Gestion des identités

En tant que gestion des identités ( IdM ) de la gestion orientée cible et consciente, on appelle identité , anonymat et pseudo-anonymat . La carte d'identité est un exemple de forme d' identification prescrite par l'État .

le contexte

La mise en réseau via Internet a fait de la question de l'anonymat conscient et de la gestion consciente de parties de sa propre identité un niveau de complexité nouveau et inouï . Des identités (partielles) sont régulièrement diffusées sur Internet. Mais il y a aussi des processus sérieux et des questions d' anonymat sur Internet et d'identifiabilité. À bien des égards, les systèmes de gestion des identités peuvent être problématiques s'il n'est pas clair ce qui arrive aux données qui peuvent par inadvertance conduire à une identification plus poussée.

Il existe différentes formes de gestion des identités dans le monde réel comme dans le monde numérique. Conformément au cadre ISO / CEI JTC 1 / SC 27 / WG 5 A pour IdM, IdM comprend:

  • le processus d'identification d'une unité (y compris l' authentification facultative )
  • les informations associées à l'identification d'une entité dans un contexte donné
  • la gestion sécurisée des identités.

Une «unité» ( entité ) peut être tout ce qui peut être clairement identifié comme tel (personne, animal, appareil, objet, groupe, organisation, etc.). Les entités peuvent avoir plusieurs identités qui peuvent être utilisées dans différents contextes. Selon la définition de la Recommandation UIT-T X.1252 (UIT: Union internationale des télécommunications, UIT-T: Secteur de la normalisation des télécommunications de l'UIT), le terme IdM est compris comme la gestion des attributs d'une unité (par exemple, client, appareil ou fournisseur). La gestion des identités numériques n'a pas pour but ici de valider des personnes (IdM-GSI).

Les sujets suivants sont pertinents dans le contexte de la gestion de l'identité numérique:

  • Portée (au sein des organisations ou entre les organisations / au niveau fédéral)
  • Cycle de vie de l'identité de l'établissement, de la modification, de la suspension à la résiliation ou à l' archivage
  • Supports contenant les données ( jetons , cartes)
  • Systèmes dans lesquels les données sont stockées (répertoires, bases de données, etc.)
  • Lier les rôles aux devoirs, responsabilités, privilèges et droits d'accès aux ressources
  • Gestion et protection des informations (attributs) de l'identité qui évoluent dans le temps
  • Attribution et gestion des différents rôles des identités

Exigences de gestion des identités

Dans le monde du traitement des données, la gestion des identités concerne principalement la gestion des données des utilisateurs qui sont attribuées à des personnes individuelles. Une personne peut avoir plusieurs identités, tandis qu'une identité ne peut généralement être attribuée qu'à une seule personne. L'identité est un ensemble d' attributs personnels qui individualise la personne utilisant cette identité.

Exemple: Dans un jeu de rôle en ligne , la personne Joe User établit une identité: le roi Niels, cruel dirigeant du peuple Lemmings avec les attributs stupide , vigoureux et avare . La même personne Joe User a une identité différente dans une boutique en ligne, dont le profil est déterminé par des caractéristiques Intéressé par la musique classique , le numéro de carte de crédit est 1234 1234 1234 1234 et a déjà acheté 3 CD .

Les identités réseau appartiennent aux personnes, il s'agit donc généralement de données critiques car l'identité est liée à la personne. Si l'identité de la boutique en ligne était utilisée par une autre personne ( Alice Evil ), la personne de l'exemple ci-dessus ( Joe User ) aurait le problème que les commandes aux frais du propriétaire de l'identité tombent entre de mauvaises mains.

Des identités ou comptes multiples sont nécessaires à la fois dans le monde du réseau et dans la vie quotidienne réelle et sont largement utilisés. Exemples:

  • Permis de conduire (avec nom du propriétaire, photo, classe de véhicule)
  • Client à la banque (avec numéro de compte, solde du compte, nom et cote de crédit)
  • Carte client à la station-service (avec nom du client, numéro de client et solde de points)
  • Compte de fidélisation (avec nom du client, numéro, statut et solde de points)

On peut partir d'une identité principale de chaque entité, celle-ci est définie à partir de la totalité de tous les attributs qui lui sont assignés. Ces attributs peuvent être connus de l'entité (nom), inconnus, permanents (DNS) ou modifiables (version du logiciel, couleur des cheveux).

Le détournement d'identité (généralement au détriment du propriétaire réel) est connu sous le nom de vol d'identité .

