Quelques définitions

Afin d’avoir les idées claires, voici quelques définitions aidant à appréhender la structuration d’une gestion de droits informatiques. Il est également utile d’être à l’aise avec la notion de DICP.

• Un rôle est un ensemble d’habilitations nécessaires à un type d’utilisation d’une ressource.
• Un rôle applicatif est un rôle propre à une (et une seule) application.
• Un profil est un ensemble de rôles, souvent regroupés par métier.
• L’habilitation est le droit d’effectuer une action sur une ressource, souvent associée à un périmètre (temporel, fonctionnel, géographique). C’est le niveau « unitaire ».

Pour une gestion claire, les rôles ne devraient être liés qu’à des profils, lesquels correspondent généralement à une fonction exercée au sein d’une organisation.

Principes de base

• Identifier les systèmes et données sensibles
• Limiter les accès à privilèges
• Contrôler les utilisateurs et les systèmes

Document de référence

• https://aresu.dsi.cnrs.fr/IMG/pdf/IAM_gestion_des_identites_et_des_acces.pdf (sous licence Creative Commons CC-BY-NC-ND)

Voir aussi

• SAML v2.0
• OAuth 2.0
• OpenID et OpenID Connect
• XACML (eXtensible Access Control Markup Language), langage permettant de définir :
  • des autorisations ou des contrôles d’accès basés sur des attributs,
  • des contrôles d’accès à des points de décision (PDP, Policy Decision Point) puis de les transmettre à des points d’application (PEP, Policy Enforcement Point).
• SCIM (System for Cross-domain Identity Management), système d’échanges de données, d’attributs, entre systèmes externes.

XACML permet par exemple de définir les droits d’un utilisateur chez un fournisseur cloud à partir de son IAM interne.