IdMe : un socle pour la gestion d'identités en entreprise

(1)

HAL Id: dumas-00711781

https://dumas.ccsd.cnrs.fr/dumas-00711781

Submitted on 3 Jul 2012

HAL is a multi-disciplinary open access archive for the deposit and dissemination of sci-entific research documents, whether they are pub-lished or not. The documents may come from teaching and research institutions in France or abroad, or from public or private research centers.

L’archive ouverte pluridisciplinaire HAL, est destinée au dépôt et à la diffusion de documents scientifiques de niveau recherche, publiés ou non, émanant des établissements d’enseignement et de recherche français ou étrangers, des laboratoires publics ou privés.

IdMe : un socle pour la gestion d’identités en entreprise

Frantz Fischer

To cite this version:

Frantz Fischer. IdMe : un socle pour la gestion d’identités en entreprise. Architectures Matérielles [cs.AR]. 2011. �dumas-00711781�

(2)

!"#$%&'()"*&%+#()*"#(,+-%$+(&)$+%)+./)*%&$+ + 0(&*$+ + + ./."*&%+ 12345673+56+895+:;<=756>2+ ?5+-*0,@.%+:;*#A/#*%B&+!#(.+ $0/!*(,*)/+C+*6D<2EF7>G95+ + + "0)*"#+C+(2HI>75H7925+57+>6J36>52>5+:54+4K47LE54+57+:54+?<J>H>5?4+ + + 1F2+ + + M*$!N%&+M2F67O+ + + !"#$%&%'(%)*+,$%-*./%,0%1$)23*(%"43"$(2325)%$(%$(2/$-/3)$% + $<97569+?5+PQ+R9>6+PSTT+ + + UB&V+ + 0&/$*-%#)+C++0",,%)+VF66+ .%.W&%$+C++ W(&&/+$K?8F>6+ -"B*#+U5F6X.>HI5?+ ,*A#%,%)+0F72>H5+ $!NY#%W%&A%&+"?>8>52+

(3)

(4)

6$7$/+3$7$(2)%

%

U5+25E52H>5+#>H<?F4+0><HI+1<92+EZF8<>2+E<6723+?F+8<>5+57+EZF8<>2+F>J9>??3+8524+?5+!#(.[+ +

.54+ 25E52H>5E5674+ 8<67+ 3JF?5E567+ \+ U5F6X,<9>4+ -5]5O^+ 0F4HF?+ A2FDD><6^+ 57+ .F2H+ ,5+ W>IF6^+1<92+EZF8<>2+56H<92FJ3+\+:385?<1152+H5+49R57+:5+E3E<>25[++

+

.52H>+ \+ E54+ 7975924+ U5F6X.>HI5?+ -<9>6+ 57+ "?>8>52+ $HI_65=52J52+ 4F64+ G9>+ R5+ 6ZF92F>+ 19+ 23F?>452+H5+12<R57[+

+

U5+ 25E52H>5+ :<6H+ ?5+ R92K+ :F64+ 4<6+ 5645E=?5+ 1<92+ ?5+ 75E14+ 1F443+ 492+ H5+ E3E<>25^+ 57+ 6<7FEE567+$K?8F>6+WF223+G9>+6ZF+1F4+I34>73+\+1F2H<92>2+965+J2F6:5+:>47F6H5+FD>6+:Z`725+ 1234567[+

+

%6D>6^+ R5+ 25E52H>5+ 1F27>H9?>L25E567+ EF+ D5EE5+ (6F47F4>F+ G9>+ F+ 49+ E5+ 25E57725+ :F64+ ?5+ :2<>7+ HI5E>6+ ?<24G95+ HZ37F>7+ 63H544F>25+ 57+ EZ56H<92FJ52+ 4F64+ 25?aHI5+ 7<97+ F9+ ?<6J+ :5+ E<6+1F2H<924+!#(.[+

(5)

(6)

