De la gestion des clients ( CRM) à la gestion des identités, il n’y a qu’un pas. L’éditeur Forgerock a fait de la gestion d’identité son cheval de bataille et sa représentante responsable de l’innovation Eve Maler nous a expliqué ses objectifs et ceux de sa firme.

Ancienne analyste de Forrester, Eve Maler ( en photo ci-dessous), est connue pour avoir co-inventé les langages XML et SAML chez Sun Microsystems. Elle travaille, depuis l’an passé, avec Forgerock, l’un des principaux éditeurs de logiciels d’authentification.DSC_31491

Elle est considérée comme une véritable militante des libertés individuelles sur Internet avec le développement du protocole de sécurité UMA. Ce sigle signifie User Managed Access soit l’accès géré des utilisateurs. C’est une variante améliorée et sécurisée de la norme d’authentification OAuth 2.0. Selon la définition donnée par l’association qui gère ce protocole, OAuth permet aux utilisateurs de donner à un site « consommateur » l’accès à certaines informations personnelles provenant d’un site « fournisseur» de service ou de données, ceci tout en protégeant le pseudonyme et le mot de passe des utilisateurs.

L’IdO crée de nouveaux dangers

Au-delà de ce travail de normalisation qui devrait bientôt aboutir, Eve Maler participe à de nombreuses conférences sur la sécurité et fait la promotion des différents outils de sa firme. Elle participera d’ailleurs à la RSA conférence qui se déroulera à San Francisco dans deux semaines. Elle a pu nous décrire son rôle dans le développement d’UMA et l’importance de la sécurité des objets connectés : « Avec la multiplication des objets connectés ( IdO), la menace d’une réduction de notre liberté personnelle n’est plus une vue de l’esprit, car on va pouvoir nous géolocaliser facilement et connaître tout de notre vie et de notre santé. La confidentialité de l’IdO est donc fondamentalement un droit, et non un privilège. Depuis l’affaire Snowden, nous savons tous que la confidentialité de nos échanges et la liberté sur Internet sont menacées. C’est l’une des raisons pour laquelle je travaille sur le développement de la norme UMA ( un protocole de sécurité qui avait initié par Sun sous le nom de protect serve en 2008). Un des objectifs de ce protocole est par exemple d’offrir à l’utilisateur un moyen de contrôler la gestion de la distribution de documents confidentiels. »

Les objectifs du protocole UMA

UMA définit l’accès aux ressources protégées par un serveur d’autorisations centralisées. Il peut régir l’accès aux différents fichiers selon la politique des propriétaires de la ressource partagée ou nom. Le protocole Web UMA va permettre une amélioration significative du respect de la vie privée – en conditionnant l’accès aux différents contextes, et en fournissant les moyens de contrôler les choix – pour les clouds personnels. L’autre objectif est de répondre aux besoins d’administration des partages de données entre un serveur unique et une application à client unique. Un autre objectif est de favoriser « l’autonomisation individuelle » et l’amélioration de la vie privée face aux services en ligne. Elles exigent le contrôle et la visibilité du partage de données avec différents groupes d’utilisateurs, et pas seulement au travers les applications que l’individu lui-même utilise.

Une panoplie à quatre facettes

Forgerock a été créé en février 2010 par des spécialistes du déploiement de solutions open source de Sun dont l’une des sources est d’ailleurs grenobloise. Ses solutions sont liées à la gestion des identités et des accès. Son offre logicielle couvre essentiellement quatre domaines : la gestion des accès, la gestion de l’identité, les passerelles d’identification et les services d’annuaire. La plupart des logiciels ont étés mis à jour à la mi décembre 2014.ForgeRock_01

Le programme Access Management (OpenAM 12.O) gère l’accès aux services de la clientèle « numérique ». Dans la version 12.0, il dispose d’un nouveau moteur de script et d’un éditeur de « politique de sécurité » et autorise une configuration rapide pour l’authentification dans les réseaux sociaux. Dans cette dernière version, Forgerock a ajouté l’authentification contextuelle et des capacités de gestion en libre-service, deux sujets fondamentaux.

Comme son nom le laisse supposer, Identity Management (OpenIDM 3,1) gère pour sa part les identités sur tous les canaux, sur site et dans le Cloud et il inclut des fonctionnalités d’administration d’identité. Il dispose d’une nouvelle interface visuelle pour l’administration des utilisateurs afin de configurer le produit selon ses désirs (tout en soutenant la configuration / Json JavaScript déjà établie du produit). Les utilisateurs peuvent ajouter des connecteurs, définir les correspondances, contrôler les horaires de synchronisation – tous ces opérations s’effectuant sans entrer dans le système de fichiers. Au-delà de l’interface d’administration, de nouveaux connecteurs sont disponibles CloudConnect pour les applications SaaS les plus populaires (Saleforce.com et Google Apps.), auxquelles Forgerock vient d’ajouter le support pour PostgreSQL / EnterpriseDB comme référentiel.

La passerelle d’identification s’annonce comme une passerelle « next-gen » pour protéger l’accès aux ressources des API et du Cloud, aux applications mobiles et à celles d’entreprise. La nouvelle version introduit un cadre général afin d’organiser les audits, une surveillance de base mieux définie. Cette passerelle offre aussi une meilleure lisibilité et facilite l’utilisation du logiciel pour les fichiers dans des configurations complexes.

IDO l’exemple de Toyota

Pour Eve Maler : « Les clients ont tous besoin d’accéder aux systèmes de l’entreprise via des équipements multiples et s’attendent à une interface utilisateur sécurisée qui soit adaptée à l’accès aux services. Selon la manière, le moment et où ils accèdent à ceux-ci. » Cela nécessite une plate-forme sécurisée unique, capable d’unifier tout l’écosystème de l’entreprise et de fournir un moyen simple, « reproductible » pour protéger un nombre croissant d’appareils.

Pour l’internet des objets, l’intelligence contextuelle et la sensibilisation des utilisateurs peuvent ajouter une valeur significative aux services numériques. Par exemple, dans le portail de Toyota, le système « sait » quelle est la voiture référencée et le pilote qui accèdent à la plate-forme d’information, et où ils sont. Cela permet au système de recommander les stations d’essence, de trouver une place de parking, et d’offrir en temps réel des informations de trafic et de reroutage automatique. D’autres services peuvent exploiter un large éventail de données contextuelles – tels que l’emplacement, l’heure, la fiche client, la température, le dispositif et pratiquement rien d’autre – pour personnaliser les interactions avec les utilisateurs. Au-delà des objets connectés, ce sont bien ceux qui les manipulent qui sont connectés et surveillés sans relâche. Pour Eve Maler L’IdO doit être l’occasion d’une véritable prise de conscience pour ne pas brader nos libertés individuelles.