8. Gestion des identités et Open Source
En guise d'avant propos :
●
●
●
●
La gestion des identités est un « métier » (au
même titre que l'ERP par exemple).
Les enjeux sont complexes et les difficultés
multiformes (pas seulement techniques...).
L'existant est très souvent propriétaire et
obsolète mais il faut faire avec...(évolution vs
révolution).
Les intervenants doivent impérativement être
des « seniors ».
9. État des lieux de l'offre
De nombreuses solutions :
-Annuaires : OpenLDAP, ApacheDS, RH DS, OpenDJ...
-SSO/Fédération : OpenAM, CAS, OpenID, Oauth, Shibboleth....
-Provisioning : LSC, LinID, OpenIA,...
Mais souvent :
hétérogènes et non inter-opérables, complexes à mettre en
oeuvre, de qualité médiocre, mal documentées et mal
supportées, peu industrialisées/industrialisables, peu robustes,
de faible performance...
=> les sempiternels reproches faits au monde Open Source
10. La suite I3 : maturité des composants..
OpenDJ : produit mature, robuste, performant,
industrialisation excellente, la « rolls » des annuaires open
source (ou non...)...La possibilité de l'intégrer comme
« boite noire » dans un produit...
●
OpenAM : produit mature, robuste, performant, installeurs
à peaufiner... OpenIG un peu jeune mais prometteur
●
OpenIDM : produit jeune, conception moderne, workflows à
compléter....
●
=> support éditeur de grande qualité, un plus évident pour
remporter l'adhésion de nos clients grands comptes..
11. Quelques projets récents
●
●
●
Bank X : OpenAM, OpenDJ, OpenIG - 2,5 M users, architecture,
déploiement, audit de performance, assistance à la mise en
production....
Gouvernement : OpenAM, OpenDJ - consulting architecture,
déploiement, développement (registration and management modules)
Agence Gouvernementale : consulting, best practices d'implémentation,
audit de performances
●
Telecom : POC OpenAM pour provisionning de cartes SIM..
●
Bank Y : OpenDJ – Formation et audit de performance
●
●
Service : OpenAM – intégration, best pratices et formation des
développeurs
Éditeur de logiciel : OpenIG - POC
12. Projet Banque « X »
●
●
●
Migration de Sun Access Manager vers OpenAM. Plans
pour la fédération SAML et authentification OTP.
Les utilisateurs sont les clients des banques régionales (plus
de 20 unités)
Réalisations (sur plus de 2 années à temps plein)
- Conception de l'architecture (système de gestion des
accès, annuaires et approvisionnement)
- industrialisation
- déploiement et support
●
La sécurité est primordiale : Plusieurs couches Hard & Soft
14. Gouvernement
●
●
Plateforme de gestion des Accès pour les services en ligne
pour les citoyens (plus de 100 000 comptes)
Module d'enregistrement développé spécifiquement pour les
besoins du client :
- Auto enregistrement en 2 étapes avec confirmations
- Captcha audio et texte
- Annulation automatique en cas d'absence de confirmation
- Fourniture d'un Service Web pour les applications backend
●
H.A. : basculement de session, équilibrage de charge
17. Projets de Gestion des Identités : synthèse
●
●
●
Les projets sont complexes, il faut arriver à faire travailler
ensemble tous les « silos » étanches et concurrents d'une
DSI...50 % du travail n'est pas technique mais relève du
psychologue ou du casque bleu..
Importance de l'existant (passif) souvent propriétaire mais
immuable – il faut aux intervenants une grande « culture
générale » informatique, un « vécu » important....
Le « réseau » est une plaie, pas un projet ou nous n'ayons
rencontré des problèmes liés.... très souvent, un « silo » à part (et
mal maîtrisé) dans les DSI
=>Très souvent, un projet de gestion des identités met le doigt là
où « ça fait mal » et met en avant les dysfonctionnements majeurs
des organisations, les trous de sécurité, etc...
18. Qui sommes nous ?
• Société de consulting et de services en logiciels libres (SS2L), éditeur
fondée en 2004 à Sophia Antipolis
• Consulting, implémentations et déploiement de solutions de gestion
d'identités (provisioning, workflows, synchronisation, SPML v2, audit et
conformité), de contrôle d'accès et gestion des droits (SSO, CDSSO, eSSO,
fédération, authentification forte, PKI, délégation d'administration).
• Expertise en annuaires LDAP (OpenLDAP, Sun DSEE, OpenDJ, Red Hat
directory server) et besoins connexes comme la gestion de contenu ou les
interfaces d'accès aux annuaires.
• Etudes d'opportunités et accompagnement à la migration Open Source,
déploiement de solutions d'infrastructures.
• Editeur des logiciels LDAPTools, Jaguards, EZslony et CmakeBuilder.