniques 8.1. Gestion générique des accès Le système de contrôle des accès emploie des standards J2EE (sécurité J2EE 1.3) pour l octroi du contrôle des accès. 13

Le PEP est actuellement disponible en tant que composant pour BEA WebLogic 8.1 et IBM WebSphere 6.0. Ceci peut cependant être développé pour d autres plates-formes en fonction des besoins. Les règles d'accès sont décrites sur la base de XACML 2.0 (standard Oasis) La communication entre les différents composants se fait au moyen du protocole SAML (request/response) encapsulé dans des Web Services. 8.2. Gestion des accès pour les entreprises Les données de l utilisateur et leurs autorisations sont stockées via une application web basée Java dans un répertoire LDAP (V.5.2) et une banque de données Oracle. Elles sont consultables au moyen du service de base CLC (Consultation LDAP Consultatie). Pour WebLogic 8.1, il existe un module d'accès utilisateur traitant à la fois le login et le contrôle des accès. Le module FAS/E (Federal Authentication Service Enterprise) permet aux applications ne faisant pas partie du portail de la sécurité sociale d utiliser l authentification et l autorisation de la gestion des accès pour les entreprises. Cette invocation se fait via les assertions SAML standard. A terme, la gestion des accès pour les entreprises sera exploitée comme PIP via le système générique des accès. 14

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back