Concepts fondamentaux

  • Article

Chapitre 2 Terminologie et initiatives

Paru le 11 mai 2004 | Dernière mise à jour le 26 juin 2006

La gestion des identités et des accès associe des processus, des technologies et des stratégies de gestion des identités numériques et de spécification de leur usage pour accéder aux ressources.

Les initiatives de gestion des identités et des accès s'avèrent généralement plus complexes que la plupart des autres projets informatiques en raison du nombre et de la diversité des stockages d'identités, des protocoles, des systèmes de cryptage, des stratégies et des entités gouvernantes appelées à collaborer. Une stratégie exhaustive peut réduire de façon significative les efforts requis dans le cadre de la gestion des identités numériques sur un réseau étendu via l'implémentation de normes, la diminution des stockages d'identités, la mise en place des approbations, la délégation de l'administration et la familiarisation de l'utilisateur avec l'authentification tout en renforçant la sécurité.

Une stratégie d'organisation pour la gestion des identités et des accès doit fournir des réponses claires aux questions suivantes :

  • Quels sont les avantages des initiatives de gestion des identités et des accès ?

  • Quels sont les enjeux de chaque initiative ?

  • Quels sont les facteurs spécifiques de l'organisation à prendre en compte ?

  • Quels sont les projets et solutions métier et technologiques requis pour prendre en charge chaque initiative ?

Votre organisation doit connaître précisément les avantages spécifiques apportés par les initiatives de gestion des identités et des accès améliorées. Sans cette vision directrice, vous risquez de complexifier et de restreindre la maniabilité du système sans constater d'amélioration concrète.

Lors de l'évaluation des avantages potentiels, prenez en compte les enjeux liés à l'implémentation d'une solution technologique particulière. Il est nécessaire de trouver un équilibre entre les avantages attendus et l'ampleur et la complexité de chaque solution.

Sur cette page

Gestion des identités et des accès :
Besoins de l'entreprise
Initiatives d'une stratégie de gestion des identités et des accès

Gestion des identités et des accès :

Les termes suivants décrivent les composants ou processus de gestion des identités et des accès. Les autres documents de ce kit utilisent ces termes et les développent.

  • Identité numérique. Identifiant unique et attributs descriptifs d'une personne, d'un groupe, d'un périphérique ou d'un service. Il peut s'agir par exemple de comptes utilisateur ou d'ordinateur dans Active Directory, de comptes de messagerie dans Microsoft Exchange Server 2003, d'entrées utilisateur dans une table de base de données et d'informations de connexion pour une application personnalisée.

  • Informations d'identification. Données généralement liées ou dérivant d'un secret intégré dans une identité numérique, bien que les secrets ne soient pas systématiquement concernés. Les mots de passe, les certificats X.509 et les informations biométriques correspondent, par exemple, à des informations d'identification.

  • Entité de sécurité. Identité numérique à une ou plusieurs informations d'identification pouvant être authentifiée et autorisée à interagir avec le réseau.

  • Stockage d'identité. Référentiel contenant les identités numériques. Les stockages d'identités se présentent généralement sous forme d'annuaire ou de base de données gérés et accessibles par un fournisseur tel qu'Active Directory ou Microsoft SQL Server. Les stockages d'identités peuvent être centralisés (par exemple, sur un ordinateur mainframe) ou distribués. Active Directory est un exemple de stockage d'identité distribué. Ils possèdent généralement des schémas qui définissent clairement le type et le format d'enregistrement des informations. Ils intègrent généralement un type de cryptage ou d'algorithme de hachage pour protéger le stockage et les composants de l'identité numérique, tels que les informations d'identification. Ces fonctionnalités de sécurité peuvent être absentes sur les stockages d'identités anciens et personnalisés qui enregistrent alors les mots de passe sous forme de texte brut (sans cryptage).

  • Synchronisation d'identité. Processus garantissant que les divers stockages d'identités contiennent des données cohérentes pour une identité numérique donnée. Ce processus peut être exécuté à l'aide de méthodes de programmation telles que des scripts ou à l'aide d'un produit dédié tel que MIIS 2003 SP1.

  • Services d'intégration d'identité. Services qui rassemblent et synchronisent les informations d'identité et activent l'attribution et l'annulation des privilèges d'accès sur plusieurs stockages d'identités connectés. MIIS 2003 SP1 et l'Identity Integration Feature Pack (IIFP) 1a pour Active Directory fournissent des services d'intégration d'identité.

  • Attribution des privilèges d'accès. Processus d'ajout d'identités à un stockage d'identité et de définition des informations d'identification initiales et des habilitations correspondantes. L'annulation des privilèges d'accès fonctionne à l'inverse afin de supprimer ou de désactiver une identité. L'attribution et l'annulation des privilèges d'accès collaborent généralement avec les services d'intégration d'identité pour propager des ajouts, des suppressions et des désactivations aux stockages d'identités connectés.

  • Gestion du cycle de vie de l'identité. Processus et technologies qui garantissent la mise à jour des identités numériques et leur cohérence avec les politiques gouvernementales. La gestion du cycle de vie de l’identité comprend la synchronisation d'identité, l'attribution et l'annulation des privilèges d'accès et la gestion permanente des attributs utilisateur, des informations d'identification et des habilitations.

  • Authentification. Processus de vérification des informations d'identification d'une entité de sécurité en fonction des valeurs d'un stockage d'identité. Les protocoles d'authentification tels que Kerberos version 5, Secure Sockets Layer (SSL), NTLM et l'authentification Digest protègent le processus d'authentification et évitent l'interception des informations d'identification.

  • Habilitation. Ensemble d'attributs qui spécifient les droits d'accès et les privilèges d'une entité de sécurité authentifiée. Par exemple, les groupes de sécurité et les droits d'accès de Windows sont des habilitations.

  • Autorisation. Processus de résolution des habilitations d'un utilisateur grâce à la configuration des permissions sur une ressource afin de contrôler l'accès. Dans le système d'exploitation Windows, l'autorisation implique la présence de listes de contrôle d'accès (ACL, access control lists) sur les fichiers, les dossiers, les partages et les objets d'annuaire. Les applications telles que SQL Server, SharePoint® Portal Server et Exchange Server implémentent les mécanismes de contrôle d'accès sur les ressources qu'elles gèrent. Les développeurs d'applications peuvent implémenter un contrôle d'accès basé sur les rôles à l'aide des rôles Authorization Manager ou ASP.NET.

  • Approbation. État qui décrit les accords définis entre plusieurs parties et systèmes pour partager les informations d'identité. Une approbation sert généralement à étendre l'accès aux ressources de manière contrôlée, tout en éliminant l'administration qui devrait autrement gérer les entités de sécurité de l'autre partie. Les mécanismes d'approbation incluent des approbations entre forêts sous Windows Server 2003 et des approbations entre domaines grâce au protocole d'authentification Kerberos version 5.

