Upload
alain-fruchet
View
17
Download
3
Embed Size (px)
DESCRIPTION
Identity and AccessManagementConstatsDéfinition IAMPréconisationsPlan d’actionsPlan projetAnnexeGlossaireUn Objectif clarifier !Perception de projets purement technologiquesSous-estimation de la complexité,Varie selon les capacités des logiciels qui en supportent les processus.Deux axes dans « Identity and Access Management »Identity Management = Gestion des IdentitésAccess Management = Gestion des droits d’accès
Citation preview
1© NTI - 2012
www.nti-sa.com
Identity andAccess
Management
2© NTI - 2012
www.nti-sa.com
Sommaire
� Constats
� Définition IAM
� Préconisations
� Plan d’actions
� Plan projet
� Annexe
� Glossaire
3© NTI - 2012
www.nti-sa.com 3
Constats
4© NTI - 2012
www.nti-sa.com
Sommaire : Constats
� Profil métier
� Profil applicatif
� Processus métiers
� Etudes des droits délivrés
� Contrainte OS
� Demande de droits
� Provisioning
5© NTI - 2012
www.nti-sa.com
Constat : Profil métier
• Aujourd'hui, un processus de demande d’attribution de droits qui s’appuie sur les profils métiers et prend en compte les éléments suivants :– Rôle métier (…), Applications, Profils applicatifs.
• Et pas uniquement la notion métier mais aussi :– Les droits standards, La messagerie, La localisation
géographique, Le badge, le téléphone, le parking…
6© NTI - 2012
www.nti-sa.com
Constat : Profil applicatif
• Pour rapprocher rôle métier et droits applicatif, des « profils applicatifs » ont été implémentés dans les applications :
– soit par des attributs nouveaux (évolution d’applications anciennes) :
– soit directement dans les applications :
7© NTI - 2012
www.nti-sa.com
Constat : Etude des droits délivrés
• Etude « photographique » de l’existant :
Paul
Kim
Sara
Michel
Pierre Mike
Role
Georges
– Etude des droits existants dans une approche Role-based Access Control (RBAC) pour :
– Avoir une vision « rôle métier » à partir de l’existant
– Détecter les « incohérences »
– Difficulté pour trouver des plus grands communs dénominateurs
8© NTI - 2012
www.nti-sa.com
Constat : Modèle Habilitation (1/2)
• Le modèle actuel d’habilitation ne couvre pas aujourd’hui les besoins des différents métiers :
– Métier,
– Contractuel (pas conforme au contrat, à la profondeur de l’offre…),
– Segmentation,
– Fonctionnel.
• Différents outils interviennent aujourd’hui dans les demandes ou délivrances de droits :
– …
� Trop d’outils indépendants
9© NTI - 2012
www.nti-sa.com
Constat : Modèle Habilitation (2/2)
• Les droits délivrés aujourd’hui ne sont pas nécessairement en adéquation avec le besoin métier :
– Excessifs (au regard des besoins en séparation de fonction sur le périmètre client)
– Difficulté d’affecter les droits sur un client.
– Affectation de droits sur une BU, un segment, une agence, un portefeuille.
– Droits attribués sous forme de package global
• Beaucoup de droits,
• Difficilement compréhensible,
• Ne peuvent être attribués ou révoqués facilement.
10© NTI - 2012
www.nti-sa.com
Constat : SI IAM (1/2)
• Le SI ne permet pas de faire de la « revue des droits » pour :
� Savoir qui a attribué quels droits / accès et pourquoi,
� Qui a accès à quoi,
� Gérer le suivi « adéquation des droits aux besoins »,
� La révocation totale des droits.
• Absence de « gestion de l’identité » et du cycle de vie dans la demande de droits.
• Pas de visibilité sur l’état des demandes.
11© NTI - 2012
www.nti-sa.com
Constat : SI IAM (2/2)
• Vision « linéaire » des droits avec des correspondances par table entre les différentes briques
• Délivrance droits– Profil métier– Groupe métier– Table de rapprochement– Création / Provisioning
de droits � ressources
• Toute modification a des impacts (dépendance forte de la solution autour des tables de traduction/translation)
12© NTI - 2012
www.nti-sa.com 12
Définition
13© NTI - 2012
www.nti-sa.com
Identity and Access Management
• Un Objectif � clarifier !• Perception de projets purement technologiques
– Sous-estimation de la complexité,– Varie selon les capacités des logiciels qui en supportent les
processus.
