Service d'annuaire
Qu'est-ce qu'un service d'annuaire ?
Un service d'annuaire est une plateforme centralisée pour gérer les identités, les applications et autres ressources réseau dans un environnement IT. Le service stocke des informations sur les utilisateurs, les appareils et les applications, et joue un rôle central dans l'authentification et l'autorisation. Lors de l'authentification, le service d'annuaire vérifie l'identité d'un utilisateur par exemple au moyen d'un nom d'utilisateur et d'un mot de passe. En cas d'authentification réussie, l'utilisateur obtient l'accès, puis l'autorisation détermine les droits d'accès de l'utilisateur au sein des applications et des sources de données.
Active Directory (AD) et Entra ID (Azure AD) sont des exemples de services d'annuaire qui permettent aux organisations de rationaliser et de sécuriser l'accès à leurs environnements IT. Un service d'annuaire peut être utilisé de manière autonome, mais il est généralement intégré, dans les environnements IT modernes, à une plateforme plus large de Gestion des Identités et des Accès (IAM).
Comment fonctionne un service d'annuaire ?
Le fonctionnement d'un service d'annuaire peut être illustré avec LDAP (Lightweight Directory Access Protocol), une norme de protocole largement utilisée pour les services d'annuaire. Avec LDAP, l'authentification et l'autorisation s'effectuent, dans les grandes lignes, comme suit:
Authentification
L'authentification consiste à vérifier qu'un utilisateur est bien celui qu'il prétend être. Dans LDAP, cela se fait généralement au moyen d'une opération 'bind' :
Un utilisateur tente de se connecter en fournissant un nom d'utilisateur, un Nom distinctif (DN), et un mot de passe.
LDAP vérifie que les informations fournies sont correctes.
Si la combinaison est correcte, l'utilisateur est authentifié et peut passer à l'autorisation.
Autorisation
L'autorisation détermine ce qu'un utilisateur est autorisé à faire après une authentification réussie:
Les droits sont définis dans des listes de contrôle d'accès (ACL) qui précisent quels utilisateurs ont accès à quelles ressources du réseau.
Par exemple : un employé standard ne peut consulter que ses propres données, tandis qu'un administrateur système peut gérer tous les utilisateurs. Un administrateur peut créer, modifier et supprimer des comptes.
Normes des services d'annuaire
Dans l'exemple ci-dessus, nous avons utilisé la norme LDAP. Ce n'est qu'un exemple des protocoles standard utilisés par les services d'annuaire. De telles normes ouvertes sont essentielles, car vous souhaitez pouvoir connecter différents systèmes à votre service d'annuaire. Voici quelques protocoles de services d'annuaire couramment utilisés:
LDAP (Lightweight Directory Access Protocol). Il s'agit d'un protocole ouvert pour stocker et interroger des informations d'annuaire, qui peut également être utilisé pour l'authentification et l'autorisation. LDAP fonctionne avec une hiérarchie d'utilisateurs, de groupes et d'appareils.
Kerberos. Il s'agit d'un protocole de sécurité réseau qui fournit une authentification forte via des tickets chiffrés. Il permet l'authentification unique (SSO) sans transmettre de mots de passe sur le réseau.
SAML (Security Assertion Markup Language). Il s'agit d'une norme basée sur XML pour fédérer des identités entre différents domaines afin de prendre en charge l'authentification unique (SSO). SAML est notamment utilisé dans des applications cloud d'entreprise telles que Google Workspace et Microsoft 365.
Le terme lightweight mérite une brève explication. Il signifie que le protocole est conçu pour être aussi efficace que possible, n'envoie pas de données inutiles et ne requiert pas trop de puissance de calcul des appareils connectés. LDAP a été développé à partir de l'ancienne norme d'annuaire X.500, beaucoup plus lourde, et est donc moins utilisée pour les services d'annuaire modernes. Un utilisateur peut, sans s'en rendre compte, solliciter un service d'annuaire des dizaines de fois par jour pour accéder à des applications et à des données, d'où l'importance de la rapidité. Nous utilisons donc aujourd'hui des services d'annuaire légers.
Exemples de services d'annuaire
De nombreux services d'annuaire sont utilisés. Voici quelques solutions largement déployées:
Microsoft Active Directory (AD). Cette solution sur site est utilisée dans les environnements Windows pour la gestion des utilisateurs et l'authentification. AD prend en charge des protocoles tels que LDAP et Kerberos. Il utilise également SAML (Security Assertion Markup Language) pour permettre l'authentification unique (SSO).