**89/5:3023*()**

+ (U(b+ + (4K6HI2<6<94+UF8F$H2>17+(6:+b.,+ (0*+ + (11?>HF7><6+02<J2FEE>6J+*6752DFH5+ !#*,+ + !<EE>44><6+#F7><6F?5+:5+?Z*6D<2EF7>G95+57+:54+,>=52734+ !&.+ + !947<E52+&5?F7><64I>1+.F6FJ5E567+ !$$+ + !F4HF:>6J+$7K?5+$I557+ -(!+ + ->4H257><6F2K+(HH544+!<672<?+ -("+ + -F7F+(HH544+"=R5H7+ %UW+ + %675212>45+UF8F+W5F6+ %&0+ + %675212>45+&54<92H5+0?F66>6J+ N))0+ + NK15275c7+)2F64D52+02<7<H<?+ *(.+ + *:567>7K+F6:+(HH544+.F6FJ5E567+ *($+ + *67526F7><6F?+(HH<967>6J+$7F6:F2:4+ *-%+ + *675J2F75:+-585?<1E567+%68>2<6E567+ *-0+ + *:567>7K+02<8>:52+ *0+ + *6752657+02<7<H<?+ *N.+ + *6752DFH5+N<EE5+.FHI>65+ ,$M+ + ,<>+492+?F+$3H92>73+M>6F6H>L25+ U(($+ + UF8F+(97I567>HF7><6+F6:+(97I<2>OF7><6+$528>H5+ U-W!+ + UF8F+-F7F=F45+!<665H7>8>7K+ U-d+ + UF8F+-585?<1E567+d>7+ U%%+ + UF8F+%675212>45+%:>7><6+ U0(+ + UF8F+0524>4756H5+(0*+ U0e,+ + UF8F+0524>4756H5+e952K+,F6J9FJ5+ U$M+ + UF8F+$52852+MFH54+ U$0+ + UF8F+$52852+ U)(+ + UF8F+)2F64FH7><6+(0*+ ,!%#+ + ,<>+1<92+?F+!<6D>F6H5+:F64+?;%H<6<E>5+#9E32>G95+ ,-(0+ + ,>JI7]5>JI7+-F7F+(HH544+02<7<H<?+ ,",M+ + ,<>+"2JF6>G95+:54+,<>4+:5+M>6F6H5+ .!"+ + .F>67>56+56+!<6:>7><6+"132F7><665??5+ ."(+ + .Ff72>45+:Z<982FJ5+ ."%+ + .Ff72>45+:Zg9825+

(7)

(8)

.'!+ + .<:5?+'>5]+!<672<??52+ #"$+ + #57]<2h+"152F7>6J+$K475E4+ "&.+ + "=R5H7+&5?F7><6F?+.F11>6J+ "$+ + "152F7>6J+$K475E+ 0!+ + 0524<6F?+!<E19752+ 0-(+ + 0524<6F?+->J>7F?+(44>47F67+ 0d*+ + 09=?>H+d5K+*6D2F4729H7925+ 0"!+ + 02<<D+"D+!<6H517+ 0"U"+ + 0?F>6+"?:+UF8F+"=R5H7+ &W(!+ + &<?5+WF45:+(HH544+!<672<?+ $(.,+ + $5H92>7K+(44527><6+.F2h91+,F6J9FJ5+ $%!+ + $5H92>7>54+F6:+%cHIF6J5+!<EE>44><6+ $*+ + $K47LE5+:;*6D<2EF7><6+ $"(+ + $528>H5+"2>5675:+(2HI>75H7925+ $"(0+ + $>E1?5+"=R5H7+(HH544+02<7<H<?+ $0+ + $528>H5+02<8>:52+ $e,+ + $729H7925:+e952K+,F6J9FJ5+ $$,+ + $5H925+$<Hh57+,FK52+ $$"+ + $>6J?5+$>J6+"6+ )!0+ + )2F64D52+!<672<?+02<7<H<?+ B!+ + B45+!F45+ B*+ + B452+*6752DFH5+ B.,+ + B6>D>5:+.<:5?>6J+,F6J9FJ5+ B&,+ + B6>D<2E+&54<92H5+,<HF7><6+ B$W+ + B6>8524F?+$52>F?+W94+ i$-,+ + i5=+$528>H5+-54H2>17><6+,F6J9FJ5+ bN).,+ %c7564>=?5+NK15275c7+.F2h91+,F6J9FJ5+ b.,+ + %c7564>=?5+.F2h91+,F6J9FJ5+ b$,)+ + %c7564>=?5+$7K?5+4I557+,F6J9FJ5+)2F64D<2EF7><64

(9)

(10)