• Deux axes dans « Identity and Access Management »– Identity Management = Gestion des Identités– Access Management = Gestion des droits d’accès
14© NTI - 2012
www.nti-sa.com 14
Identity ManagementGestion des Identités
15© NTI - 2012
www.nti-sa.com
Définition : Gestion des Identités (1/3)
• Lorsque l’on parle de « gestion des identités », on entend par là celle des utilisateurs d’un système d’information :
� Gestion des identités en entreprise,
� Gestion des individus hors de l'entreprise qui accèdent au système d'information de l'entreprise, communications, ...
� Partenaires, fournisseurs...
� Gestion des utilisateurs dans une organisation,
� Et des groupes d'utilisateurs, des profils, des autorisations.
16© NTI - 2012
www.nti-sa.com
Définition : Gestion des Identités (2/3)• Le cœur de la gestion de l’identité s’appuie sur un
référentiel des identités avec les outils permettant :– La mise à jour de ce référentiel,
– Le partage de ce référentiel entre les différents acteurs.
• Et cette gestion prend en compte les contraintes organisationnelle:– La « sécurité » dans le contrôle des accès aux ressources
de l’entreprise.
17© NTI - 2012
www.nti-sa.com
Définition : Gestion des Identités (3/3)• Objectifs : Gérer efficacement et de façon sécurisée les
données permettant d’identifier les utilisateurs :– Partage des éléments d’identité communs à la personne physique
(identité) et ses identifiants numériques (login…),
– Respect de la confidentialité des données d’identité,
– Qualité constante (intégrité) durant tout le cycle de vie de ces données,
– Disponibilité des données d’identités numériques,
– Distinguer 2 utilisateurs sans équivoque et en respectant le cadre légal.
18© NTI - 2012
www.nti-sa.com 18
Access ManagementGestion des Accès
19© NTI - 2012
www.nti-sa.com
Définition : Gestion des Accès
• Lorsque l’on parle de « gestion des accès », on entend par là les accès des utilisateurs au système d’information.
• L’objectif naturel est de pouvoir répondre à tout moment : « Qui a accès à quelle application, à quelle ressource ? »
• Mais il est tout aussi important de pouvoir savoir « Pourquoi ? »
• La gestion des habilitations est un préalable à la réussite d’une politique de sécurité :– Les réglementations SOX, SAS70 imposent le cloisonnement des
rôles et la traçabilité des individus,
– Permet de responsabiliser la gestion des accès,
– De contribuer (participation ou délégation) à la gestion des habilitations des services concernés (RH, métiers).
20© NTI - 2012
www.nti-sa.com 20
Préconisation
21© NTI - 2012
www.nti-sa.com
Sommaire : Préconisation
� Pourquoi, quoi, qui ?
� Comment, quand, où ?
� Fonctions
� Acteurs
� Contexte légal, réglementaire et normatif
� Processus
� Services
� Données d’identité, comptes et droits
� Gestion de l’identité
� Gestion des rôles
� Gestion des habilitations
22© NTI - 2012
www.nti-sa.com 22
Architecture cible
23© NTI - 2012
www.nti-sa.com
Préconisation
• Revoir l’ensemble du processus de gestion des droits dans une architecture autour de quatre briques :
– Gestion de l’identité : Référentiel des identités numériques, gestion du cycle de vie…
– Gestion des rôles : métier, technique, intégrant les contraintes d’architecture, d’infrastructure,
– Gestion des habilitations,
– Gestion des ressources.
• Et d’un ensemble de Workflow pour orchestrer l’ensemble.
• L’architecture doit prendre en compte les différents besoins des autres BU.
24© NTI - 2012
www.nti-sa.com
Pourquoi, quoi, qui ?
Pourquoi ?Gérer efficacement et de façon
sécuritaire les données permettant d’identifier les utilisateurs du SI
Contrôler les accès aux actifs logiques et physique de l’entreprise tel que définit
dans la politique sécurité
Objectifs
FonctionsQuoi ?
Qui ?Acteurs
Acteurs
ADP
25© NTI - 2012
www.nti-sa.com
Fonctions
26© NTI - 2012
www.nti-sa.com
Comment, quand, où ?
Comment ?Quand ?
Où ?
Contexte légal,réglementaire et normatif
Lois encadrant l’accès et la conservation des données
Politique de sécurité d’ADP
Normes internationales en matière de sécurité des technologies de l’information, (SOX, SAS70..)
