vers une gestion d’identités moderne
Post on 02-Jan-2016
32 Views
Preview:
DESCRIPTION
TRANSCRIPT
Université de Rennes 1 – Direction du Système d’Information Vers une gestion d’identités moderne Décembre 2013
Vers une gestion d’identités moderne
Pascal AUBRYHenri JACOB
Saâd AÏT OMARSerge AUMONT
Université de Rennes 1 – Direction du Système d’Information Vers une gestion d’identités moderne Décembre 2013
Avertissement
Université de Rennes 1 – Direction du Système d’Information Vers une gestion d’identités moderne Décembre 2013
Plan
autoflagellation
réflexion
[action]
Université de Rennes 1 – Direction du Système d’Information Vers une gestion d’identités moderne Décembre 2013
• La création de tout ou partie des comptes de vos utilisateurs est-elle effectuée par votre service informatique ?– Est-ce bien le rôle de la DSI ?– La DSI est-elle à même de juger de la pertinence
des privilèges des utilisateurs ?
Êtes-vous concerné(e) ?
Université de Rennes 1 – Direction du Système d’Information Vers une gestion d’identités moderne Décembre 2013
• Lorsqu’un utilisateur a besoin d’accéder à une application, lui est-il également automatiquement attribué un répertoire d’accueil et une adresse électronique ?
Êtes-vous concerné(e) ?
Université de Rennes 1 – Direction du Système d’Information Vers une gestion d’identités moderne Décembre 2013
• L’accès aux applications sensibles est-il protégé par une authentification de type SSO ?
Êtes-vous concerné(e) ?
Université de Rennes 1 – Direction du Système d’Information Vers une gestion d’identités moderne Décembre 2013
• Lorsqu’un utilisateur change de statut ou quitte l’établissement, une intervention manuelle est-elle nécessaire pour supprimer tous les droits associés à son identifiant ?– Le deprovisioning, ça vous parle ?
Êtes-vous concerné(e) ?
Université de Rennes 1 – Direction du Système d’Information Vers une gestion d’identités moderne Décembre 2013
• Le même mot de passe est-il utilisé pour se connecter au réseau, pour la messagerie et pour l’accès à l’ENT ?– Êtes-vous sûr de tous les périphériques stockant ce
mot de passe (BYOD) ?
Êtes-vous concerné(e) ?
Université de Rennes 1 – Direction du Système d’Information Vers une gestion d’identités moderne Décembre 2013
• Si vous avez répondu OUI au moins une foisvous êtes concerné(e)
• Sinon merci de quitter cette salle :-)
Université de Rennes 1 – Direction du Système d’Information Vers une gestion d’identités moderne Décembre 2013
Système actuel… et cible
Université de Rennes 1 – Direction du Système d’Information Vers une gestion d’identités moderne Décembre 2013
• Fonctionnel– Besoins non remplis– Coût de gestion exorbitant
• Sécurité– Conflit avec la PSSI
• Technique– Coût d’évolution très élevés
Un système actuel dépassé
Université de Rennes 1 – Direction du Système d’Information Vers une gestion d’identités moderne Décembre 2013
• Étudiants• Personnels• Anciens étudiants
(diplômés)• Retraités• Utilisateurs des
bibliothèques• Intervenants extérieurs
• Ajout des extérieurs dans les bases institutionnelles
• Utilisation sauvage des outils du cloud
De nouvelles populations
Université de Rennes 1 – Direction du Système d’Information Vers une gestion d’identités moderne Décembre 2013
• Forte poussée des réseaux sociaux– La possession d’un compte ou adresse
électronique institutionnelle n’est plus la preuve tangible de l’identité
• Ouverture des SI vers les prestataires d’identités extérieurs– Gain fonctionnel sans perte de sécurité
De nouveaux usages
Université de Rennes 1 – Direction du Système d’Information Vers une gestion d’identités moderne Décembre 2013
• Gestion des bases institutionnelles : fonctionnels– Scolarités, RH
• Le reste : traitement à la marge par la DSI – Comptes étudiants banalisés pour les formations
ponctuelles, comptes fonctionnels des composantes, comptes spécifiques à la recherche, …
• Un coût exorbitant• Des relents de l’informatique gourou