La gestion des identités se fait principalement au niveau informatique, car il y a beaucoup plus de comptes à attribuer à une personne que dans la vraie vie. Dans les entreprises notamment, il n'est pas anodin de consolider les différents comptes (messagerie, système d'exploitation, accès ERP, accès Internet, etc.) d'une personne .

Pourquoi la gestion des identités?

L'une des raisons pour lesquelles vous êtes en affaires avec la gestion des identités (le langage anglicisé de gestion des identités utilisé), l'exigence de données personnelles est cohérente , constamment disponible et fiable pour les blessures. Des services tels qu'un système de messagerie ou une comptabilité du personnel dépendent de ces données, sans lesquelles aucune opération individualisée ne serait possible.

Exemple: un employé a un compte de messagerie qui ne lui est attribué qu'à lui-même. Pour cela, il a besoin d'une adresse e-mail individuelle, un soi-disant compte avec le mot de passe associé. Ces données ne sont destinées qu'à lui et non au grand public.

Contre-exemple: une présentation d'entreprise est uniforme pour tous les employés et ne nécessite aucune individualisation.

Beaucoup de ces services individualisés ont maintenant leurs propres fiches de données pour les personnes: le serveur de messagerie a un fichier de configuration avec tous les utilisateurs de messagerie participants, la comptabilité du personnel a sa propre base de données principale . La comparaison de ces services et de la multitude d'autres services avec leurs données était un défi administratif majeur: si, par exemple, les employés changeaient de nom en raison d'un mariage, des ajustements devaient être apportés à tous les systèmes concernés.

Dans les années 90, la première étape vers la standardisation de ces données a été l'introduction d'un service d'annuaire . Ceux-ci ont collecté les données personnelles et les ont rendues disponibles, par exemple, à l'aide d'un processus standardisé (voir LDAP ).

Il était maintenant reconnu, cependant, que de nombreux services, mais pas tous, pouvaient être regroupés dans un tel annuaire. Dans le domaine des ressources humaines en particulier, il s'est avéré extrêmement critique de laisser les données personnelles dans un tel annuaire. Ces services conservaient leurs propres données et ne pouvaient pas être synchronisés avec les répertoires.

Avec l'avènement de la gestion des identités, ces barrières ont été brisées pour la première fois: les bases de données personnelles pouvaient conserver la souveraineté sur leurs données, mais les changements de données comme un nom étaient désormais transmis via des mécanismes de synchronisation à la gestion des identités, qui à son tour a passé ce changement de données à tous communiqués aux autres systèmes participants.

Gestion de l'identité d'entreprise

Plus une entreprise est grande, plus il y a d' identités et d' autorisations à gérer. Des architectures dites de gestion des identités sont utilisées pour cela. Il s'agit d'une combinaison de mesures manuelles, mécaniques, organisationnelles et techniques pour garantir les autorisations appropriées dans l'entreprise et ainsi éviter les conflits d'intérêts. Les composants logiciels qui gèrent les identités et leurs droits d'accès sont souvent utilisés.

Le terme gestion des identités dans l'environnement logiciel n'inclut pas une gamme de fonctions précisément définie. Par exemple, les systèmes simples se concentrent exclusivement sur la synchronisation des données personnelles, tandis que les architectures plus complètes, d'un autre côté, intègrent des processus de flux de travail qui contiennent un modèle d'approbation hiérarchique par les superviseurs afin de mettre en œuvre les changements de données.

Une architecture de gestion des identités doit avoir un module de provisioning qui permet aux utilisateurs d' attribuer automatiquement des autorisations individuelles en fonction de leur rôle respectif (et également des tâches) dans l'organisation. Ici, cependant, la question se pose de savoir dans quelle mesure la gestion des identités devrait intégrer les fonctionnalités de l'application au-delà de la gestion exclusive des données personnelles (par exemple, le « quota » sur un serveur de messagerie n'est pas une donnée personnelle, mais une information d'application).

La gestion des identités dans une entreprise a de nombreuses interfaces avec ce que l'on appelle la gestion des accès , par exemple, pour les portails dont les droits d'accès sont gérés, l' authentification unique autorise ou les politiques de sécurité (SSO) gérées. Le terme «gestion des identités et des accès» (IAM ou IdAM) a entre-temps été inventé dans les technologies de l'information (TI) pour combiner la gestion des identités et la gestion des accès .

