Concepts fondamentaux

  • Article

Chapitre 3 : Technologies Microsoft de gestion des identités et des accès

Paru le 11 mai 2004 | Dernière mise à jour le 26 juin 2006

Une gestion efficace des identités et des accès sollicite plusieurs technologies et processus interdépendants. Ces éléments s'associent pour donner une vue unifiée des identités d'une organisation et les utiliser efficacement. Les principaux thèmes de la gestion des identités et des accès à étudier sont les services d'annuaire, la gestion du cycle de vie des identités, la gestion des accès et le mode d'intégration des applications à l'infrastructure.

Remarque   Ce chapitre fournit une simple présentation de chacun de ces thèmes ; les autres chapitres étudient de manière bien plus détaillée chaque processus et chaque service. Lisez ce chapitre pour obtenir une simple présentation de ces thèmes. Lisez les chapitres 4 à 7 pour bénéficier d'explications à la fois plus techniques et plus complètes.

Nombre de solutions et de technologies de gestion des identités et des accès ont évolué indépendamment en réponse à des problèmes tactiques spécifiques. Les organisations, les analystes, les fournisseurs et les intégrateurs de système ont progressivement été amenés à reconnaître que ces technologies et problèmes métier étaient tous interdépendants ; c'est ce qui a entraîné la création d'une seule et même catégorie appelée simplement « gestion des identités et des accès ».

Pour visualiser cette interdépendance, Microsoft a créé l'environnement de gestion des identités et des accès, une représentation graphique des services et processus de la gestion des identités et des accès.

La figure suivante illustre les principaux composants de l'environnement Microsoft de gestion des identités et des accès :

Principaux thèmes de l'environnement de gestion des identités et des accès

Figure 3.1. Principaux thèmes de l'environnement de gestion des identités et des accès

Ce chapitre définit chacun des thèmes de cet environnement et présente les technologies, services et processus qui les prennent en charge.

Les éléments centraux de l'environnement Microsoft de gestion des identités et des accès sont les stratégies commerciales, de sécurité et de confidentialité qui incarnent les besoins spécifiques d'une organisation. Ces éléments permettent de définir les hypothèses, les règles, les normes et les contraintes commerciales qui contrôlent le mode d'application des technologies et des processus pour atteindre des objectifs commerciaux. Par exemple, les stratégies de sécurité possèdent une grande variété et une grande portée, exerçant ainsi une influence sur l'ensemble des aspects de la gestion des identités et des accès.

Les politiques de confidentialité sont influencées par votre organisation, votre secteur et votre pays/région d'activité. Ces stratégies définissent les mesures raisonnables à prendre pour protéger les données personnelles des stockages d'identité de votre organisation. Les législations nationales et internationales telles que le Health Insurance Portability and Accountability Act (HIPAA, loi sur la protection et la sécurisation des dossiers médicaux) de 1996 aux États-Unis, le Data Protection Act (loi sur la protection des données) de 1998 au Royaume-Uni, la Directive de protection des données 95/46/CE de l'Union européenne, ainsi que les principes et accords internationaux « Safe Harbor » jouent tous un rôle significatif dans la définition d'une politique de confidentialité.

Sur cette page

Services d'annuaire
Gestion du cycle de vie des identités
Gestion des accès
Applications
Résumé

Services d'annuaire

Les services d'annuaire constituent la base d'une infrastructure de gestion des identités et des accès. Ces services offrent une source unique d'informations sur les identités numériques faisant autorité. Ce type d'informations peut comprendre des informations de sécurité telles que les mots de passe et les mappages de certificats X.509, de même que des informations sur les profils utilisateur sous la forme d'attributs utilisateur parmi lesquels figurent les adresses, les numéros de téléphone, le local du bureau, les fonctions et les noms de services.

Microsoft recommande d'alimenter un nombre restreint d'annuaires qui deviendront ainsi le ou les stockage(s) d'identité numériques approuvés de votre organisation. Cette opération de restriction offre des résultats immédiats et constitue une base solide permettant d'intégrer tous les autres composants.

Services d'annuaire dans les technologies Microsoft

Microsoft a commencé à prendre en charge les services d'annuaire sur la plate-forme Microsoft® Windows® lors de la publication de Windows NT® 3.1. Parmi les services d'annuaire actuels Microsoft, figurent :

  • le service d'annuaire Microsoft Active Directory®, qui fait partie intégrante de Windows 2000 Server et de Windows Server™ 2003 ;

  • le mode ADAM (Active Directory Application Mode).

