Architecture des services d'annuaire du gouvernement du Canada - Présentation du Comité consultatif sur le cadre d'architecture Le 4 novembre 2013
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Architecture des services d’annuaire du
gouvernement du Canada
Présentation du Comité consultatif sur le cadre d'architecture
Le 4 novembre 2013
1
Ordre du jour
HEURE SUJETS INTERVENANTS
Mot d’ouverture Benoît Long, président
De 9 h à 9 h 15
Wade Daley, vice-président
Objectif de la réunion
d'aujourd'hui
Architecture des services Gail Eagen, directrice générale
De 9 h 15 à 9 h45
d'annuaire
Présentation
De 9 h 45 à 10 h Pause santé
Gail Eagen, animatrice
De 10 h à 11 h45
Discussion Benoît Long, modérateur
Tous
Mot de la fin président
De 11 h 45 à 12 h
Prochaine réunion :
décembre 2013 ou janvier 2014
(début)
2
Gouvernement du Canada : énoncé du problème concernant la gestion de
l’identité, des justificatifs d'identité et de l‘accès*
• Le gouvernement du Canada (GC) ne gère pas adéquatement les renseignements
sur l'identité des employés et des consultants, avec pour conséquences :
• une augmentation des coûts en raison de la multiplicité des annuaires et des
mécanismes d'authentification à l'échelle de tous les ministères;
• un approvisionnement lent des utilisateurs, par conséquent, une diminution de la
productivité;
• une mise à jour non fiable des utilisateurs, ce qui augmente les risques pour la
sécurité;
• Une incapacité de partager les attributs d'identité du ministère ou de l'organisme
(comme les cotes de sécurité) qui empêche le partage d'information ou l'accès
aux immeubles pour des réunions entre les ministères et organismes du GC;
• un élément préalable doit être en place pour que Services partagés Canada
(SPC) permette la prestation de services en matière de TI;
• un élément préalable doit être en place pour assurer le service de gestion de
l’identité, des justificatifs d’identité et de l’accès (GIJIA); et
• les services d'annuaire ne sont pas bien compris, et que le GC n'a pas de
lexique, de taxonomie ou de terminologie commune convenus pour décrire les
services d'annuaire.
*Source : Secrétariat du Conseil du Trésor du Canada (SCT)
3
Les services d'annuaire sont fondamentaux
L'annuaire est un élément stratégique de la GIJIA;
cependant, l'annuaire en lui-même est au cœur de la
prestation de services de TI. Les objets et les artéfacts de
l'annuaire comprennent des personnes et des attributs
justificatifs requis pour la GIJIA ainsi que plusieurs autres
objets et attributs requis pour exploiter un service de TI.
Logistique de la prestation GIJIA
des services de TI
Services d’annuaire
4
Service d'annuaire : le centre de renseignements du
Service de TI
Utilisateurs Serveurs Clients
Applications Dispositifs de
Annuaire réseau
Serveurs de Services de pare-
courriel feu
« Accès annuaire »
5
Nombreux objets différents avec multiples attributs
• Nombreux objets différents.
• Tous les aspects de la plateforme
de services de TI.
• Nombreux attributs par objet.
• Différentes conventions
d’appellation pour les objets et
les attributs.
• Différents processus,
différentes politiques.
6
Annuaires :
Diverses applications, complexité, mission essentielle
• Différents schémas.
• Différentes conventions
d’appellation pour les objets.
• Différentes conventions
d’appellation pour les
attributs.
• Différentes technologies des
fournisseurs.
• Essentiels pour garantir une
prestation générale adéquate
des services de TI.
• Les applications existantes
sont complexes.
• Différents processus,
différentes logistiques et
politiques.
7Annuaire GC : situation actuelle
Pas d’annuaire à l’échelle du gouvernement = Pas de services à l’échelle du
gouvernement
• Pas de centre de données (CD), d’appareils technologiques en milieu de travail, de GIJIA et
d’infrastructure réseau d’annuaire, etc.
• La plupart des annuaires donnent une vue d’ensemble des ministères.
• Les Services d’annuaires gouvernementaux électroniques (SAGE) et l’initiative de modernisation des
services de paye sont des exceptions.