Les composants d'une architecture de gestion des identités peuvent être divers. La base commune est le service dit d' annuaire , dans lequel sont stockées les données personnelles des employés, qui sont le plus souvent demandées et par la plupart des systèmes (nom, adresse e-mail, numéro de téléphone, etc.), que l'on appelle méta-annuaire . S'il s'agit simplement d'un service d'annuaire dédié pour une telle architecture de sécurité, qui ne contient que les identifiants (identifiants) et quelques autres attributs et demande le reste aux systèmes connectés selon les besoins, alors un tel système est appelé annuaire virtuel . Des produits de différents fournisseurs sont utilisés à cet effet: NDS , eDirectories, systèmes SAP, répertoires actifs . Les sources de données provenant de bases de données spécifiques aux applications, de systèmes de messagerie électronique et de logiciels du service du personnel sont également accessibles. Une distinction est faite entre ces composants dans les systèmes source et cible, bien qu'il existe également des combinaisons des deux, comme les systèmes de messagerie électronique. Les données personnelles sont stockées dans tous ces systèmes et sont comparées les unes aux autres via la gestion des identités. Le logiciel proprement dit d'une gestion d'identité fonctionne comme un courtier entre tous ces composants et fonctionne comme un processus principalement sur du matériel / logiciel dédié (par exemple, une application au sein d'un serveur d'applications ). Ce logiciel est connu sous le nom de système de gestion d'identité .

C'est là que la fonctionnalité du provisionnement devient claire: le répertoire méta / virtuel distribue les données et les droits des utilisateurs à tous les systèmes connectés (dans le meilleur des cas, tous les systèmes utilisés dans l'entreprise). De cette manière, la gestion des identités peut être centralisée.

Autres fonctions possibles:

  • Gestion des identités fédérées , qui traite de la fourniture et de l'utilisation de l'identité au-delà des frontières de l'entreprise
  • Synchronisation des mots de passe pour qu'un utilisateur n'ait besoin que d' un seul mot de passe dans tous les systèmes connectés
  • Processus d'approbation des droits et des rôles intégrés dans les structures de l'entreprise (services, hiérarchies de gestion)
  • Base d'une infrastructure PKI pouvant être construite sur un système IAM avec une qualité de données suffisamment élevée
  • User Self Services avec lequel un utilisateur peut récupérer, réinitialiser ou modifier un mot de passe pour un système. Les solutions courantes implémentent cela via un frontal Web. Les bonnes solutions peuvent synchroniser les changements de mot de passe directement entre les systèmes, quel que soit l'endroit où l'utilisateur a changé le mot de passe.
  • Administration et contrôle des comptes d'utilisateurs privilégiés qui enfreignent les règles pertinentes sur la séparation des fonctions en raison de décisions de conception des applications . Ce sont, par exemple, des comptes root .

Gestion des identités sur le World Wide Web

Le développement des technologies interactives a suscité un grand intérêt pour la cartographie des relations sociales sur Internet (voir aussi les logiciels sociaux ). Dans ce contexte, il y a un certain nombre d'efforts pour développer une "couche d'identité" comme couche de protocole supplémentaire pour Internet. L'objectif est d'obtenir une sécurité suffisante sur l'identité du partenaire de communication en ligne sans avoir à échanger une quantité inutilement importante de données personnelles en même temps. Le spectre des initiatives va des vCards microformats aux services tels que ClaimID , qui attribuent une collection de sites Web à des personnes spécifiques, à l'architecture complète de Microsoft.

Dans ce contexte, des critiques ont également été formulées concernant le raccourcissement du concept d'identité, qui en psychologie et en sociologie signifie bien plus que la gestion de propriétés discrètes de comptes techniquement mis en œuvre. Bob Blakley , ancien chef de la vie privée et architecte de sécurité du logiciel IBM Tivoli et aujourd'hui avec le Burton Group , voit cela comme un signe général de la bureaucratisation de l'environnement de vie:

"L'Occident a mené une discussion nuancée sur l'identité pendant des siècles, jusqu'à ce que l'État industriel décide que l'identité était un numéro qui vous était attribué par un ordinateur gouvernemental"

Un concept de gestion des identités dans les applications web a été illustré par Dick Hardt dans sa présentation "Identity Management 2.0". L'objectif est de faire passer le concept de «la plateforme connaît l'identité» à «je m'identifie à la plateforme», i. H. pour séparer l' autorisation spatialement et temporellement analogue aux documents d'identification non numériques de l'identification.

