Nous avons parlé de la sécurité, des processus métier et du portail d'identité, sans jamais vraiment définir ce qu'était la gestion d'identité (l'IAM en anglais pour Identity and Access Management). C'est ce que nous allons tenter d'accomplir dans cet article.
L'identité
L'identité correspond à tout ce qui représente, ce qui caractérise un individu.
Dans l'entreprise, l'identité rassemble les informations publiques comme le nom et le prénom, les informations privées comme le numéro de téléphone et l'adresse de la maison, les informations professionnelles comme le numéro de portable professionnel ou le nom du manager et des informations en rapport avec le métier comme les comptes applicatifs et les habilitations.
En général les identités et les informations qui vont avec sont réunies dans un référentiel central qu'on appelle un annuaire LDAP. Le modéliser et configurer les outils qui vont permettre de le gérer et le synchroniser avec les autres référentiels applicatifs est un art qui ne doit pas être négligé.
Les habilitations
L'identité centralisée permet de définir les droits d'accès aux applications autorisées pour chaque utilisateur du SI. Un modèle de contrôle d'accès basé sur les rôles, RBAC, peut être défini pour factoriser les droits par rapport aux applications. Aujourd'hui, la gestion des habilitations est beaucoup plus avancée, Le modèle ORBAC prévoit des couches d'abstraction supplémentaires pour faciliter l'affectation des habilitations.
Le provisioning
Dans certains cas, il est même possible de centraliser l'affectation des permissions dans chaque application, qu'elles soient directement connectées à l'annuaire central ou qu'elles gardent leur référentiel d'identités. Pour ces dernières, des outils de synchronisation et des connecteurs adéquats sont nécessaires.
L'IHM DCMS
Il est très valorisant de proposer aux utilisateurs du SI des interfaces métier qui s'appuient sur ces outils techniques. Un organigramme, un point d'entrée dans le portail d'entreprise pour le self-service, la recherche simplifiée d'un utilisateur à travers l'application Web "pages jaunes / pages blanches" sont des exemples qui augmentent la productivité des employés.
Les processus
La productivité des employés peut encore être améliorée si les processus métier sont ajoutés au portail d'entreprise. Avoir la possibilité de demander une dérogation à une règle de sécurité sur le portail d'entreprise et suivre en temps réel l'avancée du processus dans ce même portail place l'entreprise sur le podium des plus novatrices qui offrent un maximum de services centralisés.
La sécurité
La gestion d'identité ne propose pas seulement des services d'interface à forte valeur ajoutée. Le Web SSO permet de sécuriser l'accès aux applications Web au niveau serveur. L'entreprise SSO permet de sécuriser les autres applications directement à partir du poste de travail. Ces outils permettent d'éviter la prolifération de mots de passe compliqués à retenir pour l'utilisateur et le fameux effet post'it ! La PKI, terme désignant l'infrastructure de gestion de clés publiques, permet de renforcer la sécurité par une authentification forte
L'audit
Les responsables de la sécurité doivent s'assurer que le SI est bien protégé en le supervisant. Ils doivent savoir répondre aux questions : "Qui est entré sur cette application à tel moment ?" ou encore "Qui a tenté d'accéder à l'application à ce moment ?". L'audit sert à augmenter la sécurité, mais aussi à améliorer les performances, détecter les anomalies et à créer des indicateurs décisionnels.
La fédération
C'est peut-être le domaine de la gestion d'identité le moins abouti par le manque de normalisation des spécifications. C'est pourtant la solution de partage des identités entre partenaires : créer une relation de confiance pour augmenter le nombre de ses services à offrir aux employés et aux clients.