  • Fédération. Type spécial de relation d'approbation entre des organisations distinctes établies au-delà des frontières du réseau interne.

  • Audit de sécurité. Processus qui journalise et résume les événements importants d'authentification et d'autorisation et les modifications apportées aux objets d'identité. Les organisations diffèrent au niveau de la définition des événements significatifs. Les enregistrements d'audit de sécurité peuvent être consignés dans le journal d'événements de sécurité de Windows.

  • Gestion des accès. Processus et technologies de contrôle et de surveillance de l'accès aux ressources conformément aux politiques gouvernementales. La gestion des accès inclut l'authentification, l'autorisation, l'approbation et l'audit de sécurité.

Besoins de l'entreprise

Les avancées récentes dans le domaine des ordinateurs distribués, notamment par Internet, ont entraîné la prolifération d'applications et d'autres mécanismes d'accès aux informations dans une organisation classique. Dans le même temps, les organisations souhaitent fournir un accès sécurisé aux ressources informatiques pour les employés, les partenaires et les clients tout en poursuivant leur développement, en réduisant les coûts d'accès, en améliorant la sécurité et en restant conformes aux exigences réglementaires.

La sécurisation de l'accès aux ressources informatiques doit être garantie dans des environnements informatiques de plus en plus complexes. Les applications personnalisées ou packagées possèdent souvent leurs propres systèmes d'autorisation et d'authentification, ainsi que des outils de gestion permettant de créer et de gérer des comptes utilisateur qui ne s'intègrent pas à une plate-forme de gestion des identités et des accès complète. De telles applications entraînent souvent la création d'îlots déconnectés d'informations d'identités numériques et une complexité accrue.

Ces systèmes complexes et difficiles à gérer ne facilitent pas le travail du département informatique en termes de gestion de l'accès aux ressources informatiques et de satisfaction des besoins d'entreprise des organisations qui bénéficient de leurs services. Une infrastructure de gestion des identités et des accès correctement exécutée, basée sur une plate-forme fiable de gestion des identités et des accès, peut permettre au département informatique de satisfaire ces besoins d'entreprise.

Réduction du coût total de possession (Total Cost of Ownership)

Si une organisation n'implémente pas des mécanismes bien conçus, automatisés et auditables qui appliquent le contrôle d'accès, une stratégie complète de gestion des accès s'avérera coûteuse en termes d'implémentation et de gestion. Les chiffres suivants sont extraits de l'étude de PricewaterhouseCoopers/Meta Group Survey 2002 intitulée « The Value of Identity Management », disponible sur le site Web de l'entreprise, http://www.pwcglobal.com. Ces chiffres incluent principalement des exemples de coûts associés à la gestion d'identités numériques.

  • Ouverture de session et authentification. La réduction du délai de connexion aux différents systèmes peut améliorer de façon significative la productivité du travailleur de connaissances. Un utilisateur moyen passe 16 minutes par jour à s'authentifier et à se connecter. Pour une organisation de grande envergure (définie dans l'étude comme comptant 10 000 utilisateurs), cela équivaut à 2 666 heures, soit 1,3 année d'équivalent temps complet (ETC) par jour.

  • Gestion du cycle de vie de l'identité. L'enjeu essentiel est de permettre au personnel du département informatique de se concentrer sur les tâches importantes consistant à garantir la disponibilité des ressources et la sécurité du réseau. Le temps passé à gérer des identités avec des systèmes inefficaces pourrait être consacré à des tâches plus importantes. Le temps moyen passé à gérer les utilisateurs, les magasins d'utilisateurs, l'authentification et le contrôle d'accès est de 54 180 heures par an. Même une amélioration de 25 pour cent dans l'efficacité demanderait 13 545 heures (ou 6,7 ETC) pour une grande organisation.

  • Réinitialisations de mot de passe. Quarante-cinq pour cent des appels au support technique concernent les réinitialisations de mot de passe. L'automatisation des réinitialisations de mot de passe réduit ce volume d'appels d'environ un tiers. Pour une organisation de 10 000 utilisateurs, cela équivaut à une économie annuelle estimée à 648 000 dollars.

  • Duplication des données. L'élimination des données d'identité dupliquées peut accélérer les processus d'administration et réduire le coût total de possession. Trente-huit pour cent des utilisateurs externes et soixante-quinze pour cent des utilisateurs internes sont répertoriés dans plusieurs magasins de données. Une gestion de magasins d'utilisateurs centralisée et consolidée permettrait d'économiser 1 236 heures par an pour les grandes organisations.

Les organisations qui tentent de résoudre les problèmes de gestion des identités et des accès peuvent réduire de manière significative le coût total de possession. Même des modifications mineures, telles que la réduction du nombre d'appels au support technique pour des réinitialisations de mot de passe, peuvent augmenter significativement la productivité des utilisateurs finaux et des opérateurs du support technique.

Renforcement de la sécurité

La sécurité concerne les informations que vous protégez, mais aussi les éléments ou personnes que vous choisissez de laisser entrer et le niveau d'accès qui leur est attribué. Les employés, les sous-traitants, les clients et les partenaires commerciaux ont des besoins divers d'accès aux données et aux applications. La définition et l'implémentation d'une stratégie de gestion des accès permettant seulement aux utilisateurs spécifiquement autorisés d'accéder aux informations sensibles représente un enjeu crucial pour les organisations.

La sécurité est également liées à une gestion efficace et opérationnelle. Des processus de gestion inadaptés des comptes d'employés, de partenaires et de clients peuvent accroître les menaces en termes de sécurité. Par exemple, la gestion des comptes de millions de clients en ligne peut surcharger les systèmes de gestion des comptes utilisateur conventionnels. Les organisations possèdent des niveaux inférieurs de connaissance et de contrôle sur les employés de partenaires différent par rapport à propres comptes d'employés.

Le contrôle de la gestion des identités et des accès permet aux organisations d'étendre l'accès à leurs systèmes informatiques sans compromettre la sécurité. Pour fournir cet accès étendu, les organisations gèrent efficacement les habilitations et modifient ou refusent rapidement les droits d'accès.

Les activités de sécurité suivantes sont généralement associées à la gestion des identités et des accès :

  • Amélioration de la mise en œuvre d'une stratégie de comptes. La gestion des comptes selon des standards prédéfinis permet d'améliorer la sécurité. La mise en œuvre d'une stratégie de comptes définit des règles et des procédures pour implémenter des mesures de sécurité avancées. Par exemple, les administrateurs peuvent utiliser des cartes à puce et les utilisateurs des mots de passe complexes régulièrement modifiés.