Modèle de référence Enterprise Identity and Access Management

Le modèle de référence se compose de sept modules qui, pris à eux seuls, n'ont qu'un rôle descriptif et n'offrent pas eux-mêmes de fonctionnalités;

  1. Politiques et flux de travail (les politiques (directives) et les flux de travail (processus de travail) constituent la base d'un processus de travail réglementé, car ils créent les conditions préalables au démarrage ou à la poursuite des processus.)
  2. Gestion du référentiel (La gestion du référentiel a pour tâche de stocker et de gérer de manière centralisée les informations dans un EIAM qui peuvent être utiles aux entités d'un réseau. Cela permet d'obtenir une identité numérique unique par utilisateur / entité.)
  3. Gestion du cycle de vie (Le cycle de vie montre les étapes nécessaires pour intégrer et gérer des entités via des identités numériques jusqu'à leur suppression dans un système EIAM)
  4. Gestion des accès (La gestion des accès comprend la décision concernant les autorisations d'accès sur la base des identités des utilisateurs, des rôles et des droits d'accès.)
  5. Protection des informations (La protection des informations doit toujours protéger adéquatement les informations d'une entreprise contre les attaques.)
  6. Fédération (la fédération ou la fédération permet l'échange sécurisé d'informations d'identité ou d'authentification des identités numériques de différentes unités ou organisations, sur la base d'une relation de confiance préalablement établie.)
  7. Conformité et audit (Un audit basé sur la conformité, la conformité légale favorise la stabilité de l'infrastructure d'une entreprise en vérifiant la conformité aux réglementations. La conformité sert à garantir la conformité, tandis qu'un audit prend le relais.)

Projets de recherche de l'UE

Dans le cadre du 6e programme-cadre de recherche (6e PC) de 2002 à 2007, l' Union européenne a lancé un projet de recherche sur la «gestion des identités» en 2004 avec PRIME (Privacy and Identity Management for Europe) et l'a financé avec 10 millions d'euros pour clarifier ouvert questions et technologies conformes aux lois sur la protection des données. En Allemagne, le Centre d'État indépendant pour la protection des données Schleswig-Holstein (ULD) est le contact pour le projet, dans lequel des personnes bien connues de la recherche et de l'industrie travaillent ensemble. Le consortium de normalisation Internet W3C est également impliqué en tant que sous-traitant de l'ULD.

Un autre projet de recherche UE-FP6 a également été lancé en 2004: FIDIS (Future of Identity in the Information Society). Dans ce projet, un forum d'experts doit être mis en place avec le «réseau d'excellence», qui comprend actuellement 24 partenaires opérant en Europe. L' Université de Francfort est en charge de l'Allemagne .

Dans le cadre de la préparation des deux projets, la Commission européenne a fait rédiger l’étude «Systèmes de gestion des identités (IMS): étude d’identification et de comparaison».

Avec le lancement du 7e programme-cadre de recherche de 2007 à 2013, d'autres projets sur la gestion des identités ont démarré. PICOS étudie et développe une plateforme contemporaine pour la gestion des identités dans les communautés mobiles. PrimeLife développe diverses technologies qui permettent aux individus, face aux risques croissants de la société de l'information, de protéger leur autonomie et de garder le contrôle sur leurs données personnelles quelles que soient leurs activités. SWIFT utilise les technologies d'identité comme clé pour intégrer les infrastructures de service et de transport et vise à étendre la gestion des identités dans l'infrastructure réseau.

Voir également

Littérature

  • Sebastian Rieger: Authentification uniforme dans des structures informatiques hétérogènes pour un environnement e-science sécurisé . 1ère édition. Cuvillier, Göttingen 2007, ISBN 3-86727-329-4 (mémoire).
  • Norbert Pohlmann : Cyber ​​sécurité: Le manuel des concepts, principes, mécanismes, architectures et propriétés des systèmes de cybersécurité dans la numérisation. Springer Vieweg, septembre 2019, ISBN 978-3-658-25397-4 , pp. 213-240.

liens web

Preuve individuelle

  1. iso.org
  2. Recommandation UIT-T: Termes et définitions de gestion d'identité de base. Récupéré le 22 février 2011 .
  3. dickhardt.org ( Souvenir de l' original du 18 janvier 2014 dans les archives Internet ) Info: Le lien vers l' archive a été inséré automatiquement et n'a pas encore été vérifié. Veuillez vérifier le lien d'origine et d'archive conformément aux instructions , puis supprimez cet avis. @1@ 2Modèle: Webachiv / IABot / dickhardt.org
  4. dailymotion.com
  5. Norbert Pohlmann: Cyber ​​Security: Le manuel des concepts, principes, mécanismes, architectures et propriétés des systèmes de cybersécurité dans la numérisation . Springer Vieweg, 2019, ISBN 3-658-25397-5 , p. 213-240 .
  6. ^ Sixième programmes-cadres. Récupéré le 22 février 2011 .
  7. Localisation géographique de l'entreprise. Récupéré le 22 février 2011 .
  8. ^ Septième programme-cadre (7e PC). Récupéré le 22 février 2011 .