Identités : bientôt un seul mot de passe

10/04/2006 à 00h00

Les serveurs d'identités visent à fournir un environnement intégré de gestion des accès, des autorisations et des contenus d'annuaires. La demande croît, malgré des tarifs élevés.

Les entreprises souhaitent automatiser le travail de création de comptes, ce qui n'est pas possible sans l'utilisation de serveurs de gestion des identités. ' Nos employés devaient mémoriser une multitude de mots de passe pour accéder aux quinze applications du réseau, se souvient Xavier Bourmaud, responsable NTIC à la Sonacotra, une société d'économie mixte spécialisée dans les logements sociaux. De plus, lors de l'arrivée d'un salarié, il fallait envoyer un e-mail à chaque service afin que ce nouvel employé soit déclaré dans toutes les bases des applications. ' Pour résoudre ce problème, la société a mis en place un système de gestion des identités. Ces systèmes visent surtout les grands comptes, à quelques exceptions près (lire encadré). ' La mise en place d'un tel projet reste assez complexe, et dure trois mois/homme au minimum ', précise Guillaume Plouin, responsable de la veille technologique du groupe SQLI. Quant aux coûts, ils dépassent souvent les 50 000 euros ht par projet. Malgré cela, le marché enregistre une croissance soutenue de 15 % par an en moyenne.

Automatiser la création de comptes

Côté enjeux, le serveur d'identités vise à masquer la complexité de fabrication et d'administration des accès et des autorisations. Normal dans ces conditions qu'il prenne en charge la gestion des contenus d'annuaires, qui conditionnent lesdites autorisations. Au niveau architecture, il se compose d'un logiciel de signature unique (SSO), pour authentifier l'utilisateur ou la machine à l'aide de noms et de mots de passe. ' Le SSO ne supprime pas les mots de passe et il y en a bien un différent pour chaque application. Mais l'utilisateur n'en utilise plus qu'un, les autres étant gérés par le système qui s'emploie aussi à les renouveler ', poursuit Hassan Maad. Il est aussi constitué par un logiciel de gestion de contenus d'annuaires, également appelé moteur de ' provisionnement '. Son travail consiste à synchroniser des attributs, depuis un référentiel principal, vers un ensemble d'annuaires cibles secondaires. Cette synchronisation permet à l'administrateur d'autoriser ou de refuser l'accès à différentes ressources. Point intéressant, le moteur de provisionnement se fonde sur des rôles pour définir différents profils que forme un ensemble d'attributs. Il va, par exemple, établir un lien entre le rôle ' Finances ' et un ensemble de profils tels que ' comptable ' ou ' analyste budgétaire '. Puis attribuer à chaque profil des autorisations d'accès vers des progiciels financiers, un compte d'e-mails et un PABX. Ces rôles sont doublement administrables. L'utilisateur peut avoir la main sur certaines informations telles que son nom ou son prénom. L'administrateur, lui, dispose évidemment d'interfaces destinées à supprimer ou à créer des lots de droits d'accès. Bénéfice ? ' Lorsqu'un utilisateur quitte l'entreprise, il suffit de supprimer son profil pour supprimer aussi l'ensemble de ses comptes ', se réjouit Jean-Pierre Cointre, DSI dans l'entreprise pétrolière Geoservices, qui utilise une solution mise en place par Sun Microsystems.

Des standards émergent

Demain, l'enjeu va consister à gérer ces identités à l'échelle d'Internet, au sein de réseaux de confiance. On parle dans ce cas de fédération d'identités. Les standards à mettre en ?"uvre font aujourd'hui l'objet d'une bataille politique qui oppose deux écoles. D'un côté, l'association Liberty Alliance (LA), qui comprend notamment Sun et Novell, dont les spécifications donnent plus de liberté à l'utilisateur pour la gestion de son identité. De l'autre, IBM, Microsoft et RSA, qui défendent les spécifications WS-Federation, davantage positionnées sur l'acheminement des identités. L'association LA édite l'environnement ID-FF 1.2, qui s'appuie sur le dialecte SAML 2.0. Ce dialecte standardisé par l'Oasis est pris en charge par les logiciels de signature unique tels Access Manager de Sun Microsystems et Sign & Go d'Ilex. Il autorise la définition d'un contexte de sécurité composé de l'identifiant de l'utilisateur ou d'un attribut d'autorisation de répliquer. Les autorisations sont ensuite transmises sous la forme d'un jeton SAML, ce qui garantit l'anonymat de l'utilisateur, contrairement au mode de synchronisation des données d'annuaires. D'autres dialectes émergent, tel SPML, qui est spécialisé dans la description des ressources à établir : création d'e-mails, d'accès aux progiciels... Ce dernier est encore en phase de validation par l'Oasis. De leur côté, les spécifications WS-Federation seront mises en ?"uvre par l'annuaire Active Directory, livré avec le futur environnement serveur Vista, prévu pour janvier 2007. Les entreprises sont donc prévenues, l'interopérabilité entre les logiciels estampillés SAML et WS-Federation sera difficile. Dommage.

Provisionner et fédérer des droits : Ant Allan (Gartner Research) : ' le serveur d'identités simplifie la gestion des annuaires '

' La gestion des identités n'est pas nouvelle en soi. Elle exploite des technologies anciennes composées de métaannuaires, d'annuaires et de logiciels d'authentification. Les offres ont mûri ces deux dernières années pour intégrer deux nouvelles dimensions. La première concerne l'apparition de moteurs de provisionnement, qui simplifient la tâche de l'administrateur et celle de l'utilisateur pour l'accès et les droits d'exploitation des ressources informatiques. Ces logiciels de provisionnement assurent aussi un travail de traçabilité et de conformité aux réglementations Sarbanes-Oxley. Le second apport des serveurs de gestion des identités touche à la fédération. Ce mécanisme permet de propager des droits à grande échelle. Sur ce marché, certains sont visionnaires, tel Oracle, qui a racheté Oblix. Sun Microsystems, CA et HP sont aussi bien placés. Microsoft dispose de l'offre MIIS, fondée sur Active Directory. '

IBM lorgne du côté des PME : Serge Bonnaud (IBM France) : ' voir grand, démarrer petit '

Avec Tivoli Identify Manager Express, sorti en février dernier, IBM est le premier à lancer une offre de gestion des identités pour les PME. ' Le projet est transversal avec de fortes contraintes organisationnelles mais les PME ont autant à gagner que les grands comptes à industrialiser la gestion des accès, et surtout, leurs dirigeants encourent les mêmes risques pénaux en cas de fraude ', justifie Serge Bonnaud. Si TIM Express diffère peu de la version d'origine, IBM apporte une réponse spécifique avec une solution packagée (elle inclut le serveur d'applications et la base de données), paramétrée pour les entreprises avec moins de 5 000 comptes utilisateurs. Selon Franck Moussé, RSII du courtier d'assurances Dexia Sofaxis et utilisateur de TIM, ' le projet est à la portée des PME, à condition d'avoir un périmètre d'applications cibles bien cadré et dimpliquer fortement tous les acteurs concernés '.

Thibault Michel et Francisco Villacampa, avec Laurent Sounack