Pour plus d'informations sur les services d'annuaire Microsoft, voir le chapitre 4 intitulé « Services d'annuaire » plus loin dans ce document.

Haut de page

Gestion du cycle de vie des identités

Il existe plusieurs processus associés de gestion des utilisateurs, de leurs habilitations et de leurs informations d'identification. Parmi ces processus, figurent :

  • les services d'intégration d'identité, dont l'agrégation et la synchronisation ;

  • l'attribution de privilèges d'accès, dont la gestion des processus associés intervenant avant, pendant et après l'attribution de privilèges d'accès (souvent appelée « workflow ») ;

  • l'administration déléguée, telle que la gestion des comptes par les collaborateurs ;

  • l'administration en libre-service, telle que les demandes d'habilitation effectuées par l'utilisateur ;

  • la gestion des informations d'identification et des mots de passe, dont la modification du mot de passe des utilisateurs finaux et les réinitialisations de mots de passe via le support technique ;

  • l'annulation de privilèges d'accès, dont la désactivation ou la suppression d'un compte ;

  • la gestion de groupes.

Services d'intégration d'identité

Les services d'intégration d'identité sont généralement nécessaires lorsqu'une organisation possède plusieurs annuaires ou stockages d'identité. Étant donné que chacun de ces annuaires contient un sous-ensemble de toutes les informations relatives à un utilisateur donné, les services d'intégration d'identité peuvent se révéler utiles car ils offrent une vue d'ensemble des informations provenant des différents stockages d'identité.

Pour cela, ils récupèrent les informations d'identités de différentes sources faisant autorité, telles que des annuaires existants, des applications de ressources humaines (RH) et de comptabilité, des annuaires d'adresses électroniques et diverses bases de données. Toutes les informations d'identités que rassemblent les services d'intégration d'identité alimentent une base de données unique ou metaverse (vue intégrée, unique et globale de tous les objets combinés, réunis à partir des informations d'identités de plusieurs sources de données connectées).

Grâce à cette base de données centrale d'informations, des règles peuvent être appliquées aux données qui contrôlent le flux au cours des opérations d'importation et d'exportation. La possibilité d'appliquer des règles aux flux de données d'importation et d'exportation prend en compte l'implémentation de la synchronisation des identités et même de l'attribution de privilèges d'accès. Étant donné que la synchronisation et l'attribution de privilèges d'accès peuvent être automatisées via des règles de programmation, les services d'intégration d'identité permettent à l'organisation de réduire les coûts liés à la gestion des données d'identité et de limiter les erreurs introduites par une administration humaine.

Attribution de privilèges d'accès

Le mode de création des identités numériques constitue un aspect essentiel de la gestion des identités et des accès. Le processus d'attribution de privilèges d'accès offre un outil puissant qui tire parti des informations utilisateur présentes dans l'infrastructure d'annuaire de l'organisation, afin d'accélérer l'octroi et la révocation des comptes et des habilitations utilisateur aux ressources d'informations. Parmi ces ressources peuvent figurer la messagerie électronique, le téléphone, les applications RH, les applications métier et fonctionnelles, un accès intranet et extranet, ainsi que des services de support technique.

L'automatisation des processus qui créent les identités numériques peut entraîner une réduction des coûts et une augmentation de la productivité de manière radicale. Par exemple, lorsqu'un nouvel employé intègre l'organisation, le système d'attribution de privilèges d'accès peut faire passer le temps nécessaire à l'obtention de comptes utilisateur et de droits d'accès, de plus d'une semaine à quelques heures. L'attribution de privilèges d'accès automatisée élimine également la majeure partie du temps passé par les directeurs à traiter les documents administratifs associés, de même que celui passé par le personnel des services informatique, financier et des ressources humaines à valider puis implémenter les demandes.