  • Suppression des comptes obsolètes. La sécurité de l'ordinateur peut être améliorée de manière significative via la suppression opportune des comptes obsolètes. Les organisations doivent désactiver les comptes inutilisés des employés, sous-traitants, partenaires et clients. À défaut, les détenteurs d'origine des comptes peuvent les utiliser à des fins malveillantes pour obtenir un accès non autorisé aux systèmes. Les comptes obsolètes représentent des cibles attractives pour les utilisateurs malveillants et les pirates dans la mesure où ils contiennent des informations d'identification statiques probablement périmées et où toute utilisation malveillante ou compromettante du compte risque de passer plus inaperçue.

  • Amélioration de la protection des données d'applications. Pour respecter les exigences de sécurité de l'organisation, les applications doivent utiliser des systèmes de sécurité lors du transfert des données. Les données sensibles requièrent une authentification et une autorisation appropriées avant d'être consultées. Elles doivent également être protégées sur le réseau, pour empêcher les pirates de les intercepter (reniflage ou « sniffing »).

  • Implémentation d'une authentification renforcée. Les techniques d'authentification et les informations d'identification classiques peuvent ne pas fournir le niveau de sécurité requis pour les applications et les données critiques. Microsoft recommande l'utilisation appropriée de systèmes d'authentification renforcés, tels que le protocole Kerberos version 5 et les technologies d'infrastructure de clé publique (PKI, Public Key Infrastructure) pour améliorer la sécurité globale des ressources informatiques.

  • Gestion des informations d'identification avec des services d'annuaire. Malgré leur caractère polyvalent dans les organisations, les services d'annuaire peuvent présenter des avantages spécifiques en termes de sécurité. Par exemple, des méthodes d'authentification avancées telles que les cartes à puce et la biométrie peuvent améliorer significativement le niveau de sécurité de l'organisation. Ces systèmes peuvent toutefois également introduire des données complexes et additionnelles sur les utilisateurs nécessitant une gestion rigoureuse et un accès centralisé. Ce type de déploiement peut être envisagé si une infrastructure d'annuaire robuste est en place.

  • Amélioration de l'autorisation. L'autorisation doit être assez flexible pour fournir un accès général et précis aux ressources. Par exemple, un accès général permet à tous les employés d'accéder à une application spécifique, tandis qu'un accès précis ne permet qu'aux employés du département de ventes autorisés d'effectuer une opération donnée sur une application entre 9h et 17h. Les utilisateurs doivent être mappés logiquement à des rôles (administrateur de base de données, opérateur du support technique ou utilisateur d'application) au niveau d'une organisation ou d'une application.

  • Gestion des habilitations par attribution des privilèges d'accès. Un système d'attribution de privilèges d'accès correctement implémenté assure l'application cohérente des stratégies de demande et d'approbation des habilitations. L'application est facilitée lorsque toutes les unités peuvent suivre facilement le même processus. Un système d'attribution des privilèges d'accès fournit également une trace d'audit qui enregistre la date des approbations ainsi que les noms des personnes les ayant octroyées.

  • Gestion du cycle de vie de l'identité. Un processus de gestion du cycle de vie de l'identité permet d'actualiser les habilitations utilisateur selon l'évolution de sa carrière. Par exemple, si un employé passe du service financier au service marketing, le processus de gestion du cycle de vie de l'identité peut fermer et supprimer l'accès de l'employé aux applications financières et lui accorder un accès aux applications marketing. Les processus de gestion du cycle de vie de l'identité peuvent être manuels ou automatisés. Les processus automatisés augmentent généralement le niveau de sécurité d'une organisation car ils suppriment et octroient des accès de manière opportune et vérifient éventuellement que ces deux opérations sont simultanées.

  • Gestion de groupes. Les méthodes de sécurité recommandées demandent aux organisations de contrôler les appartenances aux groupes à l'aide d'une gestion de groupes efficace. L'appartenance aux groupes peut octroyer des droits d'accès et des privilèges. Il est donc important de s'assurer que chaque groupe ne contient que les comptes appropriés. Les systèmes de gestion des identités et des accès peuvent assigner des comptes utilisateur aux groupes corrects ou créer des groupes dynamiques en fonction des attributs d'un compte, puis définir ces groupes dans les services d'annuaire et les systèmes de messagerie.

  • Réduction de la surface d'attaque. Des stockages d'identités multiples présentent un risque accru de compromission des comptes utilisateur, si chaque espace n'est pas géré selon une norme commune stricte. De même, la présence de plusieurs systèmes d'authentification signifie généralement que les menaces pesant sur l'ensemble du système sont moins connues et plus difficiles à éviter. La réduction du nombre de systèmes de sécurité et de mécanismes permet d'améliorer la gestion et la sécurité des systèmes restants.

  • Conformité des utilisateurs à la stratégie. L'authentification unique (SSO, Single sign on) permet aux utilisateurs de respecter plus facilement la stratégie de mot de passe d'une organisation. Lorsque les utilisateurs doivent mémoriser et gérer plusieurs mots de passe, ils créent généralement des mots de passe simples ou écrivent les mots de passe complexes sur une feuille qu'ils peuvent laisser à la portée de tous sur leur lieu de travail.

Amélioration de l'accès

Afin d'améliorer l'accès aux informations, les technologies de gestion des identités et des accès doivent respecter les exigences suivantes :

  • fournir aux employés une productivité et un accès immédiats aux ressources d'informations via l'attribution efficace de comptes et la mise à disposition de matériel ;

  • améliorer la productivité des employés en fournissant un accès à distance aux applications principales situées en dehors de l'environnement réseau interne de l'organisation ;

  • permettre aux partenaires de participer directement aux applications métier de manière gérée et contrôlée et rationaliser ainsi les processus qui étendent les limites de l'organisation ;

  • attirer les clients à l'aide d'informations personnalisées et en leur permettant de demander des produits et des services en ligne ; améliorer l'expérience utilisateur et la satisfaction des clients pour accroître la rentabilité ;

  • réaliser des économies en implémentant une fédération qui inclut des opportunités métier croissantes pour travailler directement avec les partenaires sans devoir gérer les identités et les informations d'identification de l'équipe du partenaire participant.

En répondant à ces exigences clés de gestion des identités et des accès, les organisations peuvent augmenter la productivité des employés, réduire les coûts et améliorer l'intégration.

Garantie du respect des réglementations

L'identité est rapidement devenue le point central de plusieurs politiques gouvernementales et réglementations. Cette emphase résulte de l'intérêt croissant porté à la confidentialité dans la mesure où davantage d'informations personnelles sont stockées sur les systèmes informatiques. Le contrôle de l'accès aux informations des clients et des employés n'est plus seulement une bonne pratique commerciale. Une organisation qui ne respecte pas ses obligations dans ce domaine devient vulnérable à des attaques financières et légales.

L'intégrité des données ou l'isolement conforme sont à présent réglementés. Les organisations travaillant aux États-Unis pourraient avoir à respecter (intégralement ou partiellement) les réglementations suivantes :

  • Sarbanes-Oxley Public Company Accounting Reform and Investor Protection Act ;

  • Gramm-Leach-Bliley Financial Services Modernization Act ;

  • Health Insurance Portability and Accountability Act (HIPAA).