+

!"##$%&'(

;<+ !(2/*".+23*(<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<< =+ ><+ !(2/*".+23*(%?%,0%1$)23*(%"43"$(2325<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<< =+ ><;<+ @202%"$)%,3$.A<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<< B+ P[T[T[+ *??9472F7><6[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ TS+ ><><+ C.)23D3+023*()%"4.(%-/*E$2%"$%1$)23*(%"$)%3"$(2325)%$2%"$)%"/*32)%"40++F) <<<<<<<<<<<<<<<<<<;;+ P[P[T[+ AF2F67>5+:5+72FjF=>?>73+57+:ZF9:>7F=>?>73[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ TP+ P[P[P[+ &3:9H7><6+:54+H<k74+:ZF:E>6>472F7><6 [[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ TP+ P[P[l[+ (E3?><2F7><6+:5+?Z5DD>HFH>73+57+:5+?F+23FH7>8>73 [[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ Tl+ P[P[m[+ (E3?><2F7><6+:5+?F+43H92>73[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ Tl+ ><G<+ H*(+$-2)%$2%7*"5,3)023*( <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<;I+ P[l[T[+ ,54+H<6H5174 [[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ Tm+ P[l[P[+ M3:32F7><6+:Z>:567>734[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ TQ+ P[l[l[+ .<:L?5+&W(![[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ PS+ P[l[m[+ (97254+E<:L?54 [[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ PP+ P[l[n[+ .<:L?5+D<6H7><665?+57+:5+:<66354[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ PP+ ><I<+ J$)%-/*+$)).)%$2%,$)%0+2$./)<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<>K+ P[m[T[+ ,54+FH75924 [[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ Pn+ P[m[P[+ ,54+12<H54494[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ Pn+ ><K<+ J$)%D*(+23*()%$2%,$)%)$/:3+$)<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<>K+ P[n[T[+ A547><6+:54+>:567>734+57+:54+IF=>?>7F7><64[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ Pn+ P[n[P[+ (?>E567F7><6+F8F?+o02<8>4><6>6Jp[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ PQ+ P[n[l[+ ,5+4528>H5+:5+HIF6J5E567+57+:5+4K6HI2<6>4F7><6+:54+E<74+:5+1F445[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ Pq+ P[n[m[+ 02<H54494+57+E3HF6>4E54+:5+H<672r?5+:ZFHHL4+57+:Z38F?9F7><6+:54+:2<>74[[[[[[[[[[[[[[[[[[[[ Pq+ ><L<+ M570/+N$<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<GO+ P[s[T[+ -3D>6>7><6+:9+132>EL725[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ lT+ P[s[P[+ ,54+FH75924+:9+12<R57 [[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ lP+ P[s[l[+ ,54+37F154+47F6:F2: [[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ ll+ P[s[m[+ 02>45+56+H<E175+:Z96+132>EL725+3756:9[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ ls+ ><P<+ 8)-$+2)%E./3"3Q.$) <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<GP+ P[Q[T[+ ,F+?<>+$F2=F654X"c?5K [[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ lQ+ P[Q[P[+ ,F+23D<2E5+Wa?5+P [[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ lq+ P[Q[l[+ ,F+23D<2E5+$<?856HK+P[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ lt+ P[Q[m[+ ,F+?<>+492+?F+43H92>73+D>6F6H>L25+X+,$M[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ lt+ P[Q[n[+ ,<>+1<92+?F+H<6D>F6H5+:F64+?Z3H<6<E>5+69E32>G95+u+,%#+<9+,!%#[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ lt+ P[Q[s[+ ,<>+<2JF6>G95+:54+?<>4+:5+D>6F6H5+X+,",M [[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ mS+ P[Q[Q[+ ,F+6<2E5+*($+lt+o*67526F7><6F?+(HH<967>6J+$7F6:F2:4p [[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ mS+ P[Q[q[+ !#*,[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ mS+ G<+ !"#$%"0()%,0%1$)23*(%"43"$(2325<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<< I;+ G<;<+ R5/37F2/$ <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<I;+ G<><+ #52N*"$%.23,3)5$ <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<I;+ I<+ @A-/$))3*(%"$)%9$)*3() <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<< I>+

I<;<+ M*+.7$(2<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<I>+ I<><+ H*(2$A2$<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<IG+ I<G<+ J$)%0+2$./)<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<II+ m[l[T[+ ,Z97>?>4F7592[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ mn+ m[l[P[+ ,5+49152+F:E>6>472F7592 [[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ mn+ m[l[l[+ ,ZF:E>6>472F7592[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ mn+

(11)

