Gestion d'identité - Identity Access Management (IAM)

##Contexte##
La gestion d’identité est un sujet majeur auquel s’intéressent l’administration comme les entreprises pour gérer & simplifier l’accès à leurs applications internes & externes.
Le choix de la solution est crucial, puisque les populations concernées sont vite importantes (plusieurs millions), d’autant que l’identité des « objets connectés » peut aussi être concernée.
Dans ce contexte, le cout des modèles éditeurs à souscription devient vite exhorbitant et il y a une réelle opportunité pour mutualiser les efforts sur « une solution libre ».

Mais le sujet est complexe, puisque la gestion d’identité comprend

• de nombreuses sous-parties : annuaire, fédération, autorisation, délégation, services, …
• avec de nombreux protocoles associés : SAML, OAuth, OpenID, …

##Objectif##
L’objectif serait d’avoir :

• une vision + claire des sous-parties
• les bonnes pratiques d’interropérabilité, de formats (pour limiter les adhérences, favoriser la réversibilité)
• les « solutions libres » candidates + leurs références d’implémentation
• la réponse de ces solutions / sous-parties

Au final, il faudrait un backlog des fonctionnalités restant à développer pour couvrir les besoins de chacun, à prioriser & à co-financer !

##Questions##
A titre d’exemple, au niveau Etat, j’ai du mal à positionner LemonLDAP:NG, qui est recommandé au SILL, et FranceConnect qui semble développé « from scratch ».

Merci de vos remarques & contributions, je vous propose de les intégrer ci-dessous

##Références##

Liens Utiles

• IAM (Identity Access Management) sur Wikipedia (en anglais)
• [Identité Numérique sur Etat Plateforme] http://etatplateforme.modernisation.gouv.fr/identite-numerique
• FranceConnect Developpeurs : https://doc.integ01.dev-franceconnect.fr/

##Solutions Candidates

• LemonLDAP::NG https://fr.wikipedia.org/wiki/LemonLDAP::NG
• Authentic, Lasso, … ?? cf. https://www.entrouvert.com/fr/identite-numerique/produits/
  …

##Solutions Editeurs

• Forgerock OpenAM https://fr.wikipedia.org/wiki/OpenAM
• Oracle Identity Management https://en.wikipedia.org/wiki/Oracle_Identity_Management
• Arismore Memority (offre Saas http://www.memority.fr/
• …

La poste avait commencé à travailler sur un mécanisme d’identité, partiellement vérifié par les facteurs!

Les banques aussi, devraient ou pourraient offrir des mécanismes d’identité virtuelle, où on pourrait rattacher des pseudos avec des authentifications décentralisées type openId2.

Et dans ce même contexte, l’état et les collectivités territoriales pourraient aussi fournir ce genre de service, celui de l’état étant redoutable car reposant sur la force publique et pouvant avoir force de loi. La carte d’identité pourrait même fournir et gérer une clé de chiffrage!

Dans ce contexte, lemonldap étant déjà utilisé et développé par l’état et offrant notamment openId comme protocole, il faudrait creuser pour l’étendre et le proposer aux citoyens.

Mais soyons réaliste, que ce soit l’état ou les banques, pourquoi nous fourniraient-elles ce genre de service…?

En logiciels libres sont aussi disponibles Shibboleth, très utilisé par les universités américaines, et SimpleSAMLphp, qui semble pas mal utilisé dans les universités nordiques (Suède, Danemark, Norvège, Finlande). Le premier plutôt complexe à mettre en place, mais le second est au contraire assez simple, même si sa documentation est un peu légère.
» https://shibboleth.net/
» https://simplesamlphp.org/

Bonjour,

Simon a bien identifié le fait que la gestion des identités et des accès est un domaine très vaste et qu’il faut raisonner en sous-domaines afin de pouvoir évaluer les différentes solutions libres qui peuvent permettre d’implémenter ces services. Et en dehors des solutions logicielles, il y a bien entendu les protocoles qui entrent en jeu, permettant l’interopérabilité entre ces solutions.