Ces réglementations ont un impact sur les organisations. Par exemple, la réglementation HIPAA comporte des instructions strictes sur la façon dont les organismes de santé doivent gérer les informations médicales personnelles. Elles couvrent les contrôles d'audit, la gestion des accès et les autorisations. Une infrastructure de gestion des identités et des accès efficace associe avec précision les dossiers patient au sein de différents systèmes informatiques au patient correct. De plus, de tels audits d'infrastructure accèdent aux enregistrements et authentifient les identités des personnes qui les consultent.

Les organisations situées aux États-Unis ne sont pas les seules à être confrontées à une augmentation des réglementations, comme le démontrent la Directive de protection des données de l'Union Européenne de 1998 et la réglementation sur la protection des renseignements personnels et des documents électronique au Canada (PIPEDA, Personal Information Protection and Electronic Documents Act) qui imposent des recommandations strictes sur les informations d'identité. Plusieurs réglementations locales définissent également le mode de gestion et d'utilisation des données liées à l'identité.

La conformité réglementaire garantit que les organisations respectent les exigences de confidentialité, d'authentification, d'autorisation et d'audit mandatées par l'ensemble des réglementations applicables.

Adaptation aux fusions et aux acquisitions

L'intégration des systèmes de gestion des identités et des accès d'une organisation ayant fusionné ou acquis une autre organisation présente des enjeux et des opportunités uniques. Pour augmenter la valeur de la nouvelle organisation, le département informatique doit utiliser des normes communes pour combiner les données et les informations des organisations récemment fusionnées et les mettre rapidement à la disposition des employés.

L'intégration des systèmes de gestion des identités et des accès est essentielle pour fournir à tous les employés de la nouvelle organisation le niveau d'accès approprié aux données consolidées. De plus, les stockages d'identités redondants et les processus de gestion devenus superflus dans la nouvelle organisation doivent être consolidés pour conserver des coûts d'administration acceptables.

Les fusions et les acquisitions représentent les enjeux suivants pour le département informatique :

  • mise en compatibilité des stockages d'identités des deux organisations ;

  • regroupement des comptes de chaque système en un système consolidé ;

  • utilisation de la fédération pour regrouper les systèmes de gestion des identités et des accès par approbation ;

  • synchronisation des stockages d'identités (solution acceptable sur le court-terme s'il est impossible de consolider immédiatement les différents systèmes lors d'une fusion ou d'une acquisition) ;

  • mise à jour des stratégies de sécurité pour intégrer et respecter les nouvelles exigences réglementaires suite à une fusion ou à une acquisition.

Initiatives d'une stratégie de gestion des identités et des accès

Chaque organisation possède ses propres éléments moteurs pour déterminer et implémenter une stratégie de gestion des identités et des accès. Pour augmenter les chances de réussite, la stratégie doit correspondre aux objectifs métier afin d'obtenir des résultats commerciaux. Les priorités des projets doivent prendre en compte les éléments suivants :

  • Des résultats rapides améliorent le soutien de la direction. Des résultats rapides et peu coûteux permettent de créer une impulsion et de renforcer l'approbation des responsables.

  • Prise en compte rapide des domaines à risque élevé. Les problèmes de sécurité de l'entreprise sont souvent prioritaires et doivent être traités rapidement.

  • Les normes et l'infrastructure sont souvent des prérequis pour d'autres initiatives. En fonction des investissements passés, la mise en place de normes à l'aide d'une stratégie et l'infrastructure de prise en charge correspondante peut s'avérer onéreuse et coûteuse en termes d'efforts. Il s'agit cependant d'un investissement utile dans la mesure où la réussite de la plupart des autres projets en dépend.

Toute organisation qui envisage d'adopter une stratégie de gestion des identités et des accès devra considérer un ensemble unique d'objectifs et de priorités. Les sections suivantes présentent des initiatives courantes découlant d'un ou de plusieurs projets métier et technologique :

  • mise en place de stratégies de sécurité et d'accès ;

  • mise en place d'un service d'annuaire et de normes de sécurité ;

  • implémentation de l'agrégation et de la synchronisation des identités ;

  • automatisation de l'attribution et de l'annulation des privilèges d'accès ;

  • intégration d'une gestion de groupes efficace ;

  • consolidation des stockages d'identités ;

  • intégration de la gestion et de la synchronisation des mots de passe ;

  • activation de l'interopérabilité et de l'authentification unique ;

  • renforcement des mécanismes d'authentification ;

  • amélioration de l'accès au niveau des employés, des clients et des partenaires ;

  • mise en place d'une stratégie d'audit de sécurité ;

  • mise à jour des normes d'approvisionnement de logiciels ;

  • mise en place de normes de développement de logiciels pour les identités ;

  • développement et migration des applications respectant les identités.

Mise en place de stratégies de sécurité et d'accès

Plusieurs stratégies écrites de sécurité de l'organisation impliquant des personnes, des processus et des éléments technologiques peuvent être directement implémentées dans des services d'annuaire, mais d'autres seront contrôlées par des processus et des systèmes spécifiques pouvant appliquer une stratégie de sécurité. Les stratégies d'accès de l'organisation peuvent spécifier des règles métier à un niveau global par rapport à l'accès à des applications spécifiques ou à des groupes d'applications. De telles stratégies d'accès sont généralement définies en termes de rôles, de ressources, d'opérations et de restrictions.

Voici quelques exemples de stratégies de sécurité et d'accès et des règles qu'elles comportent :

  • les stratégies de gestion des comptes, qui peuvent définir que les comptes obsolètes doivent être régulièrement supprimés des stockages d'identités ;

  • les stratégies de mot de passe, qui peuvent définir que les mots de passe d'un compte doivent être régulièrement modifiés et qu'ils doivent posséder une longueur et une complexité minimales ;

  • les stratégies d'audits de sécurité, qui peuvent définir les actions à rapporter ;

  • les stratégies de confidentialité, qui peuvent définir la « sérénité » (absence de communications non désirées comme les spams) et les règles de confidentialité des informations (capacité des individus à contrôler la collecte et l'utilisation de leurs informations personnelles) ;

  • les stratégies de gestion des accès, qui peuvent insister sur le fait que :

    • l'accès VPN requiert une carte à puce ou un autre type d'authentification sur plusieurs facteurs ;

    • les applications spécifiques requièrent une authentification biométrique ;

    • l'accès extranet à certains systèmes est limité aux utilisateurs authentifiés et appliqué par les services de pare-feu de périmètre ;

    • l'ouverture de session de l'administrateur de domaine requiert une carte à puce ;

    • les connexions par ordinateur à des systèmes à valeur élevée requièrent l'utilisation d'un cryptage IPSec ;

    • les restrictions opérationnelles telles que « les suppressions de comptes clients peuvent être initiées par des employés uniquement entre 9h et 17h » sont satisfaites.