(12)

m[l[m[+ ,54+4K47LE54+:>47F674[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ mn+ m[l[n[+ NF=>?>7F7592[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ mn+ m[l[s[+ $K6HI2<6>4F7592[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ mn+ m[l[Q[+ (11?>HF7592+:5+HKH?5[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ ms+ m[l[q[+ (9:>7592 [[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ ms+ m[l[t[+ ,54+F11?>HF7><64+:>47F6754 [[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ ms+ I<I<+ J$)%+0)%"4.23,3)023*( <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<IL+ m[m[T[+ !F4+H2>7>G954 [[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ mQ+ m[m[P[+ !F4+>E1<27F674 [[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ ns+ m[m[l[+ !F4+97>?54 [[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ nq+ K<+ 8(0,S)$%$2%+*(+$-23*(<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<< L;+ K<;<+ M*+.7$(2%"40(0,S)$ <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<L;+ K<><+ M*+.7$(2%"$%+*(+$-23*( <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<L>+ K<G<+ J$)%0+2$./)<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<L>+ K<I<+ J401$(2<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<LG+ n[m[T[+ A547><6+:54+F=472FH7><64 [[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ sm+ n[m[P[+ A547><6+:5+?F+H<6D>J92F7><6 [[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ sn+ n[m[l[+ A547><6+:9+12<8>4><6>6J [[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ sQ+ n[m[m[+ A547><6+:5+?F+4K6HI2<6>4F7><6[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ sq+ K<K<+ J$%7*2$./<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<LB+ n[n[T[+ A547><6+:5+?ZF97I567>D>HF7><6+E<7592[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ QS+ n[n[P[+ A547><6+:54+97>?>4F75924 [[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ QS+ n[n[l[+ A547><6+:54+4K47LE54+:>47F674[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ QT+ n[n[m[+ A547><6+:54+:2<>74 [[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ QP+ n[n[n[+ A547><6+:5+?F+H<6D<2E>73 [[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ Ql+ n[n[s[+ A547><6+:5+?F+4K6HI2<6>4F7><6[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ Qm+ n[n[Q[+ A547><6+:54+F11?>HF7><64 [[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ Qn+ n[n[q[+ A547><6+:5+?F+H<6D>J92F7><6 [[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ Qs+ L<+ 8/+N32$+2./$%$2%2$+N(*,*13$)%.23,3)5$)<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<< PL+ L<;<+ T$/:$./%"40--,3+023*(<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<PP+ s[T[T[+ (J567[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ QQ+ s[T[P[+ .<7592[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ QQ+ L<><+ R$/)3)20(+$%"$)%"*((5$)<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<P=+ s[P[T[+ (J567[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ Qt+ s[P[P[+ .<7592[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ qS+ L<G<+ H*.+N$%7523$/<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<=O+ L<I<+ H*.+N$%T$/:3+$ <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<=;+ s[m[T[+ (J567[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ qT+ s[m[P[+ .<7592[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ qP+ L<K<+ H*.+N$%R/5)$(2023*( <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<=>+ s[n[T[+ UF8F+$52852+MFH54+oU$Mp [[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ qP+ s[n[P[+ 02>E5MFH54[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ ql+ s[n[l[+ .>45+56+D<2E5 [[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ qm+ s[n[m[+ UF8F$H2>17[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ qm+ L<L<+ M3:$/)$)%2$+N(*,*13$)%.23,3)5$)%"0()%!"#$<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<=I+ s[s[T[+ $528>H54+]5=[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ qm+ s[s[P[+ &5E<75+%UW [[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ qn+ s[s[l[+ (11?>HF7><6+?>4756524[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ qn+ L<P<+ U$)23*(%"$%,0%)S(+N/*(3)023*(<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<=L+ L<=<+ @(:*3%"$)%(*23D3+023*()%-*./%,$)%+S+,$)%"$%:3$<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<=L+ L<B<+ 8.2N$(23D3+023*(%TTV%$2%0/+N32$+2./$%*/3$(25%)$/:3+$%WTV8X <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<=P+ s[t[T[+ .<:9?5+)<EHF7 [[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ qq+ s[t[P[+ .<:9?5+A?F44M>4I[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ qt+

(13)

(14)

