Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Contrôle d’accès basé sur les rôles (RBAC) Riad Mansouri/Francis Wanko Naa CR 4

Contrôle d’accès basé sur les rôles (RBAC) Riad Mansouri/Francis Wanko Naa CR 410 – Gestion des identités et des accès 1 Contrôle d’accès basé sur les rôles Ingénierie des rôles Rôles applicatifs Rôles d’entreprise Cycle de vie des rôles 25/08/2018 CR410 – Gestion des identités et des accès 2 Déroulement Quiz 2 30 min 25/08/2018 CR410 – Gestion des identités et des accès 3 Rappel 25/08/2018 CR410 – Gestion des identités et des accès 4 Rappel 25/08/2018 CR410 – Gestion des identités et des accès 5 1-Contrôle d’accès basé sur les rôles 2-Ingénierie des rôles. 3- Rôles applicatifs 4-Rôles d’entreprise 5-Cycle de vie des rôles Plan CR410 – Gestion des identités et des accès 25/08/2018 6 Contrôle d’accès basé sur l’utilisateur • Accès gérés via des privilèges (droits) d’accès • Privilèges d’accès assignés directement aux utilisateurs • Assignation faite par les administrateurs du système concerné Inconvénients • Sujet aux erreurs à cause des droits discrétionnaires • Coût élevé de gestion des privilèges d’accès • Plus difficile d’être conforme aux exigences réglementaires Gestionnaires Employés Systèmes 25/08/2018 CR410 – Gestion des identités et des accès 7 Application Active Directory Base de données Courriel Contrôle d’accès basé sur des rôles • Accès gérés via des rôles • Privilèges d’accès assignés aux rôles • Rôles assignés aux utilisateurs • Assignation faite par l’équipe de gestion des rôles Avantages • Processus d’approvisionnement simplifié • Coût et nombre d’erreurs potentielles réduits • Meilleure conformité aux exigences réglementaires Systèmes 25/08/2018 CR410 – Gestion des identités et des accès 8 Application Active Directory Base de données Courriel Rôle gestionnaire Rôle staff Résumé • L ’approche RBAC permet non seulement de faciliter l’obtention des accès mais aussi de réduire les efforts aux niveaux affaires et TI Contrôle d’accès discrétionnaire Contrôle d’accès basé sur les rôles Gestionnaires Employés Systèmes Systèmes 25/08/2018 CR410 – Gestion des identités et des accès 9 Application Application Active Directory Base de données Courriel Active Directory Base de données Courriel Rôle gestionnaire Rôle staff Contrôle d’accès basé sur des rôles 25/08/2018 CR410 – Gestion des identités et des accès 10 Un rôle définit les fonctions exécutées et les privilèges d’accès assignés à un groupe d’utilisateurs partageant le même emploi, le même titre ou exécutant les mêmes tâches. Combine des descriptions fonctionnelles (en langage d’affaires) et des détails d’approvisionnement d’accès (en langage TI) 25/08/2018 CR410 – Gestion des identités et des accès 11 Rôle Modèle de rôle « Qui je suis dans l’entreprise » « Ce que je fais dans l’entreprise » « Ce que je fais dans une application » « Les droits que j’ai dans l’application » Droits d’accès dans les applications (granulaires ou regroupés en profil, rôle, etc., selon l’application) 25/08/2018 CR410 – Gestion des identités et des accès 12 Rôle d’entreprise Fonction d’affaire supportée Rôle applicatif Application A Fonction d’affaires supportée Rôle applicatif Application B Fonction d’affaires supportée Rôle applicatif Application C Fonction d’affaires supportée Rôle applicatif Application D Fonction d’affaires supportée Rôle TI Application A Détails d’accès Rôle TI Application B Détails d’accès Rôle TI Application C Détails d’accès Rôle TI Application D Détails d’accès Modèle de rôle - Exemple Rôles d’entreprise Rôles applicatifs Rôles TI 25/08/2018 CR410 – Gestion des identités et des accès 13 Droits d’accès dans les applications (granulaires ou regroupés en profil, rôle, etc., selon l’application) Commis RH Ressources humaines SAP RH Ressources humaines TRAKK Ressources humaines SAP RH Paye - Écriture TRAKK Feuilles de temps - Lecture Employé SABA Apprentissage et développement Exchange Tous les utilisateurs TRAKK Tous les utilisateurs SABA Formation - Lecture Exchange Boite personnelle –Envoi/Réception TRAKK Feuilles de temps - Écriture Éléments clés • Contexte d’affaire: Fonction d’emploi et responsabilités liées • Contexte technique: Liste des permissions pour exécuter une fonction d’emploi • Individus qui exécutent une ou plusieurs fonctions d’emploi dans l’organisation • Configuration nécessaire pour exécuter une opération dans un système ou une application Éléments clés Permissions 25/08/2018 CR410 – Gestion des identités et des accès 14 • Mécanisme de contrôle d’accès qui définit, gère et applique des privilèges de contrôle d’accès à travers l’utilisation de rôles entre l’utilisateur et l’assignation des privilèges • On assigne aux utilisateurs des rôles, qui permettent l’accès à des systèmes, basés sur les responsabilités d’emploi • Se base sur les principes de droit d’accès minimal (least privilege) et de séparation des tâches incompatibles (Segregation of Duties) 25/08/2018 CR410 – Gestion des identités et des accès 15 Contrôle des accès basé sur les rôles Séparation des tâches