Avantages

La mise en place de stratégies de sécurité et d'accès présente notamment les avantages suivants :

  • amélioration de la sécurité dans l'organisation ;

  • amélioration de la sécurité au niveau des systèmes spécifiques à valeur élevée ;

  • amélioration des audits de sécurité ;

  • respect des réglementations.

Enjeux

La mise en place de stratégies de sécurité et d'accès présente les enjeux suivants :

  • mise en place d'exigences de sécurité appropriées pour chaque scénario d'accès ;

  • implémentation de stratégies avec les technologies choisies en tenant compte des contraintes et des restrictions ;

  • prise en charge des tâches supplémentaires de gestion et de l'efficacité réduite inhérente à une sécurité supérieure non automatisée ;

  • exploitation des mécanismes de sécurité plus complexes ;

  • gestion d'exigences de sécurité opposées.

Mise en place d'un service d'annuaire et de normes de sécurité

Que vous utilisiez Active Directory ou non, un service d'annuaire standard est le principal outil de gestion des accès et des identités. Cependant, les organisations constatent souvent qu'elles requièrent plusieurs services d'annuaire. Les fusions, les acquisitions et les choix d'application peuvent introduire deux services d'annuaire voire plus dans une organisation. Une stratégie de gestion des identités et des accès efficace les consolide en un nombre minimal de stockages d'identités qui deviennent collectivement les services d'annuaire standard de l'organisation.

Les services d'annuaire peuvent appliquer des normes de stratégie de sécurité, mais les organisations peuvent constater des différences considérables dans leurs opérations internes. Par exemple, un département peut être créé après l'acquisition comprenant un service d'annuaire et une stratégie de sécurité différents du service d'annuaire actuel de l'organisation. Les normes de sécurité liées à l'identité sont souvent étroitement intégrées aux services d'annuaire et doivent donc être étudiées en même temps.

La mise en place d'un service d'annuaire et de normes de sécurité est un prérequis nécessaire pour mettre en place le développement de l'application et les normes d'approvisionnement, pour conserver des coûts de gestion bas et étendre l'accès en toute sécurité.

Avantages

La mise en place de services d'annuaire standard et de normes de sécurité unifiées présente notamment les avantages suivants :

  • réduction de la surcharge administrative ;

  • simplification de l'attribution des privilèges d'accès ;

  • amélioration de la sécurité dans l'organisation ;

Enjeux

La mise en place de services d'annuaire standard et de normes de sécurité unifiées présente des enjeux importants, notamment les suivants :

  • besoins d'annuaire spécifiques des applications métier et des plates-formes ;

  • échec de l'adaptation de stratégies de sécurité incompatibles ;

  • problèmes interorganisationnels, tels que l'autonomie départementale ;

  • exigences réglementaires relatives à la définition de frontières entre les informations et la gestion, telles que dans les institutions financières (par exemple, séparer les services bancaires aux particuliers des services d'assurance) ;

  • choix d'un protocole d'authentification commun pouvant être utilisé par les applications et les stockages d'identités définis dans l'organisation ;

  • présentation des habilitations dans un format commun pouvant exploitable par les différentes systèmes et applications de l'organisation.

Le document « Plate-forme et infrastructure » de ce kit fournit plus d'informations sur la mise en place d'un service d'annuaire et de normes de sécurité.

Implémentation de l'agrégation et de la synchronisation des identités

La migration des stockages d'identités et des applications vers un service d'annuaire standard s'avère souvent délicate. Cependant, il est souvent possible de réduire les coûts de gestion et de minimiser la productivité perdue en intégrant de tels systèmes pour partager leurs informations d'identité, créer et gérer les mêmes habilitations à l'aide de stratégies communes.

L'agrégation d'identité lie plusieurs identités numériques à partir de plusieurs stockages d'identités. Sans l'agrégation d'identité, vous ne pouvez pas déterminer que « Li, George Z. » du service des ressources humaines (RH) est la même personne que « George Li » sur l'intranet et que « G. Li » dans l'annuaire d'adresses électroniques. L'agrégation et la synchronisation des identités permettent à votre organisation de créer et de gérer une identité numérique intégrale à l'aide des services d'intégration d'identité tels que ceux fournis par MIIS 2003 SP1.

Avantages

L'agrégation et la synchronisation des identités présentent notamment les avantages suivants :

  • surcharge d'administration réduite grâce au lien entre les informations d'identité réparties dans plusieurs stockages d'identités ;

  • quantité d'informations métier obtenues supérieure grâce à une vision unifiée de toutes les identités numériques d'une organisation ;

  • gestion améliorée des identités à partir d'un seul stockage d'identités.

Enjeux

L'agrégation de plusieurs stockages d'identités présente notamment les enjeux spécifiques suivants :

  • identification de tous les stockages d'identités gérés dans une organisation ;

  • accord pour l'agrégation des stockages d'identités et la synchronisation des informations ;

  • choix des attributs détenus par chaque stockage d'identité ;

  • mise en place d'une collaboration entre les départements des ressources humaines, informatique, juridique et les autres départements impliqués ;

  • détermination des sources faisant autorité pour les divers attributs qui constituent l'identité numérique utilisée dans l'organisation ;

  • définition d'une vision globale des informations d'identité pour l'organisation ;

  • audit des modifications via une vision globale de toutes les informations d'identité d'une organisation ;

  • synchronisation des informations d'identité entre les différents stockages d'identités de l'organisation.

Pour plus d'informations, reportez-vous au document « Agrégation et synchronisation des identités » de ce kit.

Automatisation de l'attribution et de l'annulation des privilèges d'accès

Les organisations cherchent à obtenir une productivité rapide de leurs nouveaux employés et sous-traitants. Ils ne peuvent pas se permettre d'avoir une équipe qui attend pendant plusieurs heures ou plusieurs jours une autorisation d'accès aux applications.

L''attribution des privilèges d'accès automatisée peut sélectionner une nouvelle entrée dans un stockage d'identité et créer les entrées correspondantes dans les différents stockages d'identités gérés. L'annulation des privilèges d'accès fonctionne à l'inverse. Toute modification constatée au niveau d'un stockage (désactivation d'un compte, par exemple) est propagée aux autres stockages d'identités. Ainsi, la modification d'une valeur dans un champ unique d'un stockage d'identité connecté (comme la modification de l'état « employé » à « ancien employé » dans le système des ressources humaines) permet de désactiver ou de supprimer rapidement un kit d'identités numériques dans plusieurs stockages.