L<;O<+ Y/0+$%0--,3+023:$ <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<=B+ L<;;<+ M5-,*3$7$(2 <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<BO+ P<+ 650,3)023*(<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<< BO+ P<;<+ @(:3/*(($7$(2%"$%"5:$,*--$7$(2 <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<BO+ P<><+ J43(2$/(023*(0,3)023*(<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<B;+ P<G<+ J401$(2<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<B;+ P<I<+ J$%7*2$./<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<B;+ P<K<+ J$)%)$/:3+$)%Z$9 <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<B;+ P<L<+ J$)%![# <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<B>+ P<P<+ TTV<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<BG+ Q[Q[T[+ )<EHF7 [[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ tm+ Q[Q[P[+ A?F44M>4I [[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ tm+ P<=<+ 6$D0+2*/3)023*(%W*.%\%+*"$%/$D0+2*/3(1%]X <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<BI+ Q[q[T[+ $K47LE5+:5+72FH5+o?<JJ>6Jp[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ tm+ Q[q[P[+ !<9HI5+1234567F7><6[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ tn+ Q[q[T[+ !<9HI5+:5+1524>47F6H5+:5+?ZFJ567 [[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ tn+ P<B<+ Y$)2)<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<BL+ Q[t[T[+ )5474+96>7F>254 [[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ ts+ Q[t[P[+ )5474+:Z>673J2F7><6[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ tQ+ Q[t[l[+ )5474+*N.[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ tq+ P<;O<+ 8(0,S)$%"$%,0%-$/D*/70(+$%$2%$A07$(%"$%,0%757*3/$%.23,3)5$ <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<BB+ Q[TS[T[+ -375H7><64+:5+D9>75+E3E<>25 [[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ tt+ Q[TS[P[+ "17>E>4F7><6+:54+=5F64+:5+U$M[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[ tt+ Q[TS[l[+ .3E<>25+E>6>E9E+63H544F>25 [[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[TST+ P<;;<+ M*+.7$(2023*( <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<< ;O;+ Q[TT[T[+ -92F67+?54+1IF454+:5+H<6H517><6[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[TST+ Q[TT[P[+ -92F67+?F+1IF45+:5+23F?>4F7><6[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[TST+ Q[TT[l[+ (+:547>6F7><6+:54+97>?>4F75924 [[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[TSP+ P<;;<+ ^0,3"023*(%".%-/*E$2<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<< ;O>+ P<;><+ R3)2$)%"4075,3*/023*(%$2%"45:*,.23*( <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<< ;O>+ =<+ H*(+,.)3*( <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<;OG+ B<+ B39,3*1/0-N3$ <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<;OI+ B<;<+ V.:/01$)<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<< ;OI+ B<><+ J3$()%!(2$/($2 <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<< ;OK+ ;O<+ J3)2$%"$)%D31./$)<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<;OB+ ;;<+ J3)2$%"$)%209,$0.A <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<;;>+

(15)

+ +

(16)

q+

**)* +,-&"./0-%",(**

"2FH?5+F+R94G9Z\+1234567+12<1<43+:54+4<?97><64+>44954+:ZFJ23JF7><6+:5+12<:9>74+8>F+ ?ZFHG9>4>7><6+:5+4<H>3734+7>52H54[+#ZFKF67+1F4+:385?<113+:5+4<?97><6+:5+J547><6+:Z>:567>73+ \+1F27>2+:5+O32<^+"2FH?5+F+:<6H+:3H>:3+:5+:385?<1152+96+12<:9>7+492+965+:9235+:5+s+\+t+ E<>4+ 56+ FKF67+ 965+ 459?5+ 1524<665+ \+ :>41<4>7><6^+ FD>6+ :Z38F?952+ ?F+ HIF2J5+ J?<=F?5+ :5+ 72F8F>?+63H544F>25+\+?F+23F?>4F7><6+:Z96+75?+<97>?[+ !57+ <97>?+ :58F>7+ H<E1<2752+ :54+ D<6H7><66F?>734+ =F4>G954+ :5+ J547><6+ :54+ 97>?>4F75924^+:5+?5924+:2<>74^+57+:5+?592+HKH?5+:5+8>5[+*?+:58F>7+152E57725+?ZF:E>6>472F7><6+57+ ?ZF?>E567F7><6+ F8F?+ :5+ H54+ E`E54+ :2<>74+ 492+ :54+ 1?F75D<2E54+ 75??54+ G95+ :54+ F669F>254^+ :54+ =F454+ 25?F7><665??54^+ 57+ :54+ D>HI>524+ 1?F74[+ -5+ 1?94^+ 965+ 4K6HI2<6>4F7><6+ :Z>6D<2EF7><64+97>?>4F75924+56725+P+1?F75D<2E54+:>47F6754+:58F>7+`725+1<44>=?5+EF>4+254752+ =F4>G95[+ -ZF97254+ D<6H7><66F?>734+ E>659254+ 1<98F>567+ `725+ 9?732>5925E567+ 123H>4354+ :F64+?Z5c12544><6+:54+=54<>64+56+D<6H7><6+:5+?Z38F?9F7><6+:5+?F+HIF2J5+:5+72F8F>?[+ !5+E3E<>25+123456752F+:<6H+:F64+96+125E>52+75E14+?F+G9547><6+:5+?F+J547><6+:54+ >:567>734+56+5672512>45^+4<6+=97^+4<6+>6732`7^+57+454+H<6H5174[+ %6D>6^+ ?F+ 23F?>4F7><6+ :9+ 12<R57+ 452F+ F=<2:35+ 8>F+ 454+ :>DD3256754+ 37F154+ 56+ 25415H7F67+ ?Z<2:25+ HI2<6<?<J>G95^+ \+ 4F8<>2+C+ ?Z5c12544><6+ :54+ =54<>64^+ ?ZF6F?K45^+ ?F+ H<6H517><6^+?ZF2HI>75H7925+57+?54+75HI6<?<J>54+97>?>4354^+57+56D>6+?F+23F?>4F7><6[+