• Annuaires distribués principalement en fonction des multiples objets ministériels (attributs)
• Conçu pour un service axé sur le ministère
SAGE (attributs de l’employé)
Modernisation de la paye (Attributs de la paye) … x 43 ministères et
Min. A Min. B Min. C Min. D Min. N organismes partenaires
• Plus de 200 annuaires
• La plupart utilisent Active
Directory de Microsoft, avec
Composants
des applications
le protocole allégé d’accès
Réseau
Justificatifs
Attributs de Composants annuaire (LDAP), Oracle,
Employés
Réseau
Composants
Composants Composants
Novell et X.500.
Réseau
Réseau
Composants
• Différents objets, éléments,
Composants
CD & Réseau
conventions d’appellation,
Composants
Justificatifs des
Employés
CD
applications
Employés
CD
des applications
fournisseurs et schémas.
Attributs de
Politiques
Composants
sécurité
Justificatifs
Employés
Attributs de
sécurité
Employés
• Différents processus,
sécurité
CD
CD
différentes politiques et
logistiques.
8Approche du service d’annuaire à l’échelle du gouvernement :
Option 1 – Approche « Big Bang »
État final des
annuaires
Ampleur des données
(Nombre d’utilisateurs)
État actuel
des annuaires
Étendue des données
(Nombre d’attributs synchronisés)
9Approche à l’échelle du gouvernement concernant les services
d’annuaire : Option 2 – Approche progressive fondée sur les possibilités
Étape 5
Prochain changement progressif
Étape 4
Prochain changement progressif
Étape 3
Ampleur des données
(Nombre d’utilisateurs)
Prochain changement progressif (GIJIA)
Étape 2
D’avantage d’employés, d’attributs
et de services
(Prochain changement progressif – RGC)
Étape 1
Petit sous-sensemble d’employés,
d’attributs et de services
(Initiative de transformation des courriels)
Étendue des données
(Nombre d’attributs synchronisés)
10Questions visant à favoriser la discussion
1. Un annuaire à l’échelle du gouvernement a-t-il déjà été créé dans de
multiples plateformes et/ou de multiples ministères et organismes?
2. Quelles normes pourraient être appliquées pour ce qui est de la
création d’un annuaire à l’échelle du gouvernement et de la prestation
de services de synchronisation d’annuaire décrits dans la
présentation précédente?
3. Connaissez-vous le modèle de données des annuaires à l’échelle du
gouvernement à la fine pointe de la technologie (conceptuel et
logique)?
4. Y a-t-il des leçons retenues ou des stratégies recommandées à
appliquer au rapprochement de différentes sources de données qui
contiennent certains renseignements contradictoires, essentiellement
dans le but de nettoyer les différents systèmes sources au fil du
temps?
11Questions visant à favoriser la discussion
5. Quelles technologies ou pratiques exemplaires peuvent être
appliquées pour résoudre le problème de collision de noms
identiques et de confusion de noms dans une organisation
composée de ministères et d’organismes diversifiés comme le
GC?
6. Quels sont les principaux avantages et inconvénients à
maintenir la diversité des fournisseurs dans le domaine des
services d’annuaire à l’échelle du gouvernement dans les
multiples ministères et organismes du GC?
7. Recommanderiez-vous une approche « big bang » ou une
approche progressive pour mettre en place un service
d’annuaire à l’échelle du gouvernement?
12Annexe
13Différence entre la gestion d’identité et les services d’annuaire
Définition des services d’annuaire, selon Wikipedia
Un service d’annuaire est une infrastructure d’information partagée servant à repérer,
gérer, administrer et organiser des éléments communs et des ressources de réseau, qui
peuvent comprendre des volumes, des dossiers, des fichiers, des imprimantes, des
utilisateurs, des groupes, des appareils, des numéros de téléphones et d’autres objets. Le
service d’annuaire est un composant important d’un système d’exploitation de réseau
(SER). Dans les cas les plus complexes, le service d’annuaire est le centre de
stockage de données de la plateforme de prestation de services. Par exemple, la
recherche d’ordinateurs au moyen du service d’annuaire pourrait générer une liste des
ordinateurs disponibles et de renseignements pour y accéder.