Avantages

L'attribution et l'annulation automatisées des privilèges d'accès présentent les avantages suivants :

  • réduction des coûts grâce à la création et à la suppression automatiques de comptes dans plusieurs stockages d'identités ;

  • amélioration de la productivité grâce à la réduction du temps requis pour créer des comptes, des mots de passe et des droits d'accès pour les nouveaux employés ;

  • automatisation de la génération des attributs requis, tels que les boîtes aux lettres et les noms de compte ;

  • simplification de la gestion de l'appartenance aux groupes ;

  • simplification de la gestion des rôles ;

  • renforcement de la sécurité via l'annulation immédiate des droits d'accès des employés qui quittent l'organisation.

Enjeux

L'attribution et l'annulation automatisées des privilèges d'accès présentent les enjeux suivants :

  • détermination du processus métier à l'origine de l'attribution des privilèges d'accès ;

  • détermination des départements et approbations nécessaires à l'attribution des privilèges d'accès aux nouveaux comptes ;

  • gestion des retards de processus métier qui affectent l'attribution opportune des privilèges d'accès et sécurisent l'annulation des privilèges d'accès ;

  • remplacement des tâches manuelles existantes par des processus automatisés qui comprennent le workflow et l'audit ;

  • attribution de privilèges d'accès à des identités numériques dans plusieurs stockages d'identités ;

  • création et gestion d'un ensemble cohérent d'habilitations pour les utilisateurs dans les applications, avec des stockages d'identités ou des mécanismes d'autorisation différents ;

  • collecte rapide des informations nécessaires pour garantir une attribution rapide des privilèges d'accès.

Automatisation de la gestion des groupes

La gestion des groupes active l'automatisation de l'attribution et l'annulation des privilèges d'accès. Les organisations utilisent généralement des groupes de distribution pour distribuer des courriers électronique et des groupes de sécurité pour les groupes d'utilisateurs disposant d'habilitations semblables.

Lorsque des employés rejoignent une organisation, leurs comptes utilisateur doivent automatiquement être associés aux groupes de distribution et de sécurité appropriés pour effectuer leurs tâches. De plus, les organisations peuvent créer des groupes basés sur des valeurs d'attributs communes telles que « Tous les utilisateurs du Kansas ». La création manuelle de groupes basés sur des attributs est fastidieuse et complexe. Il est donc préférable d'intégrer une création et une attribution de groupe automatique à la gestion des identités et des accès.

Avantages

La gestion automatisée des groupes présente les avantages suivants :

  • renforcement de la sécurité par un meilleur contrôle des appartenances aux groupes et des habilitations ;

  • assignation des employés aux groupes appropriés lors de l'attribution des privilèges d'accès ;

  • suppression des comptes des groupes dont les utilisateurs ont quitté l'organisation, changé de rôle ou de département ;

  • création de groupes basés sur des requêtes, comme les listes de distribution de tous les rapports directs pour un gestionnaire particulier.

Enjeux

La gestion automatisée des groupes présente les défis suivants :

  • identification des groupes de sécurité et de distribution appropriés ;

  • normalisation des valeurs d'attributs pour éviter la création superflue de groupes basés sur des requêtes ;

  • implémentation d'un processus d'audit approprié pour effectuer le suivi de la création du groupe et de l'appartenance ;

  • respect des exigences réglementaires.

Consolidation des stockages d'identités

L'agrégation et la synchronisation des données d'identité permet de réduire le nombre de stockages d'identités utilisés. Par exemple, si deux applications d'une organisation utilisent Lightweight Directory Access Protocol (LDAP) pour l'authentification et l'autorisation, il est possible de grouper des stockages d'identité LDAP séparés en un seul stockage.

Les données d'identité peuvent être synchronisées et gérées dans les stockages d'identités à l'aide de mécanismes automatisés. Cependant, la maintenance de ces mécanismes et les exceptions inévitables entraînent une augmentation des tâches de gestion et de la surface d'attaque.

Avantages

La consolidation des stockages d'identités présente les avantages suivants :

  • réduction des tâches de gestion ;

  • réduction du coût total de possession grâce à l'élimination des serveurs et des licences ;

  • réduction des besoins du serveur en termes de maintenance ;

  • réduction des coûts de mises à jour matérielles et logicielles ;

  • simplification du déploiement des applications.

Enjeux

La consolidation des identités présente les enjeux suivants :

  • création d'un schéma agrégé dans un stockage d'identités unique ;

  • gestion des différences entre LDAP ou d'autres implémentations de protocoles dans des stockages d'identités distincts ;

  • migrations des applications.

Intégration de la gestion et de la synchronisation des mots de passe

La gestion et la synchronisation des mots de passe améliorent le processus d'agrégation d'identité. La gestion des mots de passe inclut plusieurs facettes, comme la mise en place et l'application de stratégies de mot de passe et la modification ou la réinitialisation des mots de passe. La synchronisation des mots de passe propage ensuite ces modifications à tous les stockages d'identités connectés. Par exemple, la gestion et la synchronisation des mots de passe permettent aux utilisateurs de modifier leur mot de passe réseau, les informations d'identification SAP, les informations d'identification de messagerie et les mots de passe pour les sites de collaboration extranet en une seule opération. La synchronisation des mots de passe permet de regrouper des stratégies renforcées de mots de passe sur les systèmes critiques et des stratégies plus vulnérables sur les systèmes qui ne peuvent pas prendre en charge les normes strictes de mot de passe modernes.

Avantages

La gestion et de la synchronisation des mots de passe présentent les avantages suivants :

  • réduction des coûts de gestion et de support, car l'équipe du support technique ne doit pas réinitialiser les mots de passe utilisateur pour plusieurs stockages d'identités ;

  • renforcement de la sécurité grâce au nombre réduit de mots de passe à mémoriser et au risque moindre de voir les utilisateurs les écrire sur une feuille ;

  • renforcement de la sécurité résultant de l'application cohérente de la stratégie de mot de passe par rapport aux éléments de la stratégie, tels que la longueur du mot de passe et les exigences de complexité ;

  • réactivité supérieure du support technique pour toute demande d'assistance et de réinitialisation des mots de passe utilisateur.

Enjeux

La gestion et la synchronisation des mots de passe présentent les enjeux suivants :

  • gestion de plusieurs stratégies de mot de passe avec des critères de longueur et de complexité différents ;

  • prise en charge de l'expiration des mots de passe et des intervalles d'historique sur différentes plates-formes ;

  • détermination des systèmes à ne pas impliquer dans la propagation des mots de passe, à cause des stockages d'identités ou des techniques d'authentification non sécurisés et d'autres vulnérabilités ;

  • capture des modifications de mots de passe sur différentes plates-formes, si nécessaire ;

  • connexion et transmission sécurisée des mots de passe mis à jour aux stockages d'identités cibles ;

  • vérification de l'identité des utilisateurs demandant une réinitialisation de leurs mots de passe ;

  • garantie de l'envoi sécurisé des mots de passe récemment réinitialisés à l'utilisateur final ;

  • gestion des applications et des services ayant codé en dur ou configuré localement des mots de passe.

Le document « Gestion des mots de passe » de ce kit fournit plus d'informations sur le sujet.