Entra ID. Il s'agit du nouveau nom d'Azure Active Directory (Azure AD), la solution cloud de gestion des identités et des accès de Microsoft. Entra ID prend en charge OAuth, SAML et OpenID Connect, et sert notamment à gérer l'accès à Microsoft 365 et aux applications SaaS.
Red Hat Directory Server (RHDS). Service d'annuaire LDAP d'entreprise commercial de Red Hat, adapté aux réseaux basés sur Linux et Unix.
Apache Directory Server (ApacheDS). Service d'annuaire open source basé sur Java qui prend en charge LDAP et Kerberos pour la gestion des identités.
IBM Security Directory Server. Service d'annuaire pour les grandes organisations, basé sur LDAP.
Services d'annuaire au sein de votre solution IAM
Nous avons déjà indiqué qu'un service d'annuaire est aujourd'hui généralement intégré à une plateforme plus large de Gestion des Identités et des Accès (IAM). Le service d'annuaire assure les fonctions de base telles que l'authentification et l'autorisation. Un environnement IAM moderne complète ces fonctions avec un ensemble de fonctionnalités plus riche et organise la gestion des identités et des droits sur l'ensemble du cycle de vie des identités; depuis l'arrivée des utilisateurs, leur évolution, jusqu'à leur départ de l'organisation. Nous décrivons ci-dessous la valeur ajoutée des fonctionnalités IAM par rapport aux services d'annuaire au travers de différents modules HelloID:
Gestion des accès
Les services d'annuaire prennent en charge l'authentification et l'autorisation des utilisateurs au sein d'un environnement IT, mais tous ne gèrent pas des concepts complémentaires tels que l'authentification unique et l'authentification multifacteur. Ce sont des exemples de fonctionnalités que HelloID ajoute via le module Gestion des accès.
Provisionnement
D'un point de vue technique, les données dans Active Directory ou Entra ID peuvent bien sûr être gérées manuellement et directement. Cependant, cela devient ingérable dès qu'une organisation compte des centaines ou des milliers d'utilisateurs et que vous souhaitez maintenir, tout au long de leur contrat, des comptes et des droits corrects, cohérents et à jour. Cette exigence est d'autant plus forte si vous devez respecter toutes les lignes directrices pertinentes en matière de protection de la vie privée et de sécurité de l'information.
Le module HelloID Provisioning garantit donc que les collaborateurs reçoivent automatiquement, à tout moment, les comptes et droits appropriés grâce au contrôle d'accès basé sur les attributs (ABAC). À cette fin, le système interroge plusieurs fois par jour le système RH comme source de données. Sur la base, par exemple, de la fonction, du service et du site actuels d'une personne, le système détermine automatiquement les comptes et droits d'accès requis. Ces paramètres sont automatiquement transmis par HelloID, pour chaque collaborateur, au service d'annuaire et aux autres systèmes cibles. Le service d'annuaire continue donc d'assurer, sur le plan technique, l'authentification et l'autorisation en arrière-plan. Le module de provisionnement garantit toutefois qu'au sein des organisations de grande taille et complexes, tous les paramètres sont gérés de manière maîtrisée et contrôlable.
Automatisation des services
Il en va de même pour le module HelloID Service Automation. Avec les fonctionnalités de provisionnement, vous attribuez autant que possible automatiquement les bons comptes et droits aux utilisateurs. Il existe néanmoins toujours des modifications spécifiques. Par exemple, lorsqu'une personne a besoin d'une licence supplémentaire ou d'un accès à un dossier de données pour travailler sur un projet précis. Vous pouvez bien sûr demander à un administrateur de niveau 2 d'appliquer ces modifications directement dans Active Directory. Avec le module Service Automation, nous permettons cependant aux agents du service desk, aux managers, voire à l'utilisateur lui-même, d'effectuer ces changements. Là encore, il s'agit de modifications dans le service d'annuaire, mais elles sont réalisées de manière beaucoup plus efficace et conviviale.
Gouvernance
Grâce aux fonctionnalités de reporting et au module HelloID Governance, nous veillons également à ce que toutes les modifications soient traçables et à ce que la gestion des comptes et des droits soit évaluée régulièrement et ajustée si nécessaire. Des contrôles périodiques permettent d'identifier les portes dérobées et les incohérences, et de maintenir notre modèle de rôles à jour. Ainsi, les fonctionnalités IAM s'intègrent pleinement dans le cycle Plan-Do-Check-Act prescrit par l'ISO 27001 et les normes de sécurité qui en dérivent.
Vous souhaitez en savoir plus sur les services d'annuaire ?
Vous souhaitez en savoir plus sur l'intégration de HelloID avec des services d'annuaire tels qu'AD et Entra ID ? Prenez contact avec nous