**1* +,-&"./0-%",(2(3$(4'5-%",(.6%.',-%-7(**

La gestion des identitŽs et des droits d'acc•s (souvent connu sous lÕacronyme IAM, pour Identity and Access Management) est un maillon clŽ dans la cha”ne de sŽcuritŽ des organisations. Elle permet de renforcer le niveau de sŽcuritŽ gŽnŽral en garantissant la cohŽrence dans lÕattribution des droits dÕacc•s aux ressources hŽtŽrog•nes du syst•me dÕinformation.

La gestion des identitŽs et des droits d'acc•s est Žgalement devenue l'un des moyens majeurs permettant de rŽpondre aux exigences rŽglementaires de plus en plus frŽquentes concernant la tra•abilitŽ. C'est aussi un moyen dÕoptimiser lÕadministration des droits.

Mais quÕentend-on exactement par gestion des identitŽs et des droits dÕacc•s ?

(17)

+ +

(18)

t+ personnes (embauche, promotion, mutation, dŽpart, etc.) au sein de la sociŽtŽ et les impacts induits sur le syst•me dÕinformation (crŽation de Comptes utilisateurs, attribution de Profils utilisateurs, mise en Ïuvre du contr™le d'acc•s, etc.). Cette gestion des identitŽs doit pouvoir •tre faite d'un point de vue fonctionnel par des non informaticiens (exemple : Ressources Humaines, Ma”trise dÕouvrage, lÕutilisateur lui-m•me) et d'un point de vue technique par des informaticiens (exemple : administrateur, Ma”trise dÕÏuvre). La solution de gestion dÕidentitŽs doit •tre une solution globale sur la base dÕune infrastructure centralisŽe avec une gestion fonctionnelle distribuŽe et qui int•gre les fonctionnalitŽs suivantes :

- la gestion du rŽfŽrentiel central des utilisateurs (alimentation ˆ partir de rŽfŽrentiels utilisateurs sources)

- la gestion du rŽfŽrentiel central des ressources concernŽes par la gestion des droits dÕacc•s

- la gestion des habilitations (gestion des Profils, R™les, gestion des utilisateurs, workflow ou processus mŽtier)

- le provisioning (synchronisation des rŽfŽrentiels cibles de sŽcuritŽ) - lÕadministration dŽcentralisŽe

- lÕauto administration, gestion par les utilisateurs des mots de passe et des donnŽes privŽes

- lÕaudit et le reporting (gestion des rapports)

- le contr™le dÕacc•s (authentification, autorisation), voir [3]

Ce document vous permettra de vous familiariser avec les concepts et la modŽlisation utilisŽs dans une dŽmarche de gestion des identitŽs. Il a Žgalement pour but de vous aider ˆ mener ˆ bien un projet de gestion des identitŽs et vous guider dans vos choix dÕarchitecture.+

