Quelques définitions
Afin d’avoir les idées claires, voici quelques définitions aidant à appréhender la structuration d’une gestion de droits informatiques. Il est également utile d’être à l’aise avec la notion de DICP.
- Un rôle est un ensemble d’habilitations nécessaires à un type d’utilisation d’une ressource.
- Un rôle applicatif est un rôle propre à une (et une seule) application.
- Un profil est un ensemble de rôles, souvent regroupés par métier.
- L’habilitation est le droit d’effectuer une action sur une ressource, souvent associée à un périmètre (temporel, fonctionnel, géographique). C’est le niveau « unitaire ».
Pour une gestion claire, les rôles ne devraient être liés qu’à des profils, lesquels correspondent généralement à une fonction exercée au sein d’une organisation.
Principes de base
- Identifier les systèmes et données sensibles
- Limiter les accès à privilèges
- Contrôler les utilisateurs et les systèmes
Document de référence
- https://aresu.dsi.cnrs.fr/IMG/pdf/IAM_gestion_des_identites_et_des_acces.pdf (sous licence Creative Commons CC-BY-NC-ND)
Voir aussi
- SAML v2.0
- OAuth 2.0
- OpenID et OpenID Connect
- XACML (eXtensible Access Control Markup Language), langage permettant de définir :
- des autorisations ou des contrôles d’accès basés sur des attributs,
- des contrôles d’accès à des points de décision (PDP, Policy Decision Point) puis de les transmettre à des points d’application (PEP, Policy Enforcement Point).
- SCIM (System for Cross-domain Identity Management), système d’échanges de données, d’attributs, entre systèmes externes.
XACML permet par exemple de définir les droits d’un utilisateur chez un fournisseur cloud à partir de son IAM interne.