Voici une vison par forcément très objective des choses, car je suis impliqué dans le développement de certains de ces outils (en particulier LemonLDAP::NG).

1/ Service d’annuaire

Le service d’annuaire permet le stockage des identités et des habilitations.

• Protocoles :
  • LDAP
• Logiciels libres :
  • OpenLDAP (avec possibilité d’utiliser des paquets du projet LDAP Tool Box)
  • Apache Directory Server
  • 389 Directory Server

2/ SSO et contrôle d’accès :

Le SSO permet l’authentification unique aux applications (très souvent on ne parle que d’applications Web, et donc de WebSSO), le contrôle d’accès permet de contrôler qui accède à quoi de façon centralisée.

• Protocoles :
  • CAS
  • SAML 2/ Shibboleth
  • OpenID Connect
  • FIDO
• Logiciels libres :
  • LemonLDAP::NG
  • Authentic
  • JASIG CAS
  • Shibboleth
  • SimpleSAMLphp
  • Gluu

3/ Synchronisation d’identités / approvisionnement

La synchronisation d’identités permet l’alimentation des différents référentiels du SI à partir de différentes sources d’informations. Par exemple la création de comptes dans l’annuaire LDAP à partir d’un outil RH.

• Protocoles :
  • SCIM
• Logiciels libres :
  • LDAP Synchronization Connector
  • MidPoint
  • Syncope

4/ Interface de gestion d’annuaire

L’interface de gestion d’annuaire permet de déléguer l’administration des données en fonction des profils. Par exemple pour permettre à un responsable d’un service de gérer les groupes liés à son service.

• Logiciels libres :
  • phpLDAPadmin
  • Fusion Directory
  • LDAP Saisie
  • LinID Directory Manager
  • MidPoint

Un petit dernier pour l’approvisionnement ldaptools ça vise à terme les capacités d’un LDAP Synchronization Connector, pour l’instant ça synchronise juste des LDAP et des fichiers LDIF ayant le même schéma.

Au cas ou l’identité se ferait à partir d’une carte à puce :

Je complète avec un petit topic sur les cartes id officielles :

La carte française : (Gemalto , lecteur Xiring etc …)
https://ants.gouv.fr/Les-solutions/Identite-numerique2/Technologie-cartes-IAS-ECC/Outils-telechargements

• Testé OK avec Ubuntu 14.04 mais pas de pilote Arm pour un RaspBerry
• Les codes sources ne sont pas disponibles

Carte Estonie :
Ils sont à jour coté Ubuntu et on même un ppa :
https://installer.id.ee/?lang=eng
et visiblement, ils se préoccupent du Raspberry :
https://github.com/martinpaljak/rpi-eidlock/commit/0a6dc4560c317aac4e918c5e15e028238d13d1e4

Carte Belge :

Firmware générique Open Source
https://github.com/OpenSC/OpenSC/wiki (Il est compatible avec les architectures arm)
(le problème, c’est qu’il ne fonctionne pas complètement avec les cartes françaises de l’administration )
https://github.com/OpenSC/OpenSC/wiki/IASECC_Gemalto_eID_Notes

Christophe

Bonjour
l’identité a un problème de fond. A ce jour lEtat ne peut pas et aussi ne veut pas garantir les identités. Il faut que cela en reste ainsi. Il n’est pas obligé d’avoir une pièce d’identité en France et il faut qe cela reste aussi ainsi et ne pas dévoyer à cette liberté par la voie électronique.

Il faut donc dissocier l’authentification de l’identification.

L’authentification c’est j’ai le droit.
L’identification: je suis telle personne.

Il suffit pour cela que les démarches en ligne restent toujours possible même sans authentification/identification, i.e. je peux toujours constituer ma demande en ligne et la finaliser par un autre canal ou je serai identifié si nécessaire; certaines démarchent sont purement déclarative, il faut que cela reste ainsi.

