Portails e-business et sites de commerce électronique placent sous un jour nouveau l’administration des accès d’un grand nombre d’utilisateurs à un système d’information. Le Single Sign-on (SSO), né avec l’informatique distribuée, revient au premier plan. Dans son principe, il permet à l’utilisateur de s’identifier une seule fois avant d’accéder aux multiples serveurs où résident informations et applications. Tous les éléments tels qu’identifiants, mots de passe, procédures ou scripts, destinés aux systèmes cibles, sont placés sur un serveur d’authentification. Lorsque l’utilisateur s’y connecte, un agent installé sur son PC récupère ces informations et se charge d’établir les connexions.La déclinaison Web du SSO diffère de cette version classique par la disparition de l’agent sur le PC, éventuellement remplacé par un cookie. “Il existe deux moyens de réaliser une procédure de SSO sur le Web, explique Guillaume Absi, responsable technique chez Netegrity. Soit on installe un agent sur chacun des serveurs commerciaux ?” et ces agents se transmettront ensuite le profil de l’utilisateur ?”, soit on impose le passage par un portail qui centralise l’authentification.”
Les diverses solutions proposées lors du passage par un portail
Or, “sur le Web, le portail de l’entreprise peut donner accès au serveur d’un fournisseur sur lequel vous ne pouvez pas imposer un logiciel spécifique de gestion des accès”, souligne Michel Pin, conseil en sécurité chez Evidian. D’où l’émergence de diverses solutions afin de contourner cette difficulté. Evidian propose ainsi PortalXpert. Il s’agit d’un Reverse proxy, qui administre la sécurité à partir du flux HTTP des requêtes URL. Tivoli adopte une approche similaire avec Tivoli SecureWay Policy Director, et Netegrity vient de sortir Secure Reverse Proxy Server. Ce dernier éditeur privilégiait jusqu’alors les agents placés sur les différents sites Web, avec son serveur de politique de sécurité, SiteMinder.Un choix qui a ses contraintes : “Notre plate-forme doit avoir des liens avec tout ce qui existe sur le marché”, reconnaît Guillaume Absi. D’où des accords avec BroadVision, Commerce One, ATG, etc. La sécurisation va même jusqu’à réglementer, selon l’utilisateur, l’usage d’un composant métiers sur le serveur d’applications, de type WebSphere, d’IBM ; ou WebLogic, de BEA Systems.Mais, le fait de recourir à des agents impose également aux différentes entreprises impliquées dans une même transaction e-business de retenir des technologies compatibles entre elles. En direction du monde du commerce électronique, Computer Associates (CA), pour sa part, propose la solution e-Trust Web Access Control, dérivée de son offre e-Trust SSO pour poste de travail d’entreprise.L’éditeur l’a intégrée à son annuaire e-Trust Directory. L’annuaire est, en effet, le complément indispensable d’un système de SSO. Il renferme alors tous les éléments servant à surveiller les accès : identifiants, mots de passe, profils, droits, etc.
La cohérence, garantie par un service d’administration centralisé
Pour Patrick Chrisment, expert en sécurité chez CA, au-delà des multiples environnements de travail existant au sein d’une entreprise et des différents services d’administration associés, “il y a un service d’administration centralisé qui garantit la cohérence à partir des informations sur les utilisateurs et leurs droits. Chez CA, c’est le composant e-Trust Admin qui exploite les données de l’annuaire e-Trust Directory”.Face à la diversité des environnements, Netegrity a, pour sa part, choisi de rendre SiteMinder compatible avec le maximum de bases de données susceptibles de contenir des utilisateurs. Il intègre donc le standard ODBC, ainsi que l’accès aux systèmes 390 RACF des mainframes, en passant par les contrôleurs de domaine Windows NT, sans oublier le standard LDAP.Philippe Jouvellier, responsable avant-vente sécurité chez Arche Groupe Siemens, précise :“L’idéal serait de posséder un seul annuaire. L’administration serait ainsi centralisée sur un seul point, accessible depuis des interfaces déportées. Tous les acteurs qui proposent des solutions de sécurité ou d’administration des utilisateurs ont une ébauche ou une solution complète d’annuaire. Cela étant, les entreprises qui disposent déjà d’annuaires stables hésitent à tout casser. Pour celles qui ont plusieurs annuaires de type LDAP, il existe des éditeurs, tel Critical Path, qui proposent des connecteurs pour administrer ces bases et constituer ainsi des méta-annuaires.”Olivier Quinet, consultant chez Solucom, complète : “Des éditeurs tels qu’iPlanet proposent également ce genre de méta-annuaire. Quant à l’annuaire de sécurité, il doit centraliser uniquement les signatures des utilisateurs et leurs droits d’accès aux applications. Il doit rester relativement indépendant des données utilisées dans le paramétrage des applications.”La centralisation réduit les erreurs tout en diminuant la charge de travail. L’administrateur peut retirer des droits à un utilisateur simultanément sur un ensemble d’applications. De même, les notions de groupes et de profils permettent de créer des catégories d’utilisateurs, ce qui simplifie la gestion des accès. D’autre part, l’automatisation de l’administration des droits d’accès tend à déléguer encore davantage de fonctions au plus près des utilisateurs. Un annuaire comme iPlanet Directory Server dispose depuis peu d’une couche logicielle pour autoriser la délégation d’administration.
Une question essentielle :quelle interface d’administration des utilisateurs faut-il choisir ?
De ce point de vue, l’éditeur Oblix considère que, dans sa solution de gestion d’accès au Web, Oblix NetPoint, l’un des composants clés est le module Net Point Active Automation. Celui-ci automatise l’octroi des droits d’accès ?” selon le profil des utilisateurs ?” et la modification de l’information qui leur est destinée. La question qui se pose désormais est : quelle interface d’administration des utilisateurs choisir ? Celle des logiciels de gestion des accès Web, ou celle des annuaires ? Les produits gagnent en maturité, et il y a des zones de recouvrement. “Notre portail iPlanet Portal Server propose aux utilisateurs de gérer leur propre mot de passe et leur identifiant. Or, Netegrity fait de même avec SiteMinder. Il faut donc faire un choix. Mais l’essentiel est de stocker les données en un seul endroit pour éviter les incohérences “, insiste Tristan Nitot, responsable marketing chez iPlanet.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.