Une décentralisation nécessaire
Université de Rennes 1 – Direction du Système d’Information Vers une gestion d’identités moderne Décembre 2013
• Quand un vieillard meurt…– …c’est une bibliothèque qui brûle
• Quand un ingénieur part en retraite…– …il arrive qu'on ne sache plus pourquoi telle ou
telle pratique est opposée aux utilisateurs comme une règle de sécurité
• Formalisation des processus métier
Tradition orale
Université de Rennes 1 – Direction du Système d’Information Vers une gestion d’identités moderne Décembre 2013
• De multiples services• Une authentification pratique mais faible• Un deprovisioning déficient• Une imputabilité limitée
Sécurité approximative
Université de Rennes 1 – Direction du Système d’Information Vers une gestion d’identités moderne Décembre 2013
• Avant : une palette simple– Essentiellement des ressources : stockage, messagerie
électronique, connexion aux postes de travail
• Mais ça c’était avant– Environnements Numériques de Travail
• Attribution d’accès aux services directement reliée à l’attribution d’un compte dans le Système d’Information– Manque de souplesse dans l’allocation des privilèges– Conséquences non négligeables sur la sécurité des systèmes
Multiples services
Université de Rennes 1 – Direction du Système d’Information Vers une gestion d’identités moderne Décembre 2013
• Utilisation du Single Sign-On– Confortable (compte/mot de passe unique)– Mise en œuvre universelle de certaines mesures de sécurité
• Bloquer un compte, forcer le changement d'un mot de passe
– Moins de post-it « pense-bête » sur les écrans
• Bilan néanmoins mitigé– Compromissions plus dommageables
• Authentification auprès des services sensibles
Authentification pratique mais faible
Université de Rennes 1 – Direction du Système d’Information Vers une gestion d’identités moderne Décembre 2013
• Allocation des privilèges fidèle aux besoins– par nécessité…
• Suppression des privilèges délaissée– Départ, changement de statut– Conséquences graves sur la sécurité
Deprovisioning déficient
Université de Rennes 1 – Direction du Système d’Information Vers une gestion d’identités moderne Décembre 2013
• Une obligation légale– Conseils de discipline (interne)– Réquisition judiciaire (externe)
• Utilisation à outrance des comptes banalisés– Manque de traçabilité
Imputabilité limitée
Université de Rennes 1 – Direction du Système d’Information Vers une gestion d’identités moderne Décembre 2013
• Évolutions et maintenance très difficiles et coûteuses– Nombreuses technologies
• Forte adhérence entre les briques logicielles– Faible isolation entre les règles métier et le
processus de transformation des données
Système peu maîtrisé
Université de Rennes 1 – Direction du Système d’Information Vers une gestion d’identités moderne Décembre 2013
• Séparation insuffisante authentification/autorisation– Allocation des comptes par la DSI– Délégation de l’allocation des privilèges (Grouper)– Raison techniques et humaines
• Lacunes fonctionnelles– Manque de délégation !– Charge importante pour la DSI
• Manque de réactivité– Durée de propagation des modifications dans les bases
institutionnelles
Architecture obsolète
Université de Rennes 1 – Direction du Système d’Information Vers une gestion d’identités moderne Décembre 2013
• Prise en charge des « identités externes »• Délégation « au plus près »• Authentification forte• Maîtrise des processus métier• Maîtrise technologique• Évolutivité et ouverture
Objectifs
Université de Rennes 1 – Direction du Système d’Information Vers une gestion d’identités moderne Décembre 2013
• Comptes créés par les utilisateurs eux-mêmes– Numéro de téléphone, une adresse électronique,
un identifiant Facebook, Twitter, LinkedIn, OpenID
• Par défaut sans privilège
Prise en charge des identités externes
Université de Rennes 1 – Direction du Système d’Information Vers une gestion d’identités moderne Décembre 2013