L’annuaire est la technologie qui nous permet d’associer tous les objets que nous gérons;
l’utilisateur n’est qu’un utilisateur parmi tant d’autres. Il ne suffit pas de connaître votre
identité et de vous authentifier lorsque vous vous connectez. Chaque fois que vous
accédez à une ressource sur le réseau, le système doit connaître votre identité et être en
mesure de rechercher des attributs et des valeurs qui y sont associés. Cela signifie que
tous les objets doivent exister dans un annuaire commun ou dans des annuaires qui ont
établi un lien de confiance entre eux.
14Différence entre la gestion d’identité et les services d’annuaire
Définition de la gestion d’identité, selon Wikipedia
La gestion de l’identité décrit la gestion des renseignements personnels, de leur
authentification, de l’autorisation et des privilèges associés au système et aux limites
de l’entreprise dans le but d’augmenter la sécurité et la productivité tout en réduisant
les coûts, le temps d’indisponibilité et les tâches répétitives.
Les systèmes de gestion de l’identité, des produits, des applications et des
plateformes régissent l’identification et les données auxiliaires à propos des entités
qui incluent les personnes, le matériel informatique et les applications.
Les technologies, les services et les termes liés à la gestion de l’identité
comprennent les services d’annuaire, les fournisseurs de services, les fournisseurs
d’identité, les services Web, les contrôles d’accès, les identités numériques, les
gestionnaires de mots de passe, l’authentification unique, les services de jetons de
sécurité, les flux de travaux, le système OpenID, les protocoles WS-Security, WS-
Trust, SAML 2.0, OAuth et RBAC [Role-Based Access Control].
La gestion de l’identité couvre des questions telles que la façon dont les utilisateurs
obtiennent une identité, la protection de cette identité et les technologies à l’appui de
la protection (p. ex. les protocoles de réseau, les certificats numériques, les mots de
passe, etc.).
15Terminologie des annuaires
En informatique, un objet correspond à un emplacement dans la mémoire qui a une
valeur et auquel renvoie un identificateur. Un objet peut être une variable, une fonction
ou une structure de données.
Les objets sont regroupés en deux grandes catégories : les ressources (p. ex. les
imprimantes) et les principes de sécurité (comptes et groupes d’utilisateurs ou
d’ordinateurs).
En sécurité informatique, un commettant (de l’anglais « Principal ») désigne une
entité qui peut être authentifiée par un système informatique ou un réseau.
Les commettants peuvent être des personnes, des ordinateurs, des services, des
entités informatiques, comme des processus ou des processus élémentaires, ou tout
regroupement de tels éléments. Ils doivent être identifiés et authentifiés avant de se
voir accorder des droits et privilèges à l’égard des ressources dans un réseau. Un
commettant a généralement un identificateur associé (comme un identificateur de
sécurité) qui lui permet d’être référencé pour identification ou d’obtenir des propriétés
et des autorisations.
16Éléments de la GIJIA au GC*
Gestion de Gestion de
l’Identité l’Accès
• vérification des données • gestion des ressources
• intégration • gestion des privilèges
• attributs documentés • gestion stratégique
• gestion du cycle de vie de • accès logique
l’identité et des attributs • accès physique
Gestion des
Justificatifs
• parrainage
• inscription
• création des justificatifs
d’identité aux multiples
niveaux d’assurance
• délivrance
• gestion du cycle de vie des
justificatifs d’identité
Une identité ayant de nombreux attributs peut être liée à deux ou trois justificatifs
et à de nombreuses ressources.
*Source : Secrétariat du Conseil du Trésor
17Gestion de l’identité – la GIJIA au GC*
Gestion de
l’identité
• vérification des données
• intégration
• attributs documentés
• gestion du cycle de vie
de l’identité et des Blackberry à Base de
attributs
l’échelle du
PBX données sur les
gouvernement Telecom langues
Vérification des
données officielles
Bases de
Nouvel examen du Nouvelle gestion
données d’accès
centre de stockage du cycle de vie de au réseau
de l’identité l’identité numérique (p. ex. Active
Directory)
Intégration Création d’attributs
documentés
Bases de
données des
Contractor Departmental installations
Bases de Bases de données
DBs des
données HR DBs
Des RH du
Bases de
entrepreneurs Ministère Fourniture
dossier de données de paye
Répertoires de personnes paye
*Source : Secrétariat du Conseil du Trésor
18Solution provisoire proposée pour l’Initiative de transformation des
services de courriel
• SPC souhaite réduire le nombre d'annuaires qu'il gère.
