Services de confiance et gestion des identités : qui fait quoi ?
| Rédigé par Jean-Claude Streicher le Vendredi 7 mars 2008 |
Pour la gestion des identités, en liaison avec les services de confiance, plusieurs approches sont possibles, comme en témoignent les offres de Keynectis, Ilex et Linagora.
Keynectis a fait le choix de la spécialisation. Il propose sa propre technologie de PKI, la plate-forme Sequoia, qui gère et distribue les signatures et les certificats électroniques. Celle-ci peut être opérée par lui-même pour le compte de tiers, ou installée chez le client qui va alors l’exploiter directement. Mais Keynectis n’a pas cru devoir la compléter d’une gestion des identités, centralisant l’attribution des droits d’accès des utilisateurs aux ressources et applications (IAM, Identity and Access Management) et autorisant éventuellement leur authentification unique (SSO, Single Sign-on).
« Sequoia, explique Thibaut de Valroger, directeur commercial de Keynectis, est suffisamment standard et ouvert pour s’interfacer avec les principaux IAM ou annuaires du marché, qui savent d’ailleurs fonctionner maintenant avec des certificats ». La PKI peut donc se coupler directement à l’AIM r12 de Computer Associates, l’IAM Suite d’Evidian ou l’Active Directory de Microsoft. Ceux-ci pourront même cohabiter au sein d’une même organisation. C’est le cas notamment d’EADS, qui déploie actuellement une PKI Sequoia unique pour l’ensemble de ses 120 000 salariés dans le monde : il n’obligera pas ses différentes entités à prendre le même outil de SSO, même si Active Directory est déjà le plus largement utilisé.
« Ce projet de PKI sera très structurant pour l’avionneur », souligne Thibaut de Valroger. Il uniformisera les moyens d’accès aux applications et réduira les pertes de productivité dues leur trop grande hétérogénité. Il permettra également à EADS d’entrer dans l’espace de confiance Certipass, créé par les Etats-Unis pour la gestion des marchés aéronautiques et de défense. Keynectis vient également d’installer Sequoia avec une gestion des identités tierce chez TDF pour la sécurisation de ses échanges avec ses partenaires (bons de commandes et factures dans un premier temps).
Ilex, par contre, suit une démarche plus transversale. Il a conçu la PKI du GIP-CPS (Carte de professionnel de santé), puis Sign&go Santé, solution de SSO permettant à ces professionnels de santé d’accéder au moyen d’une authentification quotidienne unique aux données patients comme aux applications de l’hôpital via leur carte CPS et l’annuaire du GIP-CPS. A partir de là, a ensuite été déclinée une offre Sign&go pour les entreprises.
Ilex a également conçu l’outil Meibo, qui permet de réaliser des applications web de gestion d’annuaires. Déjà beaucoup utilisé dans les ministères, celui-ci a également été retenu pour le projet Maia2 d’annuaire des personnels de l’Etat. Là-dessus, enfin, Ilex a créé en Java un IAM très complet pour les collectivités territoriales, Meibo People Pack, plus souple et plus économique que les grands IAM du marché. Celui-ci compte déjà plusieurs références et peut être couplé à n’importe quelle PKI.
Linagora, qui a créé sa propre plate-forme Open Source de services de confiance, rejoint Ilex sur la nécessité de fournir des IAM réellement ouverts et moins chers. Cinq de ses développeurs peaufinent donc depuis 2002 une gestion des identités Open Source, dite InterLDAP, par conséquent gratuite, dont la SSLL peut assurer l’intégration et l’architecture. InterLDAP fournit un accès de type pages jaunes/pages blanches aux données d’un annuaire LDAP du marché ou Open Source (OpenLDAP). Il vient de migrer sur les frameworks J2EE les plus récents (dont Spring, Tapestry et Maven) afin de permettre la création d’une plus grande variété de services web.
InterLDAP a déjà été mis en oeuvre à l’Université Pierre et Marie Curie et à la BPI du Centre Georges Pompidou, mais pas encore en entreprise. Linagora, par contre, intervient actuellement sur les projets d’annuaire haute disponibilité d’Orange et de Carrefour. Il y intègre des serveurs de gestion de pannes Open Source LVS et Keepalive.
A travers son projet Feder ID, la SSLL se positionne enfin sur la fédération d’identités, basée sur les standards d’échange de données d’authentification Liberty Alliance et SAML. L’authentification unique SSO serait alors déléguée à un serveur d’identités, commun à un nombre illimité d’applications hétérogènes. Elle reposerait sur les briques Open Source Authentic, LemonLDAP et InterLDAP.
Nous sommes désolés, les commentaires pour cet article sont fermés.
