IAM Valais Implémentation d'IAM réalisée à l'Etat du Valais et concordance avec les normes eCH et perspectives de développement futur en rapport ...
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
IAM Valais
Implémentation d’IAM réalisée à
l’Etat du Valais et concordance avec
les normes eCH et perspectives de
développement futur en rapport avec
TrustIAM
Présentation d’Epicard
Epicard SA Société fondée en 1995 Siège à Sion Cartes à puce Systèmes d’information
Epicard SA
Développement logiciel et matériel sur
mesure
Présence en Suisse et en France
Nos clients:
Etats
Grandes entreprises (armée, EDF, …)
Banques cantonalesRAPv4 – Moteur d’application
Versatile et paramétrable
Applications de type «client léger» ou «riche»
Indépendant de l’OS / HW
Utilisation de standards
XML, XSL, HTML, PDF, SOAP
Outils open-source
Eclipse, BIRT, FOP, ApacheMoteur d’application RAP
Fonctionnement
Serveur RAP
XML
XSL
Autres SIRAPv4 Architecture simplifiée
RAP_Util.Crypto /
XML RAP_Adm. Main /
RAP_IO/ RAP_Desc / Encrypt. processor
Data Administrator
descriptor Desc. interface Data Descriptor processor
RAP_Util.Dictionnary /
Dictionnary
RAP_Adm.Logger /
RAP_Barcode / Logger
Barcode processor
XML
WF RAP_IO/ RAP_WF/
Desc. interface Workflow Processor RAP_CTG /
descriptor CTG processor RAP_Adm.Monitor /
Monitor
RAP_Util.Graph /
Graph processor
RAP_IO/ RAP_Plugin /
Plugin RAP_Util.GIS / RAP_Adm.Watcher /
Plugin. interface Plugin processor
GIS processor Watchdog
Main Bus
XML
Process RAP_IO/ RAP_Calc / RAP_Search /
descriptor Desc. interface Calc processor Search Engine
RAP_Scheduler / RAP_Session / RAP_Ident /
Scheduler Session Manager Login / Identification proc.
RAP_FOS_IO / Webdav
RAP_NBCalc / File OS Interface
Background processor SMB
Unix FS
XSL
Present. RAP_IO/
Desc. interface RAP_Util.Transformer
descriptor RAP_AppInput Pr. RAP_VUE.Web / HTTP
Web/ XAML Present. Interf. XAML
PDF
RAP_Cluster / RAP_DBA / DB Interaction RAP_VUE.Services / RAP_VUE.Print / CSV
Cluster Manager Web Services Interface Report Interface XLS
Cache
PS
TXT
AFP
SGBD eMail
SOAP Interface
(Oracle / DB2 / Etc…
MS-SQL Server etc…)Implémentation de IAM réalisée à l’Etat et concordance avec les normes eCH
IAM à l’Etat du Valais
Buts
Conformité aux normes
Sécurité
Plateforme commune
Fédération
Single Sign-On
Particularités
Authentification forte conditionnée (SMS, matrixcard)
Liaison transparente à 2 annuaires (LDAP/AD, Oracle)
Gestion d’identités par les citoyens
Infrastructure du Service Cantonal de l’InformatiqueIAM à l’Etat du Valais
Limitations
Domaine unique (.vs.ch)
Claims
Consultation de logsVue d’ensemble
Applications Utilisateur
Applications
Administrateur
Agent J2EE
SAML2
Kerberos
LoginModule SOAP
OpenAM IAMAdmin SOAP IAMFront
Datastore SOAP
SOAP
Oracle LDAP/AD
EditiqueIAMAdmin
Outil d’administration d’IAM
Utilise le moteur d’application RAPv4
Services SOAP
Interface pour administrateur
Gestion automatisée
Contrôles et analyse
Surveillance avec serveurs externes (SMS)
Suivi de mutations
etc.
Suivi d’administrationIAMFront
Situation de départ : Un utilisateur souhaite accéder à une ressource.
Demande d’accès à
une ressource
Requête pour une
oui non
identité existante ?
Saisie du nom, prénom, date
Interface grand public Le user
s’authentifie avec
Le user remplit le
formulaire de
demande de
de naissance, langue et
captcha
de gestion d’identité
ladite identité
création d’identité
Erreur Validation pas OK
Création d’identité
Validation avec le
Vérification du
registre des
challenge SMS
personnes
Demande d’accès à une ressource
Validation OK L’identité numérique est
maintenant créée
Récupération de la liste
Création de
des ressources restantes
Utilisateur authentifié l’identité
(i.e. pas encore utilisées
numérique
par le sujet)
La récupération des ressources doit se faire sur
la base IAMAdmin. Par mesure de sécurité,
IAMFront n’effectue aucun appel à IAMAdmin
tant que l’utilisateur n’est pas connecté ou que Sélection des Envoi du
le captcha ait été validé. Par ailleurs, les ressources courrier
ressources déjà accessibles ne doivent pas être souhaitées recommandé
sélectionnables, donc l’identité numérique doit
être existante lors de la récupération.
L’utilisateur a-t-il
Remarque: L’email du
sélectionné une Demande de
- Prévoir un moyen sécurisé d’automatiser la oui demandeur est-il non
ressources gérée par un saisie de l’email
procédure de gestion (ajout/suppression) des droits connu ?
responsable ?
Envoi d’un code de
validation par email
oui
non
non
L’utilisateur saisir
le code de
validation reçu
Transmission
des demandes
Fin de procédure d’autorisation oui Code correct ?
aux
responsables
Pour chaque ressources sélectionnée (excepté la ressource « portail
citoyen »), un email d’annonce de la demande est envoyé au
responsable de la ressource. Le mail indique le code de l’identité
numérique du demandeur et ses références (identité numérique, nom,
prénom, date de naissance, email, langue de correspondance)
Le responsable règle en bilatérale les aspects de sécurité avant
d’accorder ou non le droit d’accès à l’identité numérique.IAMFront Récupération du login perdu Récupération du mot de passe oublié Renouvellement de mot de passe Interface de gestion d’accès
Gestion des rôles
Rôles statiques
Référencement de rôle dans l’identité numérique
Rôles de groupes
Héritage des rôles liés au groupe d’utilisateurs
Rôles dynamiques
Règles d’accès + Attributs
Service web
Service d’autorisationConcordance avec les normes eCH
Normes Stabi3eGov B2.06 IAM + eCH-0107
Respect de la norme Ecart de la norme
metamodèle IAM (sujet, domaine unique
identité, ressource, attributs, claims
etc.) rôles (DAC pour anciennes
rôles RBAC/ABAC applications)
standards (SAML2) workflows
échanges pour mutations SuisseID
selon normes (eCH-0011, aspects de délégation
eCH-0020, eCH-0044)
simplification de
l’administration
redondance et performancePerspectives de développement futur en rapport avec TrustIAM
Intégration TrustIAM
En collaboration avec le comité de pilotage IAM de l’Etat du Valais
L’intégration TrustIAM comme locomotive pour pallier les écarts à la
norme, en premier lieu:
Intégration des claims
Support multi-domaine
en second lieu:
SuisseID
Réflexion à mener en interne concernant les comptes LDAP/ADQuestions
Vous pouvez aussi lire