• Lorsque des annuaires sont entièrement intégrés dans un produit d'un fournisseur (comme
un annuaire propriété de l‘Initiative de transformation des services de courriel (ITSC)), ces
annuaires sont approvisionnés par un annuaire de base de SPC destiné à un usage
général.
• Bien entendu, SPC ne peut réduire ce nombre à un seul.
• C'est pourquoi le projet des services d'annuaire à l’échelle du gouvernement du
GC :
• poursuit des objectifs à court terme – du moins jusqu'à ce que le GC trouve une solution
globale au problème de gestion de l'identité.
• S'il est approuvé, ce projet sera réalisé de manière proactive conjointement avec le SCT (Direction du
dirigeant principal de l'information) pour s'assurer que la GIJIA du GC pourra avoir recours à ces
services à mesure qu'elle évoluera.
• Le service de synchronisation d'annuaire de la GIJIA du GC prendra en charge les
interfaces normalisées et pourra être utilisé par toute application de partenaires ou de
clients qui tient à jour ses données d'identité.
• Par exemple, le service de l’ITSC peut synchroniser des éléments d’identité de son propre annuaire
avec le service d’annuaire de base de SPC.
19Relations avec le service d’annuaire à l’échelle du
gouvernement*
Applications internes Applications externes Applications internes
Certificat Autorité de Certificat
Annuaire des
Annuaire à l’échelle Certification affaires électroniques
du gouvernement (AC) (Employés, partenaires)
Info sur le compte Adresse courriel
Annuaire de Services d’annuaire Annuaire
réseau Windows Sync Sync messagerie
Ajouts, Ajouts,
suppressions Suppressions identité
identité Annuaire des
Ajouts,
Sync
Adresse courriel
Numéro infrastructures
suppressions Autre Info
téléphone
identité
Autres bases Annuaire des RH
PBX (Telecom)
de données (PeopleSoft, SAP)
*Source : Groupe Burton
20Contexte actuel de l’annuaire du GC
Applications internes Applications externes Applications internes
Certificats Annuaire (employés)
AC internes
Internal
InternalCA ICM / FINDS X.500
ICP X.509
CA
Annuaires de Pas de service d’annuaire à Annuaires messagerie
réseau Windows l’échelle du gouvernement pour
(Active Directories) Pas de synchronisation partenaires (Échange)
d’annuaire Annuaires des infrastructures
des partenaires(Échange)
Annuaires des RH
Nouvel* examen du (PeopleSoft, SAP)
centre de stockage
SAGE
de l’identité
21Service proposé d’annuaire à l’échelle du gouvernement au
GC
Applications internes Applications externes Applications internes
NOUVEL annuaire Certificats Annuaire (employés)
Certificats
AC internes
Internal
InternalCA ICM / FINDS X.500
ICP X.509 ICP X.509
À l’échelle du gouvernement GJIA GC) CA
Annuaires de Info sur le compte Service de Adresse courriel
réseau Windows synchronisation Sync Annuaire
Sync
(Active Directories) des annuaires Ajouts,
messagerie ITSC
Ajouts,
suppressions
suppressions
identité
identité Annuaire des
Ajouts,
Sync
Adresse courriel,
Numéro de infrastructures
suppressions Autre info
téléphone
identité
Le projet
Nouvel* examen du
centre de stockage Utilitaires ministériels SAGE
de l’identité
22Synchronisation d’annuaires et automatisation
• Synchronise les annuaires d’applications existantes avec un service
d’annuaire à l’échelle du gouvernement de SPC et est maintenue
grâce aux processus d’affaires centralisés et normalisés.
• Permet l’utilisation des services pour faciliter l’approvisionnement
automatisé et bénéficier d’une gestion automatisée du cycle de vie
des employés et des entrepreneurs.
• Fournit les données nécessaires aux annuaires des applications.
• Permet l’approvisionnement automatisé et sa maintenance.
