Articles 2004

Au moment où la Liberty Alliance accumule les succès, en pratique les services informatiques des entreprises semblent surtout travailler sur le dossier des annuaires LDAP. Dans les deux cas on parle de métaannuaire, d'authentification unique (Single Sign On) ou même d'IAM (Identity Acces Management). De quoi s'agit-il ? Quelles sont les différences et les similitudes entre les deux univers ? Il a paru nécessaire de faire le point pour tenter de rendre le débat un peu plus accessible aux non-spécialistes.

LDAP, IAM, SSO, Liberty, WS* ou même RBAC... Les informaticiens gestionnaires de l'identité numérique se sont-ils donné le mot pour multiplier les termes abscons ? Est-ce le reflet d'un foisonnement d'innovations qui ne demandent qu'à être désignées ou un complot ourdi par les experts pour ne pas être dérangés par les utilisateurs et les décideurs ? Le choc est de toute façon éprouvant pour ceux qui venaient à peine d'achever de traduire, non sans efforts, les PKI, PSC, AE, AC, OC et classe 3+ de la signature électronique.

De l'annuaire électronique à l'annuaire LDAP

De la même façon qu'il existe de classiques annuaires papier, on trouve également des annuaires électroniques. Il s'agit à la fois de la transposition sur informatique des pages blanches mais aussi de bases de données spécialisées, avec des particularités comme celle d'être plus souvent sollicitées en lecture qu'en écriture. Les annuaires électroniques peuvent concerner des personnes et/ou des fonctions, des organisations ou des objets, comme les postes de travail, les imprimantes, etc.

Dans les entreprises, on retrouve un standard de fait en matière d'annuaire : LDAP (Lightweight Directory Access Protocol). LDAP ne désigne pas au départ une catégorie d'annuaire, même si l'on parle désormais couramment « d'annuaire LDAP », mais un protocole. Il serait même, selon des auteurs, « le protocole Internet des annuaires ». Le protocole LDAP permet à différents annuaires de communiquer entre eux et rend ainsi possible le concept de « métaannuaire ».

La gestion de l'identité, d'abord une question d'organisation

On retrouve certes dans les projets LDAP menés par les équipes informatiques des organisations une dimension proprement technique mais l'annuaire LDAP ne constitue pas la solution magique au problème de la gestion des identités. Celle-ci est d'abord une question d'organisation. En effet, une même information peut-être désignée de façons différentes dans les différents services ; une information peut, en pratique, ne pas être tenue à jour correctement ; les identités sont dispersées, fragmentaires, parfois incohérentes. Déployer un LDAP est bien un choix structurant pour l'organisation et tout ce qui nécessite la mise en oeuvre d'un projet métaannuaire dans l'entreprise en complique également la réalisation.

En outre, des services peuvent s'opposer à la diffusion de certaines informations. Les responsables de départements peuvent en effet se considérer comme les « propriétaires » des informations annuaire et il faudra les convaincre du bien-fondé de la mutualisation, atténuer le sentiment de perte de pouvoir.

Quand la bonne volonté est tout de même présente, peu d'organisations peuvent se vanter de disposer d'une cartographie rigoureuse des données d'identités. Théoriquement, la collection complète des déclarations Cnil - elles sont obligatoires, faut-il le rappeler ? - devrait y pourvoir. En pratique, elles sont rarement précises ou même disponibles. On pourra simplement remarquer à ce stade que, même si ce n'est pas l'objectif initial de la Loi informatique et libertés, son respect, loin d'être une contrainte pour l'informatique, peut constituer une méthode pour travailler de façon plus professionnelle.

Enfin, toujours sur le plan organisationnel, il convient souvent de se demander si l'important est de gérer des identités, des profils ou des habilitations. En effet, pour les organisations, la question essentielle est moins de savoir « qui est qui ? » mais bien de déterminer « qui a accès à quoi ? » sur la base des fonctions et des délégations de pouvoir. On parle alors de « base de pouvoirs » ou « d'annuaire des habilitations » ; une des références en la matière étant le modèle RBAC (Rôle Based Acces Control).

De la gestion centralisé à la gestion décentralisé des identités : Liberty Alliance

Déjà complexe à mettre en oeuvre au sein d'une organisation, l'approche LDAP atteint ses limites quand il s'agit de travailler à l'échelle de l'entreprise étendue, c'est-à-dire en y associant les clients, les fournisseurs, etc. La philosophie LDAP requiert une forme de hiérarchie entre les annuaires et cette approche centralisée ne s'adapte pas facilement quand il s'agit de faire coopérer un réseau d'intervenants. Il y a bien eu une tentative d'annuaire centralisée à vocation universelle avec le projet Passport de Microsoft. Mais, compte tenu des risques de position hégémonique qui pouvait en découler, le projet n'a pas rencontré le succès escompté par le numéro un mondial du logiciel. L'idée d'une gestion décentralisée des identités s'est alors imposée comme une alternative séduisante. Avec cette approche, chacun reste responsable de son domaine mais il doit être possible de dialoguer avec les partenaires. Cela suppose l'adoption de standards communs. C'est justement l'objectif de la Liberty Alliance.