Workflow

Le workflow constitue une nécessité pour la plupart des processus d'attribution de privilèges d'accès. Les demandes de ressources sont saisies en ligne, acheminées via un chemin d'accès prédéterminé vers les réviseurs et les valideurs, puis enfin vers la personne ou le système qui crée le compte utilisateur. Les demandes et les copies électroniques de documents de support sont automatiquement acheminées vers chaque personne impliquée dans le processus. Les processus sont appliqués de manière cohérente et complète sur l'ensemble des services, chacune des informations n'étant saisie qu'une seule fois. Une trace d'audit complète est disponible pour connaître la date et l'heure de la validation, ainsi que la ou les personnes l'ayant octroyée. Si les opérations de révision ou de validation ne sont pas terminées en temps et en heure, les workflows automatiquement surveillés informent un directeur ou un administrateur du niveau hiérarchique supérieur.

Le workflow se révèle également utile au sein de certains processus d'administration déléguée et en libre-service (acheminement des demandes de validation par exemple).

Administration déléguée

Le modèle d'administration classique implique un petit groupe composé de personnes de confiance, habilitées à gérer tous les aspects d'un stockage d'identité. Ces administrateurs créent et suppriment des utilisateurs, définissent et réinitialisent des mots de passe, et peuvent également définir l'ensemble des attributs utilisateur.

Cependant, il existe souvent de bonnes raisons de ne pas disposer d'un unique groupe commun d'administrateurs gérant tous les aspects de l'identité utilisateur. Dans le cas de comptes de partenaires d'un annuaire extranet, la méthode la plus prisée veut que l'organisation propriétaire délègue l'administration des comptes à un administrateur de l'organisation partenaire. L'administrateur partenaire est responsable de l'ensemble des comptes de ses propres employés. D'un point de vue administratif, cet accord est tout à fait judicieux puisque le partenaire peut ainsi comprendre quand il faut créer ou supprimer un utilisateur. De plus, les demandes d'assistance sont traitées localement.

L'administration déléguée peut également intervenir au sein d'une organisation, où des personnes de confiance réparties dans différents services gèrent un sous-ensemble de stockages d'identité d'une organisation.

Administration en libre-service

Pour des utilisateurs classiques tels que des employés, il existe de nombreux attributs utilisateur non liés à la sécurité ; une organisation peut envisager de permettre aux utilisateurs de modifier ces attributs. Par exemple, les utilisateurs peuvent être autorisés à modifier leur numéro de téléphone portable. L'administration en libre-service doit cependant imposer des contraintes adaptées, telles que l'application de conventions d'affectation de noms et le contrôle de validité.

Gestion des informations d'identification

Les informations d'identification étant les « clés » de l'authentification et de l'autorisation, elles ont des besoins spécifiques en termes de gestion et leur sécurité doit être rigoureusement étudiée pour l'ensemble des processus associés. Les informations d'identification doivent être administrées ( révocation d'un certificat ou réinitialisation d'un mot de passe, par exemple) et se voir attribuer des privilèges d'accès. Les utilisateurs, quant à eux, doivent pouvoir réaliser des opérations en libre-service (comme la modification de leurs mots de passe). Le mécanisme de réception des informations d'identification doit faire l'objet d'un examen minutieux (par exemple, la réception en mains propres d'une carte à puce en prouvant son identité ou la réception d'un mot de passe réinitialisé via un canal direct crypté).

Gestion des mots de passe

La gestion des mots de passe constitue un sous-ensemble spécifique de la gestion des informations d'identification. L'authentification à l'aide de combinaisons de nom d'utilisateur et de mot de passe figure toujours comme la technique la plus utilisée dans les réseaux et les applications d'aujourd'hui. Il existe différentes techniques permettant de gérer les informations liées aux mots de passe dans plusieurs environnements hétérogènes.

L'un des aspects de la gestion des mots de passe traite de l'utilisation de technologies en vue de la propagation automatique d'informations liées aux mots de passe d'un système à un autre. Cette propagation permet d'utiliser le même mot de passe pour se connecter à plusieurs systèmes, ce qui peut réduire la probabilité d'oublis de mots de passe ainsi que le nombre d'appels passés au support technique, provoqués par ces oublis de mots de passe. La cohérence des mots de passe entre les plates-formes et les applications crée généralement un besoin de centralisation des opérations de modification et de réinitialisation de mots de passe effectuées par le support technique via des interfaces communes.

La propagation des mots de passe ne doit être considérée qu'après parfaite assimilation des caractéristiques de sécurité de chacun des systèmes participants. Par exemple, un environnement UNIX qui utilise Telnet et envoie des mots de passe en texte brut via le réseau ne doit pas posséder le même mot de passe qu'un compte Active Directory, utilisé pour réaliser des transactions commerciales essentielles et sensibles.

