Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

GlobalSign : Quelle différence entre gestion des identités et gestion des accès

août 2016 par GlobalSign

GlobalSign développe des produits et des solutions de gestion des identités et des accès (IAM, Identity and Access Management). L’autorité de certification parle également des avantages de l’IAM pour l’entreprise. La gestion des accès et des identités peut en effet être utile à plusieurs égards pour une société : mise en conformité réglementaire, économies de coûts, simplification de la vie de vos clients, amélioration de l’expérience client... Pour aborder ces sujets, nous utilisons parfois de mystérieux acronymes de trois lettres et autres noms de protocoles ésotériques.

Revenons aux fondamentaux et reprenons les choses depuis le début.

Qu’entend-on par « Identité » ?

Nous avons tous des identités. Dans le monde numérique, nos identités prennent la forme d’attributs et d’entrées dans une base de données. La tendance pour les services en ligne est de collecter ces attributs pour nous offrir un meilleur service ou créer une expérience utilisateur unique à partir des données collectées sur nos attributs statiques et dynamiques.

Un attribut unique nous différencie des autres utilisateurs en ligne. Il peut s’agir d’une adresse e-mail, d’un numéro de téléphone ou de sécurité sociale. Nous recevons des attributs de nos employeurs : notre fonction, le service ou la division à laquelle nous appartenons, les rôles que nous jouons dans les projets ou dans la hiérarchie de l’entreprise. Les attributs qui concernent notre vie privée et notre vie professionnelle ne sont pas les mêmes et changent dans le temps, lorsque nous prenons un nouveau poste, que nous déménageons, que nous nous marions, etc.

Gestion des identités

Une identité en ligne est créée lorsque l’on s’enregistre. Lors de l’enregistrement, certains attributs sont collectés et stockés dans la base de données. La procédure d’enregistrement peut varier en fonction du type d’identité numérique que l’on délivrera à l’utilisateur. Pour une identité électronique émise par un gouvernement (de type « carte d’identité électronique »), la procédure est exhaustive, alors que l’inscription sur des sites de réseaux sociaux peut s’effectuer avec des attributs d’identité complètement factices (et par conséquent non vérifiés). La gestion des identités est avant tout une question de gestion des attributs. Un utilisateur, son supérieur hiérarchique, son responsable RH, l’administrateur IT, le conseiller clientèle du site e-commerce... Toutes ces personnes, et bien d’autres, peuvent être chargées de créer, mettre à jour ou même supprimer les attributs qui le concernent.

Attribut = Autorisation ?

Certains de nos attributs d’identité sont puissants. Ils nous permettent de faire des choses en ligne. Un attribut « rôle » qui décrit la fonction d’une personne dans l’entreprise – un responsable des achats, par exemple – peut indiquer à un site en ligne le champ d’action de cette personne sur ce site. Les attributs qui confèrent à l’utilisateur ses « pouvoirs » doivent donc être gérés et maintenus avec le plus grand soin.

Qu’entend-on par « accès » ?

Les décisions d’accès sont des décisions tranchées de type « oui/non ». Une fois déployé, le contrôle d’accès est chargé de décider si « oui » ou « non », l’internaute qui tente d’accéder ou d’utiliser une ressource peut le faire. Un service en ligne peut comporter plusieurs points de contrôle – ce qui est généralement le cas. Au niveau supérieur, un point de contrôle d’accès essaie de déterminer si l’utilisateur a le droit d’entrer sur le site. Au niveau inférieur, le point de contrôle d’accès atteint les fichiers individuels situés quelque part sur le disque dur. Certains des points de contrôle d’accès sont visuels pour l’utilisateur final, et requièrent des actions. L’authentification en est l’exemple le plus simple.

Qu’entend-on par « authentification » ?

L’authentification est le processus qui permet d’établir l’identité de l’utilisateur. L’utilisateur peut être authentifié de plusieurs manières. Au niveau le plus bas, l’utilisateur pourrait affirmer qu’il est bien la personne qu’il indique être en écrivant simplement son nom en réponse à la question « Qui êtes-vous ? ». À l’autre extrémité du spectre, l’utilisateur pourrait s’inscrire au service à l’aide de sa carte d’identité électronique (eID). Entre ces deux extrêmes, il existe une multitude de processus et technologies d’authentification.

Gestion des accès

Lorsque l’identité de l’utilisateur est établie, il peut donc accéder au service ? Faux. Authentification != Autorisation (en langage « geek », le symbole «  != » signifie « pas égal à »). Après l’authentification, une décision doit être prise au niveau du contrôle d’accès. La décision se fonde sur les informations disponibles sur l’utilisateur. C’est là que les attributs entrent en jeu. Si le processus d’authentification peut transmettre le jeu d’attributs nécessaire au point de décision du contrôle d’accès, le processus peut alors évaluer les attributs et décider si « oui » ou « non » [l’accès est autorisé].

Une politique d’autorisation est un outil qui permet de créer un point de décision formel. Dans l’univers de la gestion des accès et des identités (IAM), la politique d’autorisation peut être mise en œuvre dans un service centralisé, au niveau local ou les deux. Le fournisseur d’identités se charge, pour le compte du service en ligne, du travail de fond, c’est-à-dire de la collecte des attributs d’identité et de la prise de décisions pour l’accès au niveau supérieur. Il est déconseillé de créer une politique-cadre d’autorisations au niveau du service en raison des complexités et des dépenses de maintenance que cela génère. Un tel cadre serait par ailleurs difficile à changer rapidement et vulnérable aux erreurs.

La différence entre gestion des identités et gestion des accès peut se résumer ainsi :
La gestion des identités porte sur la gestion des attributs associés à l’utilisateur.
La gestion des accès porte sur l’évaluation des attributs sur la base de règles et de la prise de décisions tranchées de type « oui »/« non ».




Voir les articles précédents

    

Voir les articles suivants