MDEL (Ma Démarche En Ligne), site de téléservice lié à Mon.Service-Public.Fr était problématique sur ce point, il fallait absolument une compte MSP pour s’en servir. L’utilisation d’un numéro de suivi plutôt qu’un compte permet généralement le même niveau de service qu’une authentification et n’exige ni mail ni mobile, ni rapprochement implicite de toutes les démarches. Coté France Connect ils forcent la fourniture de d’identification à des service n’en ayant pas vraiment besoin, ce qui est un peu étrange et me semble difficilement CNIL compatible, et je pense qu’il y a eu passage en force comme souvent quand la CNIL est vue comme une enquiquineuse; pour l’instant je pense qu’ils sont plus en recherche d’un fort taux de propagation du service et ne sont vraiment pas très regardant sur ces points. Et l’identité fourni par France Connect est quand même très forte, proche d’un identifiant unique (il suffit de faire un hash de nom/prénom/date de naissance/lieu de naissance, données obligatoirement fournies par France Connect, voir description des scopes dans leur documentation).

D’ailleurs la pièce d’identité n’est qu’un moyen parmi d’autres de prouver son identité, plus fort que d’autres devant un juge, mais pas tant. Ainsi, le code de procédure pénal (Art 78-2) n’impose pas de moyen spécifique https://www.legifrance.gouv.fr/affichCode.do?idSectionTA=LEGISCTA000006151880&cidTexte=LEGITEXT000006071154&dateTexte=20160224. En particulier la production de deux témoins devant un OPJ peut suffire.

Tout cela converge vers ma réflexion et mes propositions, nous ne devons pas nous orienter vers un mécanisme qui s’appuie sur l’identité mais un mécanisme qui s’appuie sur l’autorisation.

L’identité serait donc relative car la source de « l’autorisation » serait alors unique et détenu uniquement par le tiers de confiance et dans ce cas traçable unitairement. L’identité pourrait donc être levé par un juge uniquement dans le cadre d’une éventuelle procédure.

Dans ce contexte personne ne possède réellement l’identité, et personne ne peut faire la corrélation avec les différentes autorisations accordés par tel ou tel service. Il y aurait un anonymat tout relatif car possiblement levé par la justice, mais aucun moment li pourrait y avoir analyse des métadonnées par un tiers pour faire du profilage individuel.

Je ne partage pas totalement ton point de vue Vidocq.
Ok pour séparer identification et authentification, mais il est nécessaire aussi de bien séparer l’autorisation, ainsi que la délégation.
L’authentification : ce n’est pas « j’ai le droit », mais c’est « je suis bien celui que je prétends être »
L’autorisation : c’est bien « j’ai le droit »
la délégation : c’est : « je donne, ou je reçois certains droits »

Dans la pratique, il y a tout un tas de démarche que vous ne ferez pas sans pièce d’identité c’est juste la réalité.

De plus, un des principes fondateurs des Etat de droits, en tout cas aujourd’hui, est de délivré un état civil à une personne. C’est la base de la reconnaissance légale d’un individu… et cela correspond bien à une identité (c’est à dire des informations permettant d’identifié un individus dans un groupe). C’est le même raisonnement pour les entreprises, avec le SIREN, et ce principe existe pour bien d’autres choses. Et c’est juste la base de toute l’économie, du marché, etc. Donc oui l’état veut délivrer une identité. Il le fait peut-être mal, ce n’est peut-être pas partagé, on pourrait faire autrement, être bcp plus efficace, moins couteux, mettre plus les individus et la protection de leur vie privé au coeur… oui, oui et re oui

En plus différentes approches ont été prises (ex. de la Belgique, ou du Danemark). Mais je suis d’accord au final pour avoir une vrai réflexion du type que tu propose

oui l’authentification est bien : je suis celui que je prétend être mais elle ne doit pas liée à une identité.

Pour l’identité c’est juste un abus dans « la réalité », seule le cas de la justice devrait permettre d’identifier et d’authentifier.