Annulation de privilèges d'accès

L'annulation de privilèges d'accès constitue une autre fonction essentielle de la gestion du cycle de vie des identités. Elle garantit que les comptes sont systématiquement désactivés ou supprimés et que les habilitations sont révoquées lorsque des employés quittent l'organisation. Par sécurité, il est conseillé que la désactivation d'un compte s'effectue rapidement (afin d'empêcher d'éventuelles attaques d'anciens employés mécontents), mais que sa suppression ne prenne pas effet avant qu'une période adéquate ne se soit écoulée, au cas où il serait nécessaire de le réactiver (ou de le renommer et le réaffecter). La désactivation de comptes (plutôt que leur suppression) se révèle également utile pour les organisations qui doivent garantir que certains attributs d'identité tels que le nom de compte sont uniques et ne sont pas réutilisés pendant une certaine période conformément aux exigences de la stratégie.

Gestion de groupes

La gestion de groupes implique l'affectation automatique et manuelle de comptes utilisateur vers et à partir de groupes, de même que la suppression de comptes des groupes. Les groupes se trouvent généralement dans les services d'annuaire ou dans les systèmes de messagerie électronique tels qu'Active Directory ou Lotus Notes. Les groupes se classent dans l'une de ces deux catégories : les groupes de sécurité et les groupes de distribution. Vous pouvez utiliser les groupes de sécurité pour configurer les habilitations, tandis que les listes de distribution organisent les destinataires des courriers électroniques. Les comptes utilisateur reçoivent les droits et les autorisations de chaque groupe auquel ils appartiennent.

Les organisations peuvent choisir d'implémenter des groupes basés sur des requêtes, où l'appartenance aux groupes dépend de la valeur d'un attribut sélectionné dans le service d'annuaire. Cette fonctionnalité permet au système de gestion des identités et des accès de générer des groupes contenant tous les utilisateurs d'une ville ou d'un bureau donné, par exemple. Les groupes ne sont créés qu'en tant que valeur unique pour chaque ville ou bureau. Si un groupe ne possède plus de membre, il est supprimé. Ces noms de groupes et appartenances aux groupes se propagent alors à l'ensemble des services d'annuaire et des systèmes de messagerie électronique connectés.

Gestion du cycle de vie des identités dans les technologies Microsoft

Parmi les technologies Microsoft de gestion du cycle de vie des identités, figurent les éléments suivants :

  • Active Directory, comprenant la MMC (Microsoft Management Console) utilisateurs et groupes Active Directory et la délégation intégrée des fonctionnalités d'administration

  • Microsoft Identity Integration Server 2003, Enterprise Edition (MIIS 2003 SP1), comprenant les fonctionnalités spécifiques suivantes :

    • l'attribution de privilèges d'accès ;

    • la synchronisation des mots de passe et interfaces Web pour la réinitialisation et la modification des mots de passe.

  • Identity Integration Feature Pack pour Microsoft Windows Server Active Directory

  • inscription automatique et en libre-service des certificats X.509

  • Services pour UNIX 3.5 (SFU 3.5)

  • Services pour NetWare

  • Gestionnaire d'informations d'identification Windows

  • service de notification IdM, application Web de gestion des groupes et Group Populator (outil d'alimentation de groupes) dans les outils et modèles de gestion des identités et des accès.

Pour plus d'informations sur la gestion du cycle de vie des identités avec les technologies Microsoft, voir le chapitre 5 intitulé « Gestion du cycle de vie des identités » plus loin dans ce document.

Haut de page

Gestion des accès

La gestion des accès implique le contrôle de l'accès utilisateur aux ressources, que vous utilisiez l'authentification pour identifier un utilisateur, le mappage des informations d'identification pour associer entre elles des identités numériques ou encore l'autorisation pour vérifier une identité utilisateur sur la base d'autorisations d'accès aux ressources. D'autres thèmes liés à la gestion des accès abordent l'implémentation de la fédération et des approbations pour étendre l'accès, ainsi que l'audit pour suivre et enregistrer les opérations des utilisateurs.

