2.2.2. Compte
A chaque personne peuvent être associés des
comptes d'accès aux différents systèmes et applications
Le compte est défini par l'identifiant d'accès,
un mot de passe (ou un authentifiant d'une aune nature), et plusieurs attributs
supplémentaires en fonction de l'environnement dans lequel il est
créé comme : la politique de mot de passe associée,
l'accès externe autorise ou non, l'état du compte, les modes
d'authentification autorisé etc.
Il existe quatre types de comptes :
· le compte global Ce compte, unique
(à un utilisateur correspond un seul compte) identifie une personne dam
le référentiel central de gestion des habilitations et est
utilisé par tous les processus d'attribution des droits.
· le compte utilisateur Ce compte donne
l'accès à un utilisateur dans un environnement particulier auquel
cet utilisateur est habilite. Chaque compte utilisateur est obligatoirement
associe à une personne (et son identifiant unique). Sa création
suppression et la cohérence des informations associées est
maintenue automatiquement par le système de gestion des habilitations en
fonction des profils métiers attribues à la personne. Exemples :
compte d'OS. de NOS. de messagerie, de groupware. de LDAP. etc. Les
administrateurs locaux peuvent créer des comptes utilisateur uniquement
dans les cas exceptionnels (exemples : audit de plateforme, intervention
technique d'urgence. ...). Une procédure de «
réconciliation » doit être appliquée ensuite pour
définir les liens entre ce compte et la personne.
· le compte d'administration Ce compte
donne l'accès a un administrateur dam un environnement particulier. Ce
compte n'est pas associé à une personne E ne correspond donc
à aucune entrée dans le référentiel central.
Leur usage doit être limité aux actes d'administration techniques
des environnements et des applications dans les environnements où ces
tâches ne peuvent pas être effectuées via les rôles
d'administration Exemple : Compte « Root » d'Unix Les
procédures mises en oeuvre doivent garants- la traçabilité
et l'auditabilité des personnes physiques auxquelles ces comptes
administrateurs ont été autorisés d'emploi Un changement
d'affectation doit être associe a une procédure de changement des
mots de passe
· le compte « de service fonctionnel
on technique » Ces comptes sont utilisés par les
composants d'un système pour accéder aux services applicatifs et
ou données d'un autre système. La connexion au système
cible, utilisant ce compte, doit être authentifiée ou seulement
identifiée si la liaison se fart intégralement dans une zone
sécurisée Le compte est donc associé au système ou
application cliente et non à une personne. Aucune personne n'est
autorisée à l'utiliser. Les permissions sont définies et
gérées dans le cadre d'administration d'application et ne sont
pas prises en charge par le système de gestion des habilitations. Les
droits attribues à ce compte doivent être restreints au strict
minimum et n'autoriser que les fonctions invoquées Le système de
nommage adopte devrait différencier clairement ce type de comptes
Un compte unique (dans un environnement) est associé
à une et une seule personne à l'instant T (a l'exception de:
compte: d'administration et technique;).
À un compte peuvent être associés (en
fonction de la capacité de gestion de l'environnement) :
· une durée de validité.
· un état (actif, suspendu).
Etc.
|