Activation de l'interopérabilité et de l'authentification unique

Les scénarios d'interopérabilité inter-plate-forme varient considérablement d'une organisation à une autre, car chacune possède une combinaison unique de services d'annuaire, de bases de données, d'applications et de stockages d'identités associés à intégrer.

Les méthodes d'interopérabilité et d'authentification unique suivantes sont disponibles :

  • intégration dans le système d'exploitation serveur (utilisée par des produits, tels que Microsoft Exchange Server 2003 et SQL Server 2000) ;

  • utilisation d'un protocole d'authentification normalisé, tel que Kerberos version 5 ;

  • utilisation de l'authentification et de l'autorisation LDAP pour les applications ou les plates-formes qui ne prennent pas en charge le protocole Kerberos version 5 ;

  • utilisation d'un mappage des informations d'identification et d'une authentification unique d'entreprise (Enterprise SSO) (utilisés par des produits, tels que Microsoft BizTalk® Server 2004, SharePoint Portal Server 2003 et Host Integration Server 2004) ;

  • synchronisation des noms d'utilisateur et propagation des mots de passe dans les différentes plates-formes et applications. Cette méthode ne fournit pas une authentification SSO réelle, mais évite aux utilisateurs d'avoir à mémoriser plusieurs mots de passe et noms d'utilisateur, grâce à la synchronisation des identités et à l'amélioration de la gestion des mots de passe ;

  • implémentation de l'authentification Web unique (Web SSO) pour les scénarios intranet et extranet.

Avantages

L'interopérabilité et l'authentification unique présentent les avantages suivants :

  • rationalisation du déploiement d'applications ;

  • conformité des données du réseau à des normes d'authentification et de sécurité plus élevées ;

  • réduction du nombre d'authentifications répétées des utilisateurs aux différents stockages d'identités via l'authentification unique intranet (Intranet SSO).

Enjeux

L'interopérabilité et l'authentification unique présentent les enjeux suivants :

  • sélection des mécanismes appropriés pour les plates-formes de l'organisation ;

  • sélection des mécanismes d'authentification unique Web ou de réseau (Web SSO et Network SSO) lorsque les deux options sont disponibles ;

  • définition temporelle et méthodologique de l'utilisation des services d'annuaire LDAP pour l'authentification et l'autorisation ;

  • définition temporelle de la reconfiguration des applications et des plates-formes pour implémenter la propagation des mots de passe ;

  • différences dans les protocoles LDAP ou les implémentations de schéma ;

  • gestion des variations mineures dans les implémentations des mécanismes d'authentification normalisés.

Le document « Gestion de l'accès intranet » de ce kit fournit plus d'informations sur l'interopérabilité et l'authentification unique intranet (Intranet SSO).

Renforcement des mécanismes d'authentification

L'implémentation de mécanismes d'authentification renforcés peut être motivée par différentes raisons. L'initiative peut s'inscrire dans une politique globale de renforcement de la sécurité des ressources informatiques de l'organisation, répondre à une menace spécifique ou à une attaque réussie (scénario le plus catastrophique). Enfin, il peut s'avérer nécessaire de respecter des normes ou des réglementations du secteur pour bénéficier d'une non-répudiation ou d'une fonctionnalité similaire.

De nombreuses organisations continuent à utiliser des combinaisons de nom d'utilisateur et de mot de passe pour l'authentification à leurs applications et à leurs ressources. Les mécanismes d'authentification basés sur un mot de passe peuvent fournir une sécurisation élevée ou très vulnérable selon l'implémentation de l'application, le protocole, le stockage d'identité, la longueur et la complexité du mot de passe.

Des mécanismes et technologies plus sécurisés et non basés sur des mots de passe sont disponibles de nos jours, tels que les certificats numériques X.509, les jetons matériels basés sur le temps également connus sous le nom de dispositifs OTP (One Time Password) ou une confirmation secondaire utilisant une authentification biométrique.

La combinaison de plusieurs mécanismes (ou facteurs) d'authentification pour créer une authentification à plusieurs facteurs garantit un niveau de sécurité optimal. Par exemple, la combinaison d'un certificat numérique X.509 sur une carte à puce (élément détenu) avec un PIN (données confidentielles) qui déverrouille la clé privée associée au certificat crée des informations d'identification très complètes qui fournissent à leur tour une authentification complète.

Avantages

Le renforcement des mécanismes d'authentification présente les avantages suivants :

  • renforcement de la sécurité ;

  • respect des exigences réglementaires nécessitant une validation supplémentaire lors de l'accès aux ressources.

Enjeux

Le renforcement des mécanismes d'authentification présente les enjeux suivants :

  • recherche de l'équilibre entre le coût des infrastructures supplémentaires et les besoins en termes de renforcement de la sécurité ;

  • intégration de mécanismes d'informations d'identification et de protocoles d'authentification plus stricts sur différentes plates-formes et applications ;

  • préserver une complexité équivalente pour l'utilisateur final et la gestion. Les mécanismes à plusieurs facteurs augmentent souvent le nombre d'erreurs possibles (telles que la perte de cartes à puce ou l'oubli des codes PIN) ;

  • minimisation des coûts et des ressources associés au déploiement du matériel pour prendre en charge les informations d'identification, telles que les cartes à puces et les jetons OTP.

Amélioration de l'accès au niveau des employés, des clients et des partenaires

De nombreuses organisations souhaitent optimiser leurs systèmes informatiques et disposer d'un avantage concurrentiel en élargissant l'accès pour inclure de nouveaux types d'utilisateurs, d'applications et de réseaux. On parle souvent d'« extension du périmètre du réseau » car la barrière créée par les pare-feu du réseau de l'organisation ne permet plus de tenir les utilisateurs externes à l'écart.

Par exemple, l'accès des clients aux informations et aux applications crée de nouvelles opportunités commerciales. Les partenaires commerciaux simplifient les chaînes d'approvisionnement en intégrant des systèmes d'inventaire, d'expédition, financiers et de développement des produits afin de partager les informations de tarification, de produit et de support confidentielles. Les employés ont plus d'opportunités de travailler et de communiquer à distance car ils collaborent étroitement avec les clients et les partenaires.

Avantages

L'amélioration de l'accès présente les avantages suivants :

  • développement rapide des applications ;

  • déploiement plus rapide des applications ;

  • contrôle accru de l'accès aux ressources ;

  • meilleure expérience utilisateur final ;

  • réduction de la surcharge administrative ;

Enjeux

L'amélioration de l'accès des utilisateurs externes présente les enjeux clés suivants :

  • intégration aux applications existantes ;

  • sélection des stockages d'identités appropriés ;

  • sélection des mécanismes d'authentification appropriés pour chaque classe d'utilisateurs ;

  • sélection d'un modèle d'autorisation approprié ;

  • adaptation des mécanismes d'authentification et d'autorisation ;

  • gestion des identités de plusieurs partenaires et clients ;

  • octroi de l'accès aux ressources appropriées en fonction du rôle des utilisateurs dans l'organisation et des applications qu'ils utilisent ;

  • problématique de l'établissement d'une confiance entre les organisations partenaires.