Authentification

L'authentification est le processus qui consiste à prouver l'identité numérique d'un utilisateur ou d'un objet à un réseau, une application ou une ressource. Une fois l'authentification effectuée et en fonction de leurs habilitations accordées via le processus d'autorisation, les utilisateurs peuvent accéder aux ressources.

Techniques d'authentification

Les techniques d'authentification vont de la simple ouverture de session à l'aide des informations d'identification utilisateur et de mot de passe (que vous connaissez) et de la biométrie (l'un de vos signes particuliers) à des mécanismes de sécurité plus puissants tels que des jetons, des certificats numériques et des cartes à puce (que vous possédez). Les environnements hautement sécurisés peuvent nécessiter un processus d'authentification basé sur plusieurs facteurs. Par exemple, une combinaison de quelque chose que vous connaissez (comme un mot de passe) et d'un signe particulier (une empreinte digitale, par exemple) ou de quelque chose que vous possédez (comme une carte à puce).

Dans un environnement e-business, les utilisateurs peuvent accéder à plusieurs applications s'étendant sur plusieurs serveurs Web au sein d'un seul et même site ou sur plusieurs sites. Des stratégies efficaces de gestion des identités et des accès déploient des services d'authentification afin de simplifier les manipulations effectuées par l'utilisateur et de réduire la surcharge de gestion. Par conséquent, les services d'authentification doivent prendre en charge des environnements hétérogènes.

Voici quelques exemples de techniques d'authentification :

  • noms d'utilisateur et mots de passe ;

  • codes confidentiels (Personal Identification Number, PIN) ;

  • certificats numériques X.509 ;

  • mot de passe à usage unique d'authentification (One-Time Password) ;

  • biométrie (empreinte digitale ou image de l'iris, par exemple) ;

  • cartes à puce ;

  • passeports électroniques ;

  • jetons matériels.

Comparaison des techniques d'authentification efficaces et inefficaces

Les techniques d'authentification peuvent aller des techniques simples où les utilisateurs fournissent directement des mots de passe à des applications ou à des hôtes, à des techniques bien plus complexes utilisant des mécanismes cryptographiques avancés permettant de protéger les informations d'identification utilisateur contre les applications et les hôtes potentiellement malveillants.

Fournir un mot de passe en texte brut (c'est-à-dire un mot de passe absolument pas crypté) à une application ou à un hôte est considéré comme la technique d'authentification la plus médiocre, du fait du risque d'interception de la séquence d'authentification. De plus, si l'utilisateur s'authentifie auprès d'un hôte malveillant, le propriétaire de cet hôte dispose de toutes les informations nécessaires pour se faire passer pour l'utilisateur concerné, et ce n'importe où sur le réseau. Si vous considérez qu'un mot de passe doit rester quelque chose de secret, ce n'est plus vraiment le cas si l'utilisateur doit révéler ce secret à tous les ordinateurs du réseau.

Des techniques d'authentification plus efficaces peuvent protéger les informations d'authentification, de sorte que l'hôte ou la ressource auprès duquel s'authentifie l'utilisateur ne connaisse pas ces informations confidentielles. Cela passe généralement par des données à signature cryptographique, avec le mot de passe secret que seuls l'utilisateur et un tiers de confiance (comme un contrôleur de domaine Active Directory, par exemple) connaissent. Un ordinateur authentifie l'utilisateur via la présentation des données à signature cryptographique au tiers de confiance. Le tiers compare alors la signature aux données connues sur l'utilisateur et indique à l'ordinateur s'il pense que l'utilisateur est ou non celui qu'il dit être. Ce mécanisme permet de conserver le caractère totalement secret des mots de passe.

Authentification unique

L'un des éléments les plus importants d'une étude sur l'authentification concerne le concept de l'authentification unique (Single Sign On, SSO). L'authentification unique au niveau application implique la mise en place d'une « session » entre le client et le serveur, permettant à l'utilisateur de continuer d'utiliser l'application sans devoir fournir de mot de passe lors de chaque action effectuée au sein de l'application.

D'autres idées de ce type peuvent être appliquées à un ensemble d'applications disponibles sur le réseau. Pour implémenter l'authentification unique sur différentes applications, vous pouvez mettre des sessions en place entre le client, un tiers de confiance sur le réseau et plusieurs applications serveur et ressources réseau. Dans de nombreux cas d'implémentation, la session est représentée par un ticket ou un cookie, qu'il faut concevoir plutôt comme des informations d'identification de remplacement pour l'utilisateur. Plutôt que de demander à l'utilisateur de fournir ses informations d'identification au cours de l'authentification, le ticket ou le cookie est envoyé au serveur puis accepté comme preuve de l'identité de l'utilisateur.