incompatibles • Pour un ensemble particulier de transactions, aucun utilisateur ne doit pouvoir exécuter toutes les transactions de cet ensemble • Exemple: paiement de facture • Créer la facture dans le système • Autoriser le paiement de la facture Droit d’accès minimal: • L ’utilisateur ne doit pas avoir plus de droits que nécessaire pour réaliser son travail Déterminer Least privilege et Segregation of Duties Identifier le travail de l’utilisateur l’ensemble minimum de privilèges nécessaires Limiter les accès de l’utilisateur à ces privilèges 25/08/2018 CR410 – Gestion des identités et des accès 16 Ingénierie des rôles 25/08/2018 CR410 – Gestion des identités et des accès 17 1.Définir les rôles, et les permissions, contraintes et les hiérarchies associées • Les rôles sont définis pour permettre une utilisation fonctionnelle de systèmes par l’utilisateur 2.Assigner les permissions aux rôles 3.Assigner les rôles aux utilisateurs Ingénierie des rôles Définir les rôles Assigner les permissions aux rôles Assigner les rôles aux utilisateurs 25/08/2018 CR410 – Gestion des identités et des accès 18 • Analyser les relations utilisateur-permission pour identifier des rôles • Partie la plus critique (et la plus coûteuse) d’un projet RBAC • Approches possibles: • Descendante (T op-Down) • Ascendante (Bottom-Up) • Hybride 25/08/2018 CR410 – Gestion des identités et des accès 19 Forage de rôles • Orienté « affaires » • Basé sur les responsabilités d’un poste donné • Les processus d’affaires sont divisés en unités fonctionnelles plus petites • Les permissions sont associées à ces unités fonctionnelles, basé sur la fonction d’emploi Forage descendant (top-down) Définir les limites (portée) Déterminer les besoins d’accès Définir des catégories d’utilisateurs Identifier les contraintes Regrouper les rôles en hiérarchie 25/08/2018 CR410 – Gestion des identités et des accès 20 Avantages • Fournit des rôles précis et réutilisables • Rôles très alignés avec la structure d’affaires • Pas besoin d’un outil de forage qui peut être coûteux 25/08/2018 CR410 – Gestion des identités et des accès 21 Inconvénients • Tâche manuelle – Ne peut pas être automatisée • Demande beaucoup de temps • Les coûts globaux peuvent être plus élevés pour une grande population • Ignores les permissions existantes Forage descendant (suite) • Orienté « TI » • Basé sur les permissions présentement assignées aux utilisateurs • Les permissions existantes sont normalisées et rationalisées • Des outils du marché sont utilisés pour analyser les permissions existantes Forage ascendante (bottom-up) Définir les limites (portée) Obtenir les accès existant Normaliser et rationaliser Identifier les contraintes Regrouper les rôles en hiérarchie 25/08/2018 CR410 – Gestion des identités et des accès 22 Avantages • Processus automatisé • Moins de variance avec les permissions actuelles comparé à l’approche descendante 25/08/2018 CR410 – Gestion des identités et des accès 23 Inconvénients • Des outils de forage coûteux peuvent être nécessaires • Accumulation de permissions qui ne sont plus utiles • Ignore la structure d’affaire Forage ascendant (suite) • Combine les approches descendantes et ascendantes • Approche la plus utilisée pour le forage des rôles • Des rôles normalisés sont obtenus à partir des permissions existantes • Les rôles sont alignés avec les fonctions d’emploi 25/08/2018 CR410 – Gestion des identités et des accès 24 Forage hybride Rôles applicatifs 25/08/2018 CR410 – Gestion des identités et des accès 25 • Le rôle applicatif est une combinaison logique de différentes permissions qui permettent aux utilisateurs d’exécuter leurs fonctions d’emploi dans une application. • Le modèle de rôle applicatif agrège et associe les descriptions fonctionnelles en langage d’affaires avec les informations techniques correspondantes. Qu’est ce qu’un rôle applicatif? Que fait la personne dans cette application? Comment est-ce que les permissions sont données? Application A Détails d’accès Application A Description fonctionnelle 25/08/2018 CR410 – Gestion des identités et des accès 26 • La partie supérieure permet aux gestionnaires d’affaires de comprendre la fonction de l’utilisateur • La partie inférieure permet aux administrateurs TI de savoir quels accès donner aux utilisateurs Modèle de rôle applicatif 25/08/2018 CR410 – Gestion des identités et des accès 27 Rôle applicatif Nom du rôle applicatif: Nom de l’application: Description en langage d’affaires Propriétaire du rôle Privilèges d’accès Système TI Nom du système TI portant les permissions Permissions Système TI Nom du système TI portant les permissions Permissions Rôle applicatif - Exemple 25/08/2018 CR410 – Gestion des identités et des accès 28 Rôle applicatif Nom du rôle: WBR – Commis traitement des revenus Application : SAP Description fonctionnelle Le rôle permet au personnel de gérer les revenus dans SAP en facilitant: • La création du profil client • La modification de la limite de crédit • La révision et la création de uploads/Management/ cr410-cours-8-rbac-concepts-et-implementation-pdf.pdf