Social : première mise en production d’Interops
| Rédigé par Jean-Claude Streicher le Mardi 19 février 2008 |
Les portails et les applications des organismes de protection sociale sont maintenant interopérables. Les agents vont pouvoir accéder de l’un à l’autre sans devoir se réauthentifier à chacune de leurs requêtes.
Un ambitieux projet de la modernisation de l’Etat entre en phase de production : celui de l’interopérabilité des systèmes d’information des OPS (Organismes de protection sociale) (CNAV, CNAF, CNAM, MSA, RSI,…). Pour consulter les données des assurés sociaux, leurs agents vont maintenant pouvoir accéder de l’un à l’autre sans avoir besoin de se réauthentifier à chacune de leurs requêtes. Grâce à des web services ouverts, sécurisés et normalisés.
Le projet, initié par la DSS (Direction de la Sécurité Sociale), remonte à 2004. Il est passé par une longue phase d’étude, de spécification et d’expérimentation, qui a également associé le GIP-MDS (Modernisation des données sociales) et le GIP Info retraites. La DGME en a vérifié la conformité avec son RGI.
Cette interopérabilité est régie par deux référentiels techniques, dont c’est la première mise en production en France : Interops-P, pour la navigation de portail à portail via le web, et Interops-A, pour l’échange d’application à application, par le moyen des web services. Il s’agit bien sûr de référentiels à vocation générique, appelés à être utilisés dans d’autres groupements d’applications ou portails de portails.
L’établissement d’une convention juridique entre l’organisme client et l’organisme fournisseur est la condition sine qua non à l’ouverture en production des échanges en mode Interops. Cette convention stipule entre autres le domaine fonctionnel applicable ainsi que les Profils applicatifs génériques métiers (PAGM) autorisés par le fournisseur de service et que le client devra respecter.
Pour réaliser l’authentification unique, ces référentiels préconisent de transporter les habilitations des agents (leur identité, leurs droits et leur authentification) dans une assertion SAML signée, basée sur XML et développée par le consortium international Oasis. Le transport est lui-même sécurisé par un tunnel SSL. Quant à l’authentification, elle doit combiner les certificats serveurs, les certificats clients SSL v3 et les certificats de signature. En attendant l’utilisation d’une PKI commune, les organismes peuvent utiliser leur propre PKI ou choisir de s’appuyer sur un opérateur privé (Verisign, Thawte,…) pour générer les certificats idoines.
Le GIP-MDS a mis en oeuvre un serveur de jetons de version 3, générant et vérifiant des vecteurs d’identité (assertion SAML) pour les organismes qui ne souhaitent pas implémenter leur propre solution. Ce serveur initialement développé par Silicomp-AQL, est aujourd’hui exploité en TMA par Dictao. Dictao a également animé les groupes de travail Interops (expertise SAML et web services) et participé à la rédaction des spécifications du standard.
Nous sommes désolés, les commentaires pour cet article sont fermés.