Au final, l'utilisateur n'a qu'à s'authentifier une seule fois avant d'utiliser plusieurs applications, c'est ce que l'on appelle l'authentification unique.

Remarque   L'utilité d'un mécanisme d'authentification contraignant l'utilisateur à fournir des informations d'authentification de manière répétée est à considérer uniquement dans des cas exceptionnels. En revanche, certaines applications peuvent parfois demander des informations d'identification avant d'exécuter une opération particulièrement sensible.

Authentification dans les technologies Microsoft

Dans Microsoft Windows Server 2003, Active Directory prend totalement en charge plusieurs méthodes d'authentification, parmi lesquelles figurent :

  • l'authentification basée sur l'infrastructure de clés publiques (Public Key Infrastructure, PKI) ;

  • le protocole d'authentification Kerberos version 5 ;

  • le mappage de certificats X.509 ;

  • Microsoft Passport ;

  • la stimulation/réponse Windows NTLM (NT LAN Manager) ;

  • le protocole EAP (Extensible Authentication Protocol) ;

  • le cryptage SSL (Secure Sockets Layer) 3.0 et TLS (Transport Layer Security) 1.0 ;

  • la prise en charge des cartes à puce dotées de certificats X.509.

Dans Windows Server 2003, les services IIS (Internet Information Services) 6.0 prennent en charge l'ensemble des éléments ci-dessus, auxquels s'ajoutent :

  • l'authentification Digest ;

  • l'authentification basée sur les formulaires ;

  • l'authentification de base

Les applications peuvent appeler des méthodes d'authentification via des interfaces de programmation d'applications (API) telles que SSPI (Security Support Provider Interface), qui comprend SPNEGO (Secure Protocol Negotiation).

Windows XP comprend l'authentification intégrée pour la connexion au poste de travail et l'accès aux ressources, Internet Explorer pour l'authentification intégrée auprès de sites Web, ainsi que le gestionnaire d'informations d'identification pour la gestion des mots de passe, des certificats numériques et des Passport utilisés pour l'authentification.

Autorisation

L'autorisation est le processus qui consiste à déterminer si une identité numérique est ou non autorisée à exécuter une action demandée. L'autorisation intervient après l'authentification et mappe les attributs associés à l'identité numérique (comme les appartenances aux groupes, par exemple) aux autorisations d'accès aux ressources, afin d'identifier les ressources auxquelles l'identité numérique peut accéder.

Listes de contrôle d'accès

Différentes plates-formes utilisent différents mécanismes de stockage d'informations d'autorisation. Le mécanisme d'autorisation le plus courant est la liste de contrôle d'accès (Access Control List, ACL). Il s'agit d'une liste d'identités numériques accompagnée d'un ensemble d'actions qu'elles peuvent exécuter sur la ressource (également désignées « autorisations »).

Ces actions sont généralement définies par rapport au type d'objet protégé par la liste de contrôle d'accès. Par exemple, une imprimante peut autoriser des actions telles que l'impression ou la suppression de tâches, tandis qu'un fichier peut quant à lui autoriser des actions de lecture ou d'écriture.

Groupes de sécurité

Les systèmes d'exploitation qui prennent en charge de grands nombres d'utilisateurs prennent généralement en charge les groupes de sécurité, lesquels constituent un type spécifique d'identité numérique. L'utilisation de groupes de sécurité simplifie la gestion de milliers d'utilisateurs répartis au sein d'un vaste réseau.

Les groupes de sécurité simplifient la gestion : en effet, une liste de contrôle d'accès peut posséder quelques entrées précisant les groupes qui possèdent un niveau d'accès spécifique à un objet donné. Si vous accordez un grand soin à la constitution des groupes, la liste de contrôle d'accès sera relativement statique. Vous pouvez facilement modifier la stratégie d'autorisation de plusieurs objets en même temps, en manipulant les membres d'un groupe géré par une autorité centralisée, comme un annuaire. La possibilité d'imbriquer des groupes dans d'autres groupes augmente la souplesse du modèle de groupes de la gestion des autorisations.