La décentralisation et l’anonymisation des actes est en cours. La monnaie donc la banque pourront disparaître c’est juste une question de temps. La fiscalité sera à réinventer.
L’etat tel qu’il existe aujourd’hui pour ne pas disparaître devra faire des lois de plus en plus liberticide, et mettre de plus en plus de contrainte, des réglementations et de contrôle sans heureusement les moyens aujourd’hui.

Nous avons un problème, les instituions défendent de moins en moins l’intérêt général, le fonctionnaire n’est plus le garant de cet intérêts général, il est devenu son propre garant pour maintenir ses privilèges car il est privilégié.

La fiscalité est devenue source d’expropriation, elle est complètement dévoyée, elle a perdue son but. Elle ne sert qu’à enrichir les créanciers.

C’est clairement l’échec. Il y a une possibilité via le numérique je pense qu’il faut la saisir pour faire du neuf et non faire du numérique de l’ancien.

.

Bonjour,
Effectivement, parmi les objets susceptibles de nous identifier numériquement, le passeport biométrique contient une puce NFC avec notre identité numérique.
Ainsi avec une application comme « NFC Passport Reader » sous Android il est possible de lire les données numériques de nos passeports biométriques.
Après-tout pourquoi ne pas s’en servir ?

Bonjour à tous,
Merci beaucoup pour vos réponses et commentaires (en particulier @coudot pour sa réponse détaillée ).
J’aimerais consolider ces informations sous une forme + pérenne que ce fil, à plusieurs mains, notamment sous forme de tableau ; pour cela l’idéal me semble un « vrai Wiki »
Du coup que pensez-vous qu’il faille faire pour cette « consolidation » :

1. faire un article Wikipedia
2. qu’un peu sur le modèle de ce forum, il y ait un « Wiki » associé pour faire la synthèse des différents sujets ?
   Qu’en penses-tu @eraviart ?

NB : si le wikipedia anglais est bien complet sur le sujet, je trouve en revanche que c’est insuffisant sur le wikipedia français - http://wikipedia.fr/Resultats.php?q=gestion+d’identité&projet=article

la gestion des authentifications et des identités par l’électronique n’est pas une fatalité. « Les consciences » se réveillent, et les systèmes intrusifs dans la vie privée qui s’installent de fait par abus et contraintes (banques, agences immobilières…) seront remplacés par des systèmes par exemple « blocchain » qui s’affranchiront de cette manière obsolète de faire.

C’est à nous de changer la société, et je constate que ce « thread » est très conservateur et ne veut changer que la méthode, la forme et non le fond de ce que peut apporter le numérique dans la vie de tous les jours.

Bonjour,

Non, ce thread ne fait qu’un état des lieux des technologie utilisées. Maintenant, si vous connaissez une techno blocchain ou P2P, fiable ou en développement , pour gérer les identités de manière décentralisée, vous pouvez documenter , je suis intéressé.
Cordialement,
Christophe

bonjour

je rajouterais freeipa qui gère une partie des problématiques énoncées en 1) 2) 3) et 4) pour les environnements Linux(/Unix) et s’interface avec le monde Microsoft.
Gestion d’identité utilisateurs, machines et services (via LDAP/389directory), certificats x.509 (via dogtag), SSO (via Kerberos) à travers les services, relation de confiance avec AD, audit.

FreeIPA est un bon produit, mais orienté infrastructure (centralisation des authentifications et des accès aux serveurs Unix/Linux). Il s’intègre en effet très bien avec AD via Kerberos. Je ne pense toutefois pas qu’il soit adapté pour mettre en place du SSO sur des applications métiers ou gérer la diffusion des identités vers d’autres référentiels.

Sans entrer dans les détails, avez-vous déjà porter des projets côté intranets ministériels ou pour des établissements publics employant sso sur ldap+radius (pour des applicatifs sur serveurs http nginx ou apache) ?

Bonjour,

oui, nous avons mis en place du SSO sur de nombreux projets ministériels. Pour ma part avec LemonLDAP::NG mais une fois encore d’autres solutions existent (voir mon premier post). Moi et les autres intervenants de ce forum pourront vous donner nos retours d’expérience sur le sujet.