Présentation à la Polytechnique du modèle Operational Identity Based Access Control (OIBAC) Dimitri Nokovitch Février 2009
Sommaire Fondements fonctionnels du modèle Entités du modèle Cycle de vie des objets Support du travail collaboratif, des structures, des modes d organisation du Travail, du SI Couplage avec le modèle ANSI INCITS 359-2004 Problématiques d implantation
Fondements fonctionnels du modèle OIBAC Répondre aux questions suivantes : Qui est Ou dans l Organisation? Qui fait Quoi dans l Organisation? Qui à accès à Quoi? Quelles lacunes dans la Gouvernance du SI? Adresser la problématique de manière globale : Combiner toutes les dimensions d une organisation, Supporter les politiques générales de l organisation, Gérer le Temps, Gérer le Changement.
Présentation des objets du modèle OIBAC TB_OPERATIONAL_LOCATION CL_EUID CL_WORKPLACE_ID CL_STATUS_ROLE_ID varchar(50) varchar(8) TB_WORKPLACE CL_WORKPLACE_ID CL_WORKPLACE CL_GEOSPACE_ID varchar(8) varchar(125) varchar(8) <pk> <fk> TB_GEOSPACE CL_GEOSPACE_ID CL_GEOSPACE CL CAPITAL varchar(8) h (25) <pk> TB_OPERATIONAL_IDENTITY CL_EUID CL_UNIQUE_ID CL_UNIT_ID CL_ACTIVITY_ID CL_CN CL_MANAGER_ID CL_START_DATE CL_ISSUING_DATE CL_STATUS_ROLE_ID varchar(50) varchar(150) <pk,fk4> <fk1> <fk3> <fk4> TB_PERSONAL_IDENTITY CL_UNIQUE_ID CL_CN CL_GIVEN_NAME CL_SN CL_HIRE_DATE CL_LEAVE_DATE CL_STATUS_ROLE_ID varchar(150) varchar(50) <pk> TB_ORGANIZATION CL_O_ID CL_O varchar(50) <pk> TB_UNIT CL_UNIT_ID CL_UNIT CL_O_ID varchar(150) <pk> <fk> TB_BUSINESS_PROCESS CL_BUSINESS_PROCESS_ID CL_BUSINESS_PROCESS var var TB_OPERATIONAL_ACTIVITY CL_ACTIVITY_ID CL_BUSINESS_PROCESS_ID CL_EUID CL_ISSUING_DATE CL_START_DATE CL_STATUS_ROLE_ID varchar(50) <pk <fk1 <pk TB_OPERATIONAL_ROLE CL_ROLE_ID CL_ACTIVITY_ID CL_EUID CL_ISSUING_DATE CL_START_DATE CL_STATUS_ROLE_ID CL_EMPLM_PRCSS varchar(50) varchar(65) <pk,fk2> <fk1> <fk1> TB_ACTIVITY CL_ACTIVITY_ID CL_ACTIVITY CL_UNIT_ID varchar(125) TB_ROLE CL_ROLE_ID CL_ACTIVITY_ID CL_ROLE varchar(150) <pk> <fk> TB_ROLE_ENTITLEMENTS CL_ROLE_ID CL_RESOURCE_ID CL_TECHNICAL_ROLE_ID TB_RESOURCE CL_RESOURCE_ID CL_RESOURCE_NAME varchar(5 varchar(1 TB_TECHNICAL_ROLE CL_TECHNICAL_ROLE_ID CL_RESOURCE_ID CL_TECHNICAL_ROLE varchar(250) <pk> <pk, TB_TECHNICAL_IDENTITY CL_UNIQUE_ID CL_UNIQUE_ID_2 CL_RESOURCE_ID <pk,fk> TB_ENTITLEMENTS CL_UNIQUE_ID CL_RESOURCE_ID CL_TECHNICAL_ROLE_ID CL_STATUS_ROLE_ID <p <p <p V_EFFECTIVE_THEORETICAL ENTITLEMENTS
Entités du modèle OIBAC Les objets pivots du Modèle : L Identité Personnelle : Définition Attributs L Identité Opérationnelle Définition Attributs Associations
Entités du modèle OIBAC Les objets pivots du Modèle : L Identité Opérationnelle Objets complémentaires : Activité Opérationnelle Rôle Opérationnel Localisation Opérationnelle Définition Attributs Associations
Entités du modèle OIBAC Les objets secondaires du Modèle : L Identité Technique Définition Attributs Les Habilitations effectives Définition Attributs Associations TB_TECHNICAL_IDENTITY CL_UNIQUE_ID CL_UNIQUE_ID_2 CL_RESOURCE_ID <pk,fk> TB_PERSONAL_IDENTITY CL_UNIQUE_ID CL_CN CL_GIVEN_NAME CL_SN CL_HIRE_DATE CL_LEAVE_DATE CL_STATUS_ROLE_ID varchar(150) varchar(50) <pk> TB_ENTITLEMENTS CL_UNIQUE_ID CL_RESOURCE_ID CL_TECHNICAL_ROLE_ID CL_STATUS_ROLE_ID <p <p <p
Cycle de vie des objets pivots Cycle de vie des objets pivots du Modèle : L Identité Personnelle : Événements : Entrée, modification d attributs, départ temporaire, départ définitif Attributs : Données d identification, dates et statut Les dates de début et de fin d une IP conditionnent le détail des dates des IO, Sur une période donnée, le statut d une IP conditionne celui des IO L Identité Opérationnelle Événements : Création, modification d attributs, promotion, rétrogradation, activation, désactivation, terminaison, Attributs : Données de la fiche d IO, dates et statut, Les dates de début et de fin d un IO conditionnent le détail des dates des AO, des RO et des LO, Sur une période donnée, le statut d une IO conditionne celui des AO, RO et LO