Rôles

De nombreuses applications utilisent le terme « rôle » pour désigner une classification utilisateur. Par exemple, un rôle de « directeur » pourrait permettre de faire référence à l'ensemble des membres d'un groupe de sécurité nommé « directeurs financiers » qui, en tant que membres de ce groupe, se verraient automatiquement octroyer les habilitations permettant d'accéder aux ressources réseau inhérentes à ce rôle.

Les rôles peuvent également reposer sur des décisions d'exécution dynamiques offrant davantage de souplesse, comme l'autorisation dans une application de création de notes de frais. Cette application peut intégrer des opérations de validation que seuls les utilisateurs (ou les entités) autorisés peuvent valider dans le cadre du rôle de « directeur de validation ». Cependant, avant d'accorder la validation et ainsi d'autoriser une note de frais, le système interroge l'annuaire afin de déterminer si l'attribut « directeur » de la personne ayant soumis la note de frais correspond au nom de celle chargée de la validation de la note de frais. Il est quasiment impossible de configurer une telle logique métier avec des mécanismes du type des listes de contrôle d'accès.

Vous pouvez définir les rôles globalement (par appartenance aux groupes d'un annuaire, par exemple) ou à l'aide du code de l'application qui détermine l'appartenance au rôle en fonction d'une requête dynamique. Il existe même des combinaisons de ces deux types de définition de rôles, comme une application qui définit le rôle « directeurs » défini en local pour intégrer les rôles du groupe global « directeurs RH » et « directeurs des services techniques ».

Chacune de ces méthodes présente des avantages. Un mécanisme utilisant les rôles bien conçu offre aux développeurs d'applications la possibilité de choisir la méthode la mieux adaptée.

Autorisation dans les technologies Microsoft

Windows Server 2003 prend totalement en charge plusieurs méthodes d'autorisation. Parmi les technologies d'autorisation Microsoft et les composants de support, figurent :

  • les listes de contrôle d'accès (Access Control List, ACL) ;

  • le contrôle d'accès basé sur les rôles via le gestionnaire d'autorisations Windows ;

  • l'autorisation d'URL IIS 6.0 ;

  • l'autorisation ASP.NET.

Pour plus d’informations sur les technologies d'autorisation Microsoft, voir la section « Autorisation » du chapitre 6 intitulé « Gestion des accès » plus loin dans ce document.

Approbation

Le concept d'approbation acquiert une importance grandissante, puisque les organisations continuent de partager des ressources avec leurs partenaires commerciaux. La capacité à mettre en œuvre l'approbation entre les systèmes administrés indépendamment est capitale pour permettre aux systèmes informatiques de prendre en charge le niveau requis d'échange de données. L'approbation donne lieu à l'authentification et à l'autorisation sécurisées d'identités numériques entre des systèmes d'informations autonomes, gérant une charge de gestion moindre.

Les mécanismes d'approbation sont complexes, car il existe diverses tâches qui doivent être exécutées entre des organisations indépendantes pour que les processus d'authentification puis d'autorisation se révèlent utiles. L'organisation chargée de l'approbation doit posséder un mécanisme sécurisé pour pouvoir communiquer avec l'organisation faisant l'objet de l'approbation. Une fois que l'organisation chargée de l'approbation a authentifié l'identité numérique inconnue, elle doit intégrer les informations d'habilitations relatives à ce compte inconnu au processus d'autorisation de l'organisation faisant l'objet de l'approbation.

Fédération

Une fédération est un type spécial de relation d'approbation établie au-delà des limites du réseau interne, entre des organisations distinctes. Selon le principe d'approbation, la fédération donne lieu à l'authentification et à l'autorisation sécurisées d'identités numériques entre des systèmes d'informations autonomes. Par exemple, un utilisateur de l'entreprise A peut profiter d'informations disponibles dans l'entreprise B du fait de l'existence d'une relation d’approbation de fédération entre ces deux entreprises.

Remarque   La fédération implique l'implémentation de spécifications en constante évolution telles que WS-Federation, initiative conjointement menée par Microsoft et IBM visant à normaliser le mode de partage des identités utilisateur et ordinateur par les entreprises, au sein de systèmes d'authentification et d'autorisation disparates répartis dans l'ensemble de l'organisation. Pour plus d’informations sur WS-Federation, voir Web Services Federation Language (Langage de fédération des services Web, en anglais).

