Un annuaire, un choix évident
Le casse-tête de la gestion des identifiants électroniques en entreprise
Il est habituel de nos jours de disposer d’ordinateurs et de tout un tas d’autres équipements informatiques au sein de nos entreprises connectés en réseau afin d’accéder à toutes les ressources de l’entreprise : serveurs d’impression, de fichiers, de courriers et autres applications de type client/serveur appelées applications distribuées. En outre, ces ressources informatiques peuvent interagir entre elles sur le même réseau local, ou entre des réseaux différents dans un intranet d’entreprise, au travers d’extranets (VPN) reliant des partenaires et des fournisseurs, ou bien même directement au travers d’Internet.
Cette multiplicité de services informatiques, bien qu’utile à l’entreprise, a cependant amené son lot de problèmes essentiellement lié en parallèle à l’accroissement du renforcement de la sécurité informatique en entreprise. En effet, l’ouverture des réseaux d’entreprises à Internet pour des besoins de productivité, de commerce et de restructuration géographique a demandé aux administrateurs informatiques de renforcer la sécurité aussi bien au niveau des flux réseau (via les firewalls) qu’au...
La centralisation des identités électroniques
Afin de répondre à cette problématique, la solution la plus adéquate serait de centraliser ces identités électroniques et ainsi, dans le cas de l’entreprise présentée précédemment, cela reviendrait donc à gérer seulement une dizaine de comptes sur un seul et unique serveur, qui serait sollicité par les autres serveurs du réseau lorsqu’un utilisateur voudrait se connecter à l’un d’entre eux.
La centralisation des comptes utilisateurs à partir d’un seul serveur du réseau apporterait donc les bénéfices suivants :
-
Gestion des tâches administratives réduites et simplifiées :
-
Une identité électronique par utilisateur.
-
Un serveur unique pour administrer ces identités (ex. déverrouillage).
-
Accroissement de la sécurité :
-
Centralisation des comptes par une source unique et certifiée.
-
Application forcée d’une politique de mot de passe centralisée.
-
Traçabilité des connexions individuelles .
-
Facilité de gestion également pour les utilisateurs :
-
Un seul compte pour se connecter aux différents systèmes d’information informatiques.
-
Gestion d’un seul et même mot de passe.
Et bien entendu, tous ces bénéfices...
Les annuaires
Ainsi, afin de centraliser ces identités électroniques, quoi de mieux que d’utiliser un annuaire... car un annuaire est un recueil d’informations sur un type d’objets disposés dans un ordre (par exemple alphabétique) donnant une multitude d’informations sur chacun des objets. L’exemple le plus parlant est l’annuaire téléphonique d’une ville où les objets répertoriés sont des personnes ; ces personnes sont classées par leurs noms de famille par ordre alphabétique et les détails donnés sur chaque personne sont leur adresse et leur numéro de téléphone.
Et dans ce cas, l’annuaire stockera les identifiants électroniques du personnel de l’entreprise avec leurs propres informations sur leur fonction au sein de l’entreprise, mais surtout leurs mots de passe.
Annuaires vs mécanismes d’authentification
Au cours de l’expansion des applications distribuées et des ordinateurs en réseau, la sécurité informatique n’était pas considérée comme prioritaire. Et ainsi, l’authentification aux différents systèmes informatiques était réalisée avec des comptes partagés (tel que « administrateur » sous les systèmes d’exploitation Windows ou bien « root » pour Linux) dont les mots de passe étaient connus de tous avec parfois même des comptes sans mot de passe. Ainsi, tout un tas de services et de programmes informatiques fut développé sans intégrer de mécanismes d’authentification et encore moins d’applications ou d’architectures d’authentification centralisées. En revanche, des services d’annuaire ont vu le jour afin de répertorier les utilisateurs de l’entreprise avec des informations telles que leurs numéros de téléphone, leurs adresses postales et de courriers électroniques et d’autres informations liées à leurs fonctions dans l’entreprise, mais également permettant de recenser des informations sur le parc informatique de l’entreprise (ordinateurs, serveurs, adresses IP et adresses MAC, applications...)....
Annuaire vs base de données
Un annuaire est souvent décrit comme une base de données, mais c’est une base de données spécialisée qui présente des caractéristiques qui la distinguent des bases de données relationnelles traditionnelles. Une caractéristique fondamentale est que les annuaires sont utilisés essentiellement pour des fonctions de recherche d’informations et pas (ou peu) pour des actions de modification. C’est par exemple le cas dans d’un annuaire téléphonique utilisé par des particuliers recherchant les numéros de téléphone et/ou les adresses postales de personnes désirées. Les modifications sont, quant à elles, apportées chaque année, mais ne concernent que 10 % du contenu de l’annuaire. Cette caractéristique est aussi vraie dans le cas d’un annuaire informatique où les individus répertoriés conservent leurs numéros de téléphone et leurs adresses e-mails pendant toute la durée de leur contrat, ou bien les ordinateurs qui conservent leurs informations d’adressage IP et leurs noms.
Ainsi, comme ils doivent supporter un important volume de demandes en lecture, ils sont généralement optimisés pour ce genre d’accès. L’accès en écriture peut quant à lui être...