Cycle de vie des objets pivots Cycle de vie des objets pivots du Modèle : L Activité Opérationnelle Événements : Création, modification d attributs, activation, désactivation, terminaison, Attributs : Données de la fiche d AO, dates et statut, Les dates de début et de fin d une AO conditionnent le détail des dates des RO, Sur une période donnée, le statut d une AO conditionne celui des RO Le Rôle Opérationnel Événements : Création, modification d attributs, activation, désactivation, terminaison, Attributs : Données de la fiche du RO, dates et statut, Les dates de début et de fin d un RO conditionnent le détail des dates des habilitations théoriques, Sur une période donnée, le statut d une AO conditionne celui des habilitations théoriques
Support du travail collaboratif Gestion des objets pivots du Modèle : Gestion hiérarchique et transverse : Hiérarchie des AO et des RO Attributs, Les AO et RO peuvent s inscrire dans une hiérarchie Top Down ou Bottom Up Les AO et RO peuvent être intégrés dans un réseau Ségrégation : Ségrégation des AO, des RO et des RT Attributs, Les AO, RO et RT peuvent être ségrégés avec application de règles de renforcement ou d allègement
Support du travail collaboratif Gestion des objets pivots du Modèle : Délégation : Délégation des AO et des RO Attributs, Les AO et RO peuvent être délégués Conditions
Support des structures Gestion des structures opérationnelles : L IO est le pivot de la représentation du modèle d organisation réel Représentation dynamique du modèle hiérarchique : Les relations inter-managers sont maintenues au niveau des IO Tout changement de relation hiérarchique se traduit par une mise à jour de l organigramme hiérarchique Représentation dynamique du modèle matriciel : Les IO permettent de représenter les lignes hiérarchiques et les lignes fonctionnelles de structures matricielles Toute création ou changement de statut d une IO permet de représenter les variations de la Matrice Représentation dynamique du modèle par processus : Les IO permettent de représenter le détail des processus Toute création ou changement de statut d une IO permet de représenter les variations de gestion du processus
Support des structures Gestion des filières fonctionnelles : L IO et le RO sont le pivot de la représentation du modèle de filières de l Organisation Représentation dynamique de l état des filières: Les IO et RO permettent de définir quelles organisations mobilisent des participants aux filières de l Organisation Toute création ou changement de statut d une IO ou d un RO permet de représenter le niveau de cohérence de la filière Gestion des Workflows : L IO est le pivot de la gestion des Workflows Représentation dynamique des acteurs du Workflow : Les IO et RO permettent de définir qui sont les acteurs mobilisables dans un Workflow d approbation Toute création ou changement de statut d une IO ou d un RO permet de modifier le groupe d acteurs
Support des modes d organisation du travail Modèles d organisation du Travail : Unités Mono-Activité et à recouvrement de responsabilités Unités Multi-Activités et à recouvrement de responsabilités Unités Mono-Activité sans recouvrement de responsabilités Unités Multi-Activités sans recouvrement de responsabilités Les pivots de la gestion multimodèles : Activités Basiques et Activités Opérationnelles Rôles Basiques et Rôles Opérationnels Combinatoires : AB => RB ou AB => RO AO => RB ou AO => RO
Support de la Gestion du SI Gestion des habilitations : Représentation dynamique de l état des habilitations : Le statut des RO détermine quels sont les droits d accès théoriques de l utilisateur. Au regard des droits d accès effectifs, il permet de définir : Les droits accordés, Les droits non accordés, Les droits hors rôles, Mais aussi les droits à suspendre, à activer ou à terminer. Représentation dynamique de l évolution des besoins de droits d accès : Les habilitations hors rôles et non provisionnées sont des indicateurs du périmètre des droits d accès à étendre ou à dé-commissionner, Un pourcentage d utilisateurs occupant le même RO permet de faire le choix d une nouvelle version de RO et d habilitations par défaut
Support de la Gestion du SI Gestion des accès au SI : Gestion dynamique des sessions d accès au SI : Une IO correspond à un contexte de travail Lors de l ouverture d une session d accès, les rôles de l IO sont réputés occupés par l utilisateur
Couplage avec le modèle ANSI INCITS
Implantations du modèle Réalisations proches du modèle OIBAC Contraintes des solutions de GIA du Marché : Le modèle de données L Identité Unique L association «User-Role» La gestion du Temps et des statuts