**1) 8-$-(.'5(3%'/9(**

AujourdÕhui, la multiplication et la diversitŽ de syst•mes de contr™le dÕacc•s liŽs aux syst•mes d'exploitation et aux applications est devenue particuli•rement contre-productive. En effet, chaque Ç syst•me È (OS, NOS, messagerie, groupware, applications mŽtiers, ERP, CRM, etc.) est protŽgŽ par une procŽdure de contr™le d'acc•s spŽcifique. De fait, chaque fonction ˆ rŽaliser peut nŽcessiter un code dÕacc•s et des droits associŽs. Cette multiplicitŽ de contr™les dÕacc•s est source de confusion pour l'utilisateur qui, par exemple, perd ou oublie ses mots de passe. Il lui reste alors deux solutions : soit il sollicite le service de helpdesk, au risque de lÕengorger en lui faisant perdre trop de temps ˆ rŽinitialiser tr•s souvent des mots de

(19)

+ +

(20)

TS+ passe, soit il note lesdits codes sur un support ˆ sa portŽe pour ne plus les oublier ! Bien entendu, aucune de ces solutions nÕest satisfaisante...

DÕune mani•re gŽnŽrale, chaque syst•me dÕexploitation et/ou application est gŽrŽ par un administrateur unique; de fait, toute vision globale est impossible. Dans ce cas, lÕadministration autonome de chaque syst•me est particuli•rement source dÕerreurs, de vulnŽrabilitŽs et de perte de temps. Par exemple, ne pas avoir la vision globale sur les droits de lÕensemble des utilisateurs peut engendrer des probl•mes de responsabilitŽ (devenus importants dans le cadre des nouvelles lois ou rŽglementations), tel quÕun acheteur qui validerait sa propre commande.

GŽnŽralement, les nouveaux arrivants se voient attribuer plus ou moins rapidement certaines ressources (un bureau, un tŽlŽphone, un badge dÕacc•s, un PC, etc.), mais ne peuvent pas travailler, faute de droits d'acc•s. Ceci est notamment dž au fait que le dŽlai dÕattribution des ressources et des droits est trop long, que les circuits dÕattribution sont trop Ç lourds È, etc. Ils doivent m•me souvent se dŽbrouiller seuls : trouver le bon responsable pour l'acc•s ˆ telle base de donnŽes, ˆ telle application, ˆ lÕIntranet, etc. La liste des interlocuteurs est ˆ la mesure de la complexitŽ du Syst•me dÕInformation.

DÕautre part, on est rarement certain d'avoir supprimŽ tous les droits dont disposait un employŽ partant ou dÕavoir mis ˆ jour les droits dÕun employŽ en cas de changement de fonction. Le Syst•me dÕInformation regorge souvent de comptes dits Ç fant™mes È (dormants et/ou pŽrimŽs).

De plus, les comptes techniques gŽnŽriques, installŽs par dŽfaut, par les syst•mes dÕexploitation et/ou les applications, ne sont pas toujours modifiŽs, voire supprimŽs, induisant dÕautres failles. Ceci Žtant dÕautant plus grave que ces mots de passe sont facilement accessibles sur Internet... De m•me, certaines personnes utilisent, lorsquÕelles arrivent dans lÕentreprise, des comptes utilisateurs Ç gŽnŽriques È et partagŽs, simplement du fait de la durŽe importante de crŽation de leur propre compte.

Enfin, lÕaudit et la tra•abilitŽ sont souvent les parents pauvres de la mise en Ïuvre des droits dÕacc•s des utilisateurs. Pourtant, de plus en plus, les entreprises doivent respecter des normes, des lois et/ou des rŽglementations strictes en mati•re de politique de contr™le interne.

1*)*)* +33/5-&$-%",(

Si nous prenons lÕexemple du rŽfŽrencement dÕun nouvel utilisateur dans un Syst•me dÕInformation, nous pouvons identifier les actions suivantes :

(21)

+ +

+ Figure 1 Ð Existant Ç standard È de la gestion des identitŽs et des droits dÕacc•s+

(22)

TT+ - rŽfŽrencement dans le syst•me de gestion de la paie

- attribution dÕun bureau : rŽfŽrencement dans la base du service logistique - attribution dÕun numŽro de tŽlŽphone : rŽfŽrencement dans la base tŽlŽphonique

- attribution dÕun ordinateur, dÕun identifiant et dÕun mot de passe pour accŽder au rŽseau : rŽfŽrencement dans le syst•me bureautique

- attribution dÕun badge pour lÕacc•s aux locaux : rŽfŽrencement dans le syst•me de gestion des badges

- droits dÕacc•s ˆ un restaurant dÕentreprise : rŽfŽrencement dans la