Modèles d’accès normalisés(ex : RBAC)
Règles :• Identification et authentification des utilisateurs• Durée de vie des identifiants• Typologie des profils d’accès• Etc.…
Bases de données
RéférentielIdentité
Journauxd’activité
Règles d’habilitations
Comptes utilisateurs
Profils d’accès
Processus
Services
27© NTI - 2012
www.nti-sa.com
Contexte légal, réglementaire et normatif
Contexte légal,réglementaire Lois concernant le
cadre juridique des technologies de l’information
Loi sur la protection des données
personnelles (CNIL…)
Loi sur l’archivage (durée de
conservation…)
Contrat de travail, relation commerciale
Politique de sécurité Architecture d’entrepriseSystème de gestion de la sécurité de l’information
Normes ISO 17799, ISO 27001…
Modèles d’accès (ex RBAC)Séparation de fonction
ITIL,SOX(Cobit), SAS 70, SaaS…
Gestion des sources de
données d’identité
Identification et authentification des
utilisateurs
Gestion des rôles et profils d’accès
Gestion des habilitations
Normes et modèles
Politique et orientation
Règles de gestion
L’ensemble permet :
28© NTI - 2012
www.nti-sa.com
Processus
� Changement organisationnel
� Changement de politique de sécurité
� Changement technologique
P2
� Analyser et planifier les profils d’accès
� Créer, modifier, désactiver les profils d’accès
� Révision des profils d’accès…
� Profils d’accès(créé, modifié, supprimé…)
Gérer les profils d’accès
� Arrivée nouveau collaborateur
� Changement dans les données d’identité
� Départ d’un collaborateur
� autres
P1
� Créer une identité
� Modifier une identité
� Activer une identité
� Modifier les mots de passe
� Traiter les doublons, homonymies…
� Identité (crée, modifiée, supprimée…)
� Identité activée� Mots de passe
modifiés� Doublons,
homonymies traites…
Gérerl’identité
� Demande du gestionnaire / manager
P3
� Attribution des profils/rôles
� Retrait des profils/rôles
� Modification des attributs d’un uilisateur
� Profils / rôles attribués
� Profils / rôles retirés
� Attributs modifiés…
Gérer l’habilitation
� Activité planifiée (audit, politique sécruité…)
� Risques identifiés� autres
P6
� Validation des identités
� Validation du contenu des profils, rôles
� Validation des droits et privilèges accordés
� Valider la conformité des données
� …
� Mise à jour des Identités
� Mise à jour du contenu des profils, rôles
� Mise à jour des droits et privilèges accordés
� …
Revue etCertification
� Tentative d’accès d’un utilisateur à un actif physique / logique
P5
� Authentifier les utilisateurs
� Contrôler les privilèges d’accès à un actif physique / logique
� Autoriser les accès à un actif physique / logique
� Accès autorisé à un actif physique / logique
� Accès refusé à un actif physique / logique
Gérer les accès
� Gestion des ressources
� Gestion des clients (ressources, offre, applications)
P4
� Gestion des périmètres
� Gestion des owners, des rattachements
� Gestion des restrictions
� Association rôle habilitation ressources
� Création/ modification périmètre
� Affectaionuser / perimètre…
Gérer les ressources
29© NTI - 2012
www.nti-sa.com
Services
Dossier d’identité • Création d’un dossier d’identité• Gestion de l’intégrité des
données• Gestion des doublons
Identité
Global User ID• Création/gestion de
l’identification unique• Gestion de la temporalité
Libre service • Preuve de l’identité• Initialisation du mot de passe• Gestion de la question secrète• Changement du mot de passe
S1 Habilitation
Gestion des habilitations• Définition, modification,
suppression des attribution de droits et/ou profils d’accès
S3 Revue / Certification
Consultation• Consultation des données
d’identité (personne, localisation, métier…)
• Consultation des profils définis (localisation, métier…)
• Consultation des profils d’accès attribués
• Consultation des accès
Traçabilité
Revue et certification• Revue des données et droits
attribués• Validation / révocation des
droits accordés• Conservation de ces
validations
S6
Rôles
Gestion des rôles• Définition, modification,
suppression des rôles
S2
Contrôle d’accès
SSO
Fédération d’identité
Authentification forte
S5
Ressources
Gestion des ressources• Définition, modification,
suppression des périmètres• Habilitation d’acteurs
S4
30© NTI - 2012
www.nti-sa.com 30
Préconisation :Gestion de l’identité
31© NTI - 2012
www.nti-sa.com
Préconisation : Gestion de l’identité (1/2)
• Mettre en place un référentiel d’identité centralisé avec :
– Un identifiant numérique unique « eternel » associé à une identité (physique) unique sans dépendance avec le cycle de vie privée (mariage, divorce…)
– La prise en compte des différentes sources d’annuaires (sources d’autorité) existantes,
– Prise en compte des différents flux agissant sur l’identité :
• RH (France, autre BU…),
• Services achats, prestataires…
• Intérimaires…
32© NTI - 2012
www.nti-sa.com
Préconisation : Gestion de l’identité (2/2)
• Etre capable d’identifier les personnes et les caractériser : organisation, profils, rôles...