• Permet aussi la suppression automatisée d’employés et d’entrepreneurs
à l’appui d’une bonne gestion du cycle de vie de l’identité dans tous les
services de SPC.
• Essentiel pour le programme de transformation de SPC
• Permet au fournisseur d’avoir un aperçu des renseignements de
l’utilisateur dans tous les services de SPC fournis aux ministères et
organismes ainsi qu’aux clients partenaires du GC.
23Caractéristiques des données de l’annuaire à l’échelle du
gouvernement
• Le plan de l’annuaire à l’échelle du gouvernement prévoit les
caractéristiques de données suivantes :
• Les données proviennent de sources faisant autorité.
• Les données ont été référencées et vérifiées auprès de sources
indépendantes.
• Des sources indépendantes telles que le Système régional de paye (SRP) et
la GIJIA, peuvent être interrogées concernant l'existence d'un dossier
d'employé actif au sein d'un ministère donné afin d'accroître l'efficacité des
processus existants de gestion du cycle de vie de l'identité à titre de valeur
ajoutée pour SPC.
• Par exemple, si un employé a pris sa retraite ou est passé à un autre
ministère en raison d'une mutation, dans le SRP on pourra constater qu'il
n'est plus rémunéré par l'ancien ministère, ce qui indique qu'il ne travaille
plus à cet endroit et que les renseignements le concernant devraient être
supprimés de l'annuaire.
• Pour chaque dossier, un niveau d'assurance des données de l'employé est
établi.
24Portée du service de l’annuaire à l’échelle du gouvernement
• On peut considérer que le service d’annuaire à l’échelle du
gouvernement comporte trois dimensions, en raison :
• de l’ampleur du nombre d’objets pour lesquels existent des données;
• de l’étendue du nombre d’attributs pour chaque objet;
• La multiplication des éléments précédents nous donne le nombre total de
données gérées et vérifiées.
• La dernière dimension correspond au nombre de services
d’annuaire que nous supportons pour publier et présenter les
données.
• L’objectif de SPC est d’étendre le service pour inclure tous les
utilisateurs du gouvernement du Canada et d’introduire
graduellement des fonctions et des protocoles d’accès
supplémentaires.
25Composantes du service d’annuaire à l’échelle du
gouvernement
• Le service d'annuaire à l’échelle du gouvernement doit être
plus qu'un service de technologie.
• Un ensemble d’interfaces de service doivent être définies pour
permettre aux fournisseurs et aux clients d’interagir avec le
système.
• L'annuaire doit contenir un ensemble de politiques bien
comprises et appliquées.
• Des procédures d'annuaire doivent être mises en place afin de
mettre en œuvre et d'appliquer les politiques.
• Une gouvernance solide est requise pour garantir une
rentabilité élevée pour le GC.
26Avantages opérationnels pour Services partagés Canada
• Efficacité opérationnelle démontrée
• Réduction de l'effort fourni par les spécialistes des applications
concernant l'administration des données, et amélioration de l'intégrité et
de l'exactitude des données.
• Réduction des coûts pour l'ensemble de SPC
• Décalage minime entre le changement des données initiales par les
données ou les attributs de l’autorité responsable et les effets de leur
application.
• Position de sécurité améliorée fondée sur une architecture
d’information partagée
• La révocation automatique de services aide à assurer la conformité de la
gestion de la sécurité des technologies de l'information.
27Cadre de services d'annuaire à l’échelle du
gouvernement
Utilisateurs
Client de l’annuaire (SPC et applications à l’échelle du GC)
Bénéficiaires
(Fournisseurs de
services de gestion
d’accès et de
Accès à l’annuaire et synchronisation des consommateurs de services
justificatifs)
Accès normalisé (LDAP, XML, WS*, SAML, etc.) Publication, Distribution, Conversion
Instruments
Services (Gestion du cycle de
d’annuaire vie de l’identité
Fournisseurs de contenu – Interfaces numérique)
d’approvisionnement
Référence, extrait, transformation, normalisation, validation, téléchargement
Fournisseurs
Données de vérification et de référence Utilitaires propres au ministère de contenu
(responsables
des données
d’identité)
28Vous pouvez aussi lire