La fédération tente de supprimer la contrainte des opérations de gestion de compte à effectuer en plusieurs endroits. Dans une fédération, l'utilisateur d'une organisation donnée peut directement s'authentifier auprès d'une ressource gérée par une autre organisation, en utilisant son compte réseau traditionnel. Cette idée est très plébiscitée car elle peut éliminer la contrainte (ou tout du moins faire en sorte que ce besoin soit plus facile à satisfaire) d'administration de nombreux comptes différents.

Considérons, par exemple, une organisation qui entretient des relations commerciales avec 100 partenaires différents. Une alternative à la fédération voudrait que l'organisation utilise une interface d'administration déléguée pour gérer des comptes sur les extranets de 100 partenaires différents. À travers cet exemple, il semble évident que les techniques telles que l'administration déléguée ne peuvent s'adapter aux environnements commerciaux étroitement connectés. La capacité à fédérer des identités numériques de manière fiable et sécurisée est essentielle au développement d'opportunités commerciales.

Approbation et fédération dans les technologies Microsoft

Microsoft Windows prend en charge l'approbation et la fédération à l'aide des technologies suivantes :

  • les approbations externes dans Windows NT 4.0 et Windows 2000 Server ;

  • les approbations inter-forêts dans Windows Server 2003 ;

  • le protocole d'authentification Kerberos version 5 ;

  • les comptes virtuels ;

  • les approbations d'infrastructure de clés publiques (Public Key Infrastructure, PKI) ;

  • ADFS (Active Directory Federation Service) dans Windows Server 2003 R2.

Audit de sécurité

L'audit permet de contrôler les modifications et événements de gestion des accès concernant les objets d'annuaire. L'audit de sécurité est généralement utilisé pour contrôler l'apparition de problèmes et de failles de sécurité.

Audit de sécurité dans les technologies Microsoft

Microsoft Windows fournit un journal d'événements de sécurité qui enregistre les événements de sécurité intéressants tels que :

  • les événements d'authentification ;

  • les événements d'autorisation ;

  • les modifications apportées aux objets d'annuaire.

Microsoft Operations Manager (MOM) 2005 SP1 peut consolider des journaux d’événements dans un environnement et fournir des rapports d'audit très utiles.

Haut de page

Applications

Les applications métier génériques sont les plus grandes consommatrices d'informations d'identité et d'accès. Par conséquent, elles doivent être intégrées à la plate-forme de gestion des identités et des accès. Grâce aux API, les applications s'intègrent généralement aux composants d'authentification et d'autorisation de l'environnement. Les applications qui ne parviennent pas à s'intégrer rendent l'environnement plus complexe, entraînant ainsi une augmentation des coûts de gestion et de la vulnérabilité aux attaques qui, à son tour, aboutit à des failles de sécurité.

Intégration d'applications

S'il est vrai que l'intégration d'applications demande beaucoup d'efforts, ce processus d'intégration est également susceptible de fournir un retour sur investissement élevé. Si une application possède son propre système d'authentification, la seule méthode dont dispose une organisation pour complètement intégrer l'application au processus d'authentification consiste à redéfinir ce système afin qu'il fonctionne avec la plate-forme. Par conséquent, pour garantir la compatibilité des applications avec l'environnement de gestion des identités et des accès, la méthodologie de cycle de vie de développement logiciel (Software Development Life Cycle, SDLC) de l'organisation doit comprendre des normes claires concernant la façon dont les applications doivent utiliser la fonctionnalité d'authentification et d'autorisation de la plate-forme standard.

Pour plus d'informations sur l'intégration d'applications à l'aide des technologies Microsoft, voir le chapitre 7 intitulé « Applications » plus loin dans ce document.

Haut de page

Résumé

La figure suivante répertorie l'ensemble des processus et services de l'environnement Microsoft de gestion des identités et des accès.

Figure 3.2. Processus et services de l'environnement Microsoft de gestion des identités et des accès

Figure 3.2. Processus et services de l'environnement Microsoft de gestion des identités et des accès

Télécharger

Téléchargez le kit Microsoft de gestion des identités et des accès

Notifications de mise à jour

Abonnez-vous aux mises à jour et aux nouvelles versions

Commentaires

Envoyez-nous vos commentaires ou suggestions

Haut de page