– Inscription / création d’une identité,
– Modification de l’identité et des caractéristiques,
– Suppression d’identités,
– Création des liens entre les différentes identités numériques (identités multiples) d'un même utilisateur,
– Partage de données liées aux identités numériques (identités multiples) d'un même utilisateur (ou groupe d'utilisateurs),
– Définition des attributs susceptible d’induire la demande des ressources basiques (ex: tel, badge, messagerie…) associées.
33© NTI - 2012
www.nti-sa.com 33
Préconisation :Gestion des rôles
34© NTI - 2012
www.nti-sa.com
Préconisation : Gestion des rôles
• Réduction de la notion rôle métier actuel qui englobe trop de fonctionnalités
• Rationalisation des rôles sur le métier ou le besoin fonctionnel :
� Vision claire du rôle ou droit attribué,
� Pas d’interprétation erronée.
� Le rôle métier devient une combinaison :
�Différents rôles métiers ou non métiers,
�Différents droits basiques (accès internet, accès à des répertoires de service...)
�Différents droits techniques (ex : Admin système, réseau, bases de données…) .
35© NTI - 2012
www.nti-sa.com 35
Préconisation :Gestion des habilitations
36© NTI - 2012
www.nti-sa.com
Préconisation : Gestion des habilitations (1/3)
• Postulat habilitation :
� L’attribution d’un (ou plusieurs) rôle à un (ou plusieurs) utilisateur,
� Le retrait d’un (ou plusieurs) rôle à un (ou plusieurs) utilisateur,
� La délégation par un garant à un (ou plusieurs) utilisateur d’un rôle qui lui a été attribué (?)
� Le retrait par un garant de la délégation d’un (ou plusieurs) rôle attribuée à un (ou plusieurs) utilisateur,
� Les attributions, délégations de même que les retraits de rôles ou de délégation doivent pouvoir être paramétrés dans le temps.
37© NTI - 2012
www.nti-sa.com
Préconisation : Gestion des habilitations (2/3)
• Habilitation basique :
� Droit standard (Windows, messagerie…),
• Habilitation métier :
� Habilitation à 1 rôle métier exclusivement (?)
� Contrainte organisationnelle,
� Prise en compte des spécificités des segments.
• Prise en compte des métiers transverses
� Rôles transverses (Maladie, GTA…)
� Délivrer les droits « métiers » sur les applications liées à l’offre transverse
38© NTI - 2012
www.nti-sa.com
Préconisation : Gestion des habilitations (3/3)
• Gérer le périmètre « client » différemment (regrouper les clients selon des critères) :
� Selon les acteurs,
� Selon le nombre de clients pour les mêmes acteurs,
� Selon le contenu de l’offre et la profondeur,
� Selon la phase du client (MEP, production, changement d’offre)
� Selon la localisation…
• Gérer l’évolution des périmètres dans le temps (ex : modification de l’offre client …)
39© NTI - 2012
www.nti-sa.com 39
Plan d’Action
40© NTI - 2012
www.nti-sa.com
Sommaire : Plans d’action
• Gestion de l’identité
• Gestion des rôles
• Gestion des habilitations
• Gestion des ressources
• Provisioning
• Evolution de l’existant
41© NTI - 2012
www.nti-sa.com
Gestion de l’identité (1/2)
• Définition du référentiel central (Contenu, propriétaire…)
• Définition des sources d’autorité (France, autres BU…)
• Définition des workflows de gestion et d’alimentation
– Gestion des flux, des collisions, des homonymies, des doublons…
– Règles de gestion propres à ces contraintes,
– Intégration des contraintes nationales locales (CNIL…),
– Intégration de la temporalité dans le cycle de vie « identité »
42© NTI - 2012
www.nti-sa.com
Gestion de l’identité (2/2)
• Réconciliation des différentes sources d’identité numériques.
