Identités : bientôt un seul mot de passe

Les entreprises souhaitent automatiser le travail de création de comptes, ce qui n'est pas possible sans l'utilisation de serveurs de gestion des identités. ' Nos employés devaient mémoriser une multitude de mots de passe pour accéder aux quinze applications du réseau, se souvient Xavier Bourmaud, responsable NTIC à la Sonacotra, une société d'économie mixte spécialisée dans les logements sociaux. De plus, lors de l'arrivée d'un salarié, il fallait envoyer un e-mail à chaque service afin que ce nouvel employé soit déclaré dans toutes les bases des applications. ' Pour résoudre ce problème, la société a mis en place un système de gestion des identités. Ces systèmes visent surtout les grands comptes, à quelques exceptions près (lire encadré). ' La mise en place d'un tel projet reste assez complexe, et dure trois mois/homme au minimum ', précise Guillaume Plouin, responsable de la veille technologique du groupe SQLI. Quant aux coûts, ils dépassent souvent les 50 000 euros ht par projet. Malgré cela, le marché enregistre une croissance soutenue de 15 % par an en moyenne.

Automatiser la création de comptes

Côté enjeux, le serveur d'identités vise à masquer la complexité de fabrication et d'administration des accès et des autorisations. Normal dans ces conditions qu'il prenne en charge la gestion des contenus d'annuaires, qui conditionnent lesdites autorisations. Au niveau architecture, il se compose d'un logiciel de signature unique (SSO), pour authentifier l'utilisateur ou la machine à l'aide de noms et de mots de passe. ' Le SSO ne supprime pas les mots de passe et il y en a bien un différent pour chaque application. Mais l'utilisateur n'en utilise plus qu'un, les autres étant gérés par le système qui s'emploie aussi à les renouveler ', poursuit Hassan Maad. Il est aussi constitué par un logiciel de gestion de contenus d'annuaires, également appelé moteur de ' provisionnement '. Son travail consiste à synchroniser des attributs, depuis un référentiel principal, vers un ensemble d'annuaires cibles secondaires. Cette synchronisation permet à l'administrateur d'autoriser ou de refuser l'accès à différentes ressources. Point intéressant, le moteur de provisionnement se fonde sur des rôles pour définir différents profils que forme un ensemble d'attributs. Il va, par exemple, établir un lien entre le rôle ' Finances ' et un ensemble de profils tels que ' comptable ' ou ' analyste budgétaire '. Puis attribuer à chaque profil des autorisations d'accès vers des progiciels financiers, un compte d'e-mails et un PABX. Ces rôles sont doublement administrables. L'utilisateur peut avoir la main sur certaines informations telles que son nom ou son prénom. L'administrateur, lui, dispose évidemment d'interfaces destinées à supprimer ou à créer des lots de droits d'accès. Bénéfice ? ' Lorsqu'un utilisateur quitte l'entreprise, il suffit de supprimer son profil pour supprimer aussi l'ensemble de ses comptes ', se réjouit Jean-Pierre Cointre, DSI dans l'entreprise pétrolière Geoservices, qui utilise une solution mise en place par Sun Microsystems.

Des standards émergent

Demain, l'enjeu va consister à gérer ces identités à l'échelle d'Internet, au sein de réseaux de confiance. On parle dans ce cas de fédération d'identités. Les standards à mettre en ?"uvre font aujourd'hui l'objet d'une bataille politique qui oppose deux écoles. D'un côté, l'association Liberty Alliance (LA), qui comprend notamment Sun et Novell, dont les spécifications donnent plus de liberté à l'utilisateur pour la gestion de son identité. De l'autre, IBM, Microsoft et RSA, qui défendent les spécifications WS-Federation, davantage positionnées sur l'acheminement des identités. L'association LA édite l'environnement ID-FF 1.2, qui s'appuie sur le dialecte SAML 2.0. Ce dialecte standardisé par l'Oasis est pris en charge par les logiciels de signature unique tels Access Manager de Sun Microsystems et Sign & Go d'Ilex. Il autorise la définition d'un contexte de sécurité composé de l'identifiant de l'utilisateur ou d'un attribut d'autorisation de répliquer. Les autorisations sont ensuite transmises sous la forme d'un jeton SAML, ce qui garantit l'anonymat de l'utilisateur, contrairement au mode de synchronisation des données d'annuaires. D'autres dialectes émergent, tel SPML, qui est spécialisé dans la description des ressources à établir : création d'e-mails, d'accès aux progiciels... Ce dernier est encore en phase de validation par l'Oasis. De leur côté, les spécifications WS-Federation seront mises en ?"uvre par l'annuaire Active Directory, livré avec le futur environnement serveur Vista, prévu pour janvier 2007. Les entreprises sont donc prévenues, l'interopérabilité entre les logiciels estampillés SAML et WS-Federation sera difficile. Dommage.