mardi 20 novembre 2007

Définir les rôles métiers ?

Définir les rôles métiers est-elle une étape nécessaire d'un projet d'IAM? La réponse à cette question est importante car certains en font un des enjeux du projet. Or cette étape peut être extrêmement difficile à réaliser. Pour autant, le projet d'IAM est-il voué à l'échec?

Avant de décrire comment on peut définir les rôles métiers, il est intéressant de revenir sur le modèle RBAC. L'objectif de ce modèle (défini par le NIST) est de factoriser l'attribution de droits d'accès à des ressources à un utilisateur afin d'éviter N relations entre les droits d'accès et l'utilisateur. Pour ce faire, le modèle introduit la notion de rôle qui permet d'effectuer des regroupements logiques de droits pour ensuite attribuer ces rôles à un utilisateur. Il est clair que cela simplifie les liens entre l'utilisateur et les droits d'accès.

Plusieurs méthodes existent pour définir les rôles métiers au sein d'une entreprise :
- la méthode top-down qui consiste à définir de manière théorique ces rôles métiers et à les appliquer directement sur le SI. Cette méthode a pour principal inconvénient de ne pas tenir compte de l'existant.
- la méthode bottom-up qui, au contraire de la précédente, effectue l'analyse de l'existant en s'appuyant sur des outils de role mining. Ces derniers explorent les bases utilisateurs du SI, effectuent des "calculs savants" pour déterminer les regroupements existant de droits d'accès. Cette méthode a plusieurs défauts : elle ne remet pas en cause l'existant, les regroupements de droits d'accès ne correspondent pas forcément à des rôles métiers.
- la dernière méthode consiste à combiner les deux précédentes et à confronter la théorie avec le relevé de l'existant. Cette méthode semble la mieux adaptée, pourtant, elle est loin d'être simple à mettre en oeuvre.

Les grands comptes français ont des SI complexes, une organisation complexe et un historique complexe. Il n'est pas rare que des personnes aient par exemple des droits pour des raisons historiques (dont personne ne se souvient), voire des passe-droits....
La méthode doit être alors appliquée à un périmètre limité d'applications (et non aux centaines, voire milliers d'applications de l'entreprise).
Définir de manière théorique les rôles métiers au sein de l'entreprise peut relever du sacerdoce et ne jamais se terminer d'autant plus que le métier de l'entreprise évolue.

Dès lors du fait que ce processus est long et jamais terminé, il est préférable de ne pas mettre en pré-requis la définition des rôles métiers pour lancer un projet IAM, voire ne pas en faire un enjeu du projet car le risque d'échec est élevé.

Au pire, si aucun rôle métier n'existe au moment où l'infrastructure IAM devient opérationnel en production, on créera un rôle pour un droit (parfois profil aussi en français) de façon bijective et au fur et à mesure de la définition des rôles, on ajoutera ces derniers en production.

lundi 19 novembre 2007

Démystifier la gestion des identités

Le magazine 01 Informatique du 15/11/2007 publie un dossier complet sur la gestion des identités. La lecture de ce dossier est relativement étonnante : intégrateurs, consultants et éditeurs ont l'occasion de démontrer que la gestion des identités est quelque chose de réalisable et non d'utopique. Or ce qu'il ressort de ce dossier, c'est que la gestion des identités est complexe, voire immature. De quoi faire peur et mettre son projet en standby pour quelques temps. Il apparait donc important d'effectuer quelques retours sur ce dossier. Pour ce faire, je reprendrais un à un chacun des thèmes de ce dossier dans mes prochains messages.

Objectif de ce blog

L'IAM (Identity and Access Management) prend une place de plus en plus grande dans nos SI (et le prendra encore plus demain avec l'avénement du partage de nos identités sur Internet). Sujet d'effervescence dans les blogs anglo-saxons, le présent blog a le humble souhait de partager et d'échanger un maximum d'informations avec les informaticiens francophones.