• Revue des identités :
– Validation des réconciliations, des homonymies,
– Revue du métier,
– Revue de l’ensemble des droits :
• Adéquation ou pas,
• Révocation de droits hors métier.
43© NTI - 2012
www.nti-sa.com
Gestion des rôles
• Redéfinir les rôles en s’appuyant sur le droit et le besoin
– Application, répertoire, accès Internet…
• Rester à un niveau macro pour l’attribution de droits, que ce soit métier, basique ou technique
• Donner la vue macro « rôle » (pas d’habilitation fine applicative) des droits et simplifier l’ensemble des processus « attribution / revue / révocation ».
44© NTI - 2012
www.nti-sa.com
Gestion des habilitations
• Définition des acteurs ayant accès à la gestion des habilitations
� Les demandeurs et/ou garant du droit (manager, habilité) pour des actions
� Les bénéficiaires pour le suivi
• Vision « plate » des droits délivrés
� Quoi, à qui, quand, dans quel rôle
45© NTI - 2012
www.nti-sa.com
Gestion des ressources
• Définition du référentiel central
– Contenu, propriétaire…
– Regroupement de l’ensemble des sources d’autorité.
• Définition du workflow de gestion et d’alimentation
– Gestion des flux, des collisions,
– Règles de gestion propres à ces contraintes.
46© NTI - 2012
www.nti-sa.com 46
Evolution de l’existant
47© NTI - 2012
www.nti-sa.com
Evolution de l’existant
• S’appuyer sur les briques existantes pour évoluer vers la nouvelle architecture
– Référentiels identités existants (HR, Bases de données…)
– Référentiels ressources existants
– Gestion et délivrance de droits
– Portail d’accès
– Provisioning…
48© NTI - 2012
www.nti-sa.com 48
Plan projet
49© NTI - 2012
www.nti-sa.com
Plan projet
• Gestion des identités
• Gestion des rôles
• Gestion des habilitations
• Gestion des ressources
• Provisioning
Gestion des Ressources
Gestion des habilitations
Provisioning
Gestion des rôles
Gestion des identités
50© NTI - 2012
www.nti-sa.com
Plan projet : Gestion des identités
• Gestion des identités
Création de l’annuaire de référence ADP (ARADP)
Définition/mise en œuvre des procédures / workflow
Validation des différents workflows
Procédures d’alimentation et réconciliation dans ARADP
Gestion des homonymies
User Identity Review
Intégration des différents workflows dans les BU
Conduite du changement
51© NTI - 2012
www.nti-sa.com
Plan projet : Gestion des rôles
• Gestion des rôles
Définition des rôleset des owners
Définition/mise en œuvre des procédures / workflow
Validation des différents workflows
Procédures de révision des rôles
Rules Review
Intégration des différents workflows dans les BU
Conduite du changement
52© NTI - 2012
www.nti-sa.com
• Gestion des Habilitations
Plan projet : Gestion des Habilitations
Création du référentiel habilitations ADP World wide
(reprise existant)
Définition/mise en œuvre des procédures / workflow
User Account Review
Conduite du changement
Intégration des différentes BU
Formation
Analyse /reprise de l’existant
�
�Analyse des écarts�
Analyse des écarts�
53© NTI - 2012
www.nti-sa.com
Plan projet : Gestion des Ressources
Création de l’annuaire deressources
Définition/mise en œuvre des procédures / workflow
Validation des différents workflows
Intégration des différents workflows dans les BU
Conduite du changement
Analyse /reprise de l’existant�Analyse des écarts�
• Gestion des Ressources
54© NTI - 2012
www.nti-sa.com
Plan projet : Provisioning
Analyse des impacts
Intégration identifiant unique rôle
Modification des procédures de Provisioning dans Co ntrol Sa
POC Portefeuille
POC Agence
Intégration des différents Workflow dans les BU Conduite du changement
Intégration base client / Cie ID
�
�
Rapprochement et migrationDroits métiers / portefeuille / Agence
� base client / Cie ID
Analyse /reprise de l’existant�
Analyse des écarts�
• Provisioning
55© NTI - 2012
www.nti-sa.com 55