• Vérification de l’identité– Existence de l’identifiant– Technique
• Vérification de la personne– Association de l’identifiant à une personne physique– Organisationnel
Vérification des identités externes
Université de Rennes 1 – Direction du Système d’Information Vers une gestion d’identités moderne Décembre 2013
• Amélioration des processus métiers– Au niveau de l’enregistrement des utilisateurs
• Délégation des tâches administratives– Aux acteurs fonctionnels– Au plus près des utilisateurs finaux
• Diminution de la charge de la DSI– Recentrage sur le cœur de métier
Délégation « au plus près »
Université de Rennes 1 – Direction du Système d’Information Vers une gestion d’identités moderne Décembre 2013
• Accès aux services sensibles– Conséquences financières et juridiques
• SSO CAS : point faible– Évolution vers une authentification unique
à plusieurs niveaux d'assurance
• Certificat, OTP, double facteur– Mise en conformité avec les exigences
réglementaires en vigueur
Authentification forte
Université de Rennes 1 – Direction du Système d’Information Vers une gestion d’identités moderne Décembre 2013
• En particulier le deprovisioning – Lier l’utilisation des ressources au statut des utilisateurs– Condition sine qua non de la sécurité du système
• Utilisation systématique (dès que possible) de Grouper– Pour la gestion des autorisations– deprovisioning automatique
• Sensibilisation et formation des acteurs fonctionnels• Contrôle continu de la qualité des données
Maîtrise des processus métier
Université de Rennes 1 – Direction du Système d’Information Vers une gestion d’identités moderne Décembre 2013
• Pas de sécurité sans maîtrise technologique
• Simplicité de maintenance• Évolutivité et pérennité
– Utilisation uniforme de standards et de technologies ouvertes
Maîtrise technologique
Université de Rennes 1 – Direction du Système d’Information Vers une gestion d’identités moderne Décembre 2013
• Contexte politique– Contexte de fusion Rennes 1 / Rennes 2– Hébergement d’autres établissements
• Critère fondamental de choix des outils et technologies– Accueillir des identités d’un autre établissement– S’intégrer dans un autre système déjà existant
Évolutivité et ouverture
Université de Rennes 1 – Direction du Système d’Information Vers une gestion d’identités moderne Décembre 2013
• Procédure– L’organisateur du congrès demande à la DSI l’autorisation d’allouer des
comptes pour l’accès wifi– La DSI délègue la création des comptes
• Après vérification de la qualité d’organisateur du demandeur
– L’organisateur• Crée des comptes correspondant aux adresses électroniques des participants• Leur alloue l’accès au réseau wifi pour la durée du congrès
• Vérification– Les adresses électroniques (base de données de l’organisation) sont vérifiées
par un secret envoyé aux participants– L’identité des participants est considérée comme vérifiée par le paiement
préalable des droits d’inscription au congrès
Exemple : allocation d’un accès wifi externe à un participant d’un congrès
Université de Rennes 1 – Direction du Système d’Information Vers une gestion d’identités moderne Décembre 2013
• Pistes explorées pour la mise en œuvre– Utilisation (et assemblage) de briques existantes
• ETL Talend pour les opérations de provisionning• ActiveMQ pour le séquencement• Grouper pour les autorisations• Développement interne (Java) pour l’interface utilisateur
– Utilisation d’un framework spécialisé • Pour l’orchestration globale de toutes les opérations de gestion des identités• Grouper pour la gestion des autorisations.
• Adoption de OpenIDM– Framework spécialisé
Choix techniques
Université de Rennes 1 – Direction du Système d’Information Vers une gestion d’identités moderne Décembre 2013
• La grande inconnue• Contraintes externes fortes
– Migration ToIP– Migration messagerie– Fusion Rennes 1 / Rennes 2
• Continuité du service• Date de recette prévue : fin 2014
Processus de migration
top related