Liberty Alliance a été dans un premier temps perçue comme un club anti-Passport principalement piloté par Sun. Cette vision du départ n'était pas forcément erronée mais, depuis, Liberty Alliance a pris une toute autre dimension du fait de ses travaux et de la dynamique des adhésions. A l'automne 2004, IBM, par ailleurs partenaire de Microsoft pour la gestion de l'identité dans le projet WS*, et l'ADAE (Agence pour Développement de l'Administration Electronique) ont ainsi adhéré à Liberty Alliance.

Schématiquement, les principaux concepts de la gestion fédérée de l'identité sur le modèle Liberty sont respectivement : le cercle de confiance (Circle of Trust, ensemble des fournisseurs de services acceptant leurs utilisateurs respectifs), le fournisseur d'identité (Identity Provider, site que le client a déclaré comme étant sa référence d'authentification pour entrer dans le cercle de confiance) et les fournisseurs de services (Service Providers). L'exemple classique est celui des clients en ligne d'une compagnie aérienne qui peuvent accéder sans avoir à s'identifier aux services en ligne proposés par un hôtel ou par une société de location de voiture. La compagnie aérienne, la chaîne hôtelière et la société de location constituent un cercle de confiance au sein duquel la compagnie aérienne assure la fonction de fournisseur d'identité.

LDAP et Liberty Alliance : similitudes et différences

Annuaire LDAP et standard Liberty Alliance se rejoignent dans leur commune appartenance au domaine générique de l'IAM (Identity Acces Management). L'IAM devient un domaine spécifique de l'informatique au même titre que le CRM (Customer Relationship Management), le SCM (Supply Chain Management) ou l'ERP (Enterprise Ressource Planning). C'est aussi un secteur économique en pleine ébullition comme en témoigne la récente acquisition de la société Netegrity par Computer Associates ou les nouvelles orientations stratégiques définies par Novell.

De plus, projets LDAP et chantiers Liberty partagent en général un objectif commun : la recherche du SSO (Single Sign On), c'est-à-dire de l'authentification unique qui représente le « Graal » de la gestion des identités numériques. La protection des données personnelles, le respect des dispositions des règlementations informatique et libertés est également une dimension commune aux deux univers.

Au-delà des ces similitudes, les priorités des projets LDAP et de la mise en oeuvre du standard Liberty diffèrent le plus souvent. Un projet LDAP est en général dicté par des impératifs de productivité et de sécurité. L'annuaire LDAP permet de stocker toutes les données envisageables, donc des droits d'accès, des mots de passe, des certificats de clés, des listes de révocation, etc. La mise à jour simplifiée des différents annuaires internes procure des gains de productivité, car les équipes internes qui gèrent les annuaires sont moins sollicitées, et une amélioration de la sécurité grâce à une clôture simplifiée des accès antérieurement autorisés.

Les priorités Liberty relèvent à l'inverse d'une dimension marketing avec la volonté sous-jacente de partager des clients. Pour l'utilisateur, la gestion de l'identité en ligne sur le mode Liberty permet d'apporter une simplification de l'accès, une amélioration de l'ergonomie, de la fluidité dans la navigation. Pour le fournisseur de services, l'avantage essentiel réside dans la facilitation de l'accès, notamment l'acceptation de clients qui n'ont pas été identifiée par lui. Cela permet également la mise en oeuvre de programmes de fidélisation communs. Sur le plan de la sécurité, Liberty présente l'avantage de ne pas reposer sur le concept d'une base centralisée. Il n'y a donc pas de cible désignée pour les attaques. Par ailleurs, Liberty revendique une complète neutralité par rapport aux dispositifs techniques de sécurité : mot de passe, certificat, carte, biométrie, etc. Ce n'est donc pas par essence un dispositif de sécurisation mais rien ne permet à l'inverse de prétendre qu'il s'agit d'une approche qui serait par nature insuffisante sur le plan de la sécurité.

Arnaud Belleil

En savoir plus :

Encyclopédie informatique libre, articles « le protocole LDAP » et « Introduction aux annuaires LDAP »

Fiche d'information de l'ADAE : « Les annuaires : standards, usages et insertion dans l'organisation »

« Les enjeux de la gestion des identités » par Marcel Rizcallah (Valoris), ZDNet, 15 juin 2004.

Mentions Légales Données Personnelles	Tous droits réservés © Cecurity.com 2010	Cecurity.com est membre de