Maîtrise Responsabilité Sécurité Contrôle 1
Roland Burgniard 2
GESTION DES IDENTITÉS GESTION DES DROITS D'ACCÈS Peuplement Propagation Utilisation DAC MAC RBAC TMAC ORBAC Maintien Dépeuplement * L authentification n est volontairement pas traitée. 3
Dans les entreprises, cela donne souvent ça : 4
Est il nécessaire de généraliser un modèle pour tous les besoins? Chaque modèle possède ses avantages et ses inconvénients. Il n'existe pas un modèle idéal, mais plutôt un modèle adapté à un besoin, à une complexité, à une ORGANISATION. 5
Un nouveau modèle pour la gouvernance des accès 6
ORFAG est l'acronyme anglais de «Organisation i Rolesl based For Access Governance» Développement Pragmatique de plusieurs années Début des Réflexions IA² : 2000 Basé sur GINA opérationnel avec plus de 200 services applicatifs. 7
C'est un modèle qui se veut unique au sein d'une grande entreprise. Il cohabite avec d autres modèles basés sur les rôles Il tient compte d'une double dynamique d évolution: la dynamique d'un service applicatif, avec son cycle de vie et sa vision de l'organisation théorique, La dynamique de l'organisation. Deux Responsabilités = Intervention de deux acteurs pour la délivrance d un dun droit d accès : Le propriétaire du service applicatif, le responsable de l'organisation bénéficiaire. 8
L autorisation d accès daccès Les services applicatifs L organisation Le modèle ORFAG traite d'un "Quoi" théorique, c'est à dire des rôles définis par les applications, et associe le "Qui" à des rôles dans une organisation gérée de manière unique et décentralisée é pour l'ensemble des services applicatifs. * L environnement (vue comme un domaine de sécurité) pourrait être considéré comme une quatrième composante 9
L autorisation d accès daccès Les services applicatifs L organisation On appelle service applicatif toute instanciation d une solution ou d un dun logiciel informatique apportant des services ou des fonctionnalités à un groupe d utilisateurs. On établit un inventaire du patrimoine des services applicatifs de l'entreprise. Une gouvernance des accès n'est possible que si l on maîtrise cet inventaire et les responsabilités associées 10
Les services applicatifs Le modèle ORFAG en distingue deux types : l organisation interne de l entreprise L autorisation d accès daccès L organisation les organisations externes. 11
L autorisation d accès daccès Les services applicatifs L organisation Introduction de la notion de rôle joué par un individu dans une organisation. Rôles Gérésé rôles spécifiques à une unité organisationnelle, rôles projets, liés à une activité spécifique, rôles imposés par le modèle. Rôles Transversaux Ces rôles permettent d améliorer daméliorer l efficience du système. 12
L autorisation d accès daccès Les services applicatifs L organisation Le modèle ORFAG en distingue deux types : Les utilisateurs internes à l entreprise: lentreprise: Personnes Physiques Les Comptes Génériques Les utilisateurs externes à l entreprise: Les Identités gérées manuellement Les identités fédérées Les identités auto définies 13
L autorisation d accès daccès Les services applicatifs L organisation Le modèle ORFAG en distingue deux types : Personnes Physiques Personnes Morales La tutelle Autorité interne responsable du lien avec l organisation externe? Définition des règles d enrôlement 14
L autorisation d accès daccès Les services applicatifs L organisation Le modèle ORFAG impose l intervention de deux acteurs pour un double objectif: reconnaissance des deux dynamiques d évolution, sous deux responsabilités différentes La gestion des accès nominatifs if décentralisée é 15
L autorisation d accès daccès Les services applicatifs L organisation Coté services applicatifs, le propriétaire du service applicatif peut accorder une autorisation sous trois formes : L héritage de rôle. La délégation de gestion à un rôle organisationnel La délégation engendrée par une interopérabilité. Le modèle impose une double validation de l autorisationà chaque délégation de responsabilité. 16
L autorisation d accès daccès Les services applicatifs L organisation Coté responsable d unités organisationnelles Aucune autorisation nominative n'est possible Réelle séparation de pouvoir Intervention de deux acteurs pour attribuer un accès. 17
Les services applicatifs Le modèle ORFAG en différencie deux catégories : Dans le même service L autorisation d accès L organisation Lorganisation À une autre organisation 18
Les services applicatifs Processus d enrôlement métier Identité numérique <> registre L autorisation d accès daccès L organisation 19
Ce modèle de gouvernance permet un pilotage centralisé de la gestion des accès pour l ensemble des royaumes de sécurité de l entreprise. A tout moment, il est capable d identifier le(s) responsable(s) de la décision d une autorisation d accès daccès. La gestion nominative ainsi factorisée vis à vis des différents services applicatifs améliore de fait l efficience et l efficacité de la gestion des droits d accès. 20
il permet d avoir un inventaire des services applicatifs corrélés aux organisations internes et externes de l entreprise. Il prend en compte li l interopérabilité édes systèmes. Il gère la notion de projet. Il impose pour tous les cas d autorisation possibles, l intervention de deux acteurs. Il est Pilotable. 21
C est le cœur d un annuaire pour contrôler les accès de manière centralisée. 22
APIs SAML WS SECURTY Services Applicatifs hors standard Connecteurs Applicatifs JAAS J2EE ac³ Connecteurs RADIUS LDAP Service Audit Service SSO Service Gestion des Accès 23
Réponses 24