Passer au contenu

L’exploitation des données d’identité à létude

Sous l’impulsion d’Oracle, un groupe de travail se met en place pour standardiser les relations entre les sources de données liées à l’identité et les consommateurs de ces ressources.

‘ Des milliers de dates de naissance transitent dans les systèmes d’information, alors que, souvent, il s’agit seulement de savoir si la personne est majeure ou pas, retraitée ou
non… ‘,
explique Jean-Louis Baffier, responsable du centre d’expertise Fusion Middleware SOA et sécurité chez Oracle France. L’éditeur décide donc de proposer Identity Governance Framework (IGF), une structure
de gouvernance de l’identité. L’Américain est accompagné de six acteurs du domaine de la gestion des identités et des accès, à savoir CA, Layer 7 Technologies, Novell, Ping Identity, Securent, et Sun. L’objectif est
double : désolidariser les outils de gestion des données liées à l’identité de l’infrastructure sous-jacente (annuaires LDAP ou base de données, accès par carte à puce ou jetons, par exemple), d’une part ; et éviter la
présence inutile d’informations sensibles dans toutes les applications d’une entreprise, d’autre part.IGF se divise en deux volets. Le premier, baptisé CARML (Client Attribute Requirement Markup Language), est un langage XML destiné à la création d’un contrat type. Formalisé par le développeur d’une application, ce contrat
facilitera sa mise en ?”uvre au sein de l’entreprise utilisatrice. Il définit les attributs nécessaires et suffisants pour en sécuriser l’accès. Le second, AAPML (Attribute Authority Policy Markup Language), est un ensemble de
règles qui encadrent l’usage (consommation et modification) des informations sur l’identité. Des API serviront à relier cette couche d’abstraction à l’infrastructure.

Des redondances avec les standards existants sont à craindre

Cette initiative apporte, bien sûr, son lot de problèmes. Premier hic, des poids lourds du marché de la gestion des accès et des identités ne sont pas de la fête, tels Microsoft et IBM. Forest Yin, directeur Product Management chez CA,
admet volontiers qu’une participation de l’éditeur d’Active Directory serait positive. Mais il redoute qu’une fois entré, celui-ci ne tente de tordre les spécifications à son seul profit. Deuxième hic, IGF n’est
pas encore hébergé par une structure de normalisation qui garantirait une certaine indépendance face aux exigences des éditeurs. Cette situation ne devrait pas perdurer.Chez CA et Oracle, on parle de confier le bébé à Liberty Alliance ou à l’Oasis. Le choix de cet organisme semble pertinent. Il a, en effet, déjà publié trois spécifications essentielles au monde de la gestion des identités et des
accès. A savoir XACML (eXtensible Access Control Markup Language), SAML (Security Assertion Markup Language), et SPML (Service Provisioning Markup Language). Le premier standardise la description des politiques de contrôle des accès (droits des
utilisateurs sur les ressources informatiques). Le deuxième facilite l’interopérabilité des plates-formes propriétaires de gestion des droits utilisateurs. SPML, enfin, s’attaque aux comptes des salariés au sein des applications
d’entreprise. Selon Oracle, son initiative n’entame pas les plates-bandes de ces différents standards, mais les complète. La standardisation de la gestion des identités s’arrête-t-elle avec IGF ? Pas vraiment. Selon
Jean-Louis Baffier, ‘ l’idée consiste à disposer d’une solution générique, que l’on peut enrichir. Pour respecter certaines contraintes réglementaires aux Etats-Unis ou en Europe, IGF devra probablement
être complété. ‘

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Renaud Edouard-Baraud