Le document « Gestion de l'accès Extranet » de ce kit présente les concepts d'octroi d'un accès sécurisé aux applications internes aux employés, aux clients et aux partenaires via la connexion unique.

Mise en place d'une stratégie d'audit de sécurité

Une organisation possède généralement des stratégies de sécurité qui requièrent un audit au niveau de la plate-forme et de l'application. L'un des avantages majeurs de l'implémentation de certaines initiatives de gestion des identités et des accès décrite dans ce chapitre est la consolidation des stockages d'identités, des plates-formes et des mécanismes d'authentification et d'autorisation. Cette consolidation facilite l'audit et le rend plus fiable via la réduction du nombre de places et du mode de génération des événements de sécurité.

L'étape suivante consiste, pour l'organisation, à détailler les types d'audit requis et la façon dont les informations d'audit sont recueillies, stockées et utilisées.

Avantages

La mise en place d'une stratégie d'audit de sécurité présente les avantages suivants :

  • réduction des effets liés à la soumission d'un audit de sécurité externe ;

  • capacité d'exécution accrue des opérations légales dans le cas d'une attaque contre la sécurité ;

  • capacité de détection accrue des attaques en temps réel et de notification des administrateurs pour qu'ils lancent les procédures d'urgence ;

  • capacité accrue de mise en place rétroactive des stratégies difficiles à mettre au moment opportun.

Enjeux

La mise en place d'une stratégie d'audit de sécurité présente les enjeux suivants :

  • présence de mécanismes d'audit différents dans les plates-formes et les applications ;

  • différence au niveau des fonctionnalités d'audit, avec des degrés de spécificité variables ;

  • différence des exigences d'audit pour les différentes unités d'exploitation d'une organisation ;

  • consolidation des rapports d'audit dans un emplacement central ;

  • filtrage des volumes d'informations ;

  • génération de rapports significatifs ;

  • archivage de grandes quantités de données d'audit.

Mise à jour des normes d'approvisionnement de logiciels

Les applications sont souvent à l'origine de la complexité des systèmes de gestion des identités et des accès. Les applications introduisent généralement plusieurs types de stockages d'identités, de mécanismes d'authentification et de stratégies d'autorisation. Après avoir normalisé le service d'annuaire, la sécurité et les stratégies d'accès, il est important d'établir ou de mettre à jour les normes organisationnelles pour les logiciels d'approvisionnement, afin que le logiciel s'intègre bien dans les autres systèmes de votre organisation.

Lors de l'achat de logiciels auprès d'éditeurs de logiciels (ISV, independent software vendors), vérifiez leur capacité à s'intégrer à vos services d'annuaire sélectionnés ainsi que le respect aux stratégies de sécurité et d'accès établies.

Avantages

La mise à jour des normes d'approvisionnement de logiciels présente les avantages suivants :

  • déploiement rapide des nouvelles applications ;

  • facilité d'intégration dans l'infrastructure de gestion des identités et des accès ;

  • coût total de possession réduit ;

  • renforcement de la sécurité ;

  • formation réduite des utilisateurs finaux ;

  • productivité accrue des utilisateurs finaux.

Enjeux

La mise à jour des normes d'approvisionnement de logiciels présente les enjeux suivants :

  • choix du logiciel approprié avec les fonctions correctes ;

  • identification des éléments en option à utiliser ou à acheter ;

  • sélection du logiciel permettant d'optimiser la sécurité ;

  • sélection du logiciel permettant d'optimiser la productivité.

Mise en place de normes de développement de logiciels pour les identités

Les entités commerciales d'une entreprise étant amenées à évoluer, de nouvelles applications sont nécessaires pour implémenter les nouvelles fonctionnalités métier. La mise en place et l'application de normes de développement qui décrivent la façon dont les applications interagissent avec l'infrastructure de gestion des identités et des accès constitue la base pour réduire le coût total de possession et améliorer la sécurité.

Avantages

La mise en place de normes de développement logiciel pour l'utilisation des identités présente les avantages suivants :

  • résolution des problèmes gestion des identités ;

  • développement plus rapide des applications ;

  • réduction des coûts administratifs ;

  • sécurité renforcée grâce à une surface d'attaque réduite.

Enjeux

La mise en place de normes de développement logiciel présente les enjeux suivants :

  • mise à disposition d'une source faisant autorité pour des informations d'identités, dont les nouvelles applications peuvent tirer parti ;

  • nécessité et garantie que les applications utilisent des stockages d'identités existants, ainsi que des fonctionnalités d'authentification et d'autorisation existantes ;

  • création et la publication d'instructions claires, intégrées à toutes les méthodologies de cycle de vie de développement logiciel (SDLC, Software Development Life Cycle), sur la façon dont les applications doivent s'intégrer à l'infrastructure de gestion des identités et des accès ;

  • formation des développeurs internes et externes pour le suivi de ces instructions.

Développement et migration des applications respectant les identités.

Une fois que l'organisation a établi des normes pour le développement des applications, de nouvelles applications peuvent être développées. Les applications existantes doivent également posséder le même niveau d'intégration dans l'infrastructure de gestion des identités et des accès.

Pour cela, faites un inventaire des applications existantes et regroupez-les en catégories. Prenez en compte la valeur de chaque application, des informations qu'elle fournit et de ses caractéristiques de sécurité pour déterminer son importance relative. Considérez ces informations en tenant compte du coût de la migration ou de la modification de chaque application, pour donner la priorité aux applications à migrer en priorité.

Avantages

Le développement et la migration d'applications sensibles à l'identification présente les avantages suivants :

  • réduction de la surcharge administrative pour la gestion des identités ;

  • renforcement de la sécurité ;

  • cohérence au niveau des applications.

Enjeux

Le développement et la migration d'applications sensibles à l'identification présente les enjeux suivants :

  • étude du fonctionnement des applications pour choisir la méthode d'intégration appropriée ;

  • sélection d'une plate-forme pour la migration des applications ;

  • choix d'une langue ou d'un environnement pour le développement de l'application ;

  • choix d'un stockage d'identités qui respecte les exigences de l'organisation et de l'application ;

  • sélection des techniques d'authentification et d'autorisation respectant ces exigences.

Le document « Développement des applications ASP.NET sensibles à l'identification » de ce kit présente les techniques nécessaires pour la création d'applications qui s'intègrent à la plate-forme Microsoft de gestion des identités et des accès.

Télécharger

Téléchargez le kit Microsoft de gestion des identités et des accès

Notifications de mise à jour

Abonnez-vous aux mises à jour et aux nouvelles versions

Commentaires

Envoyez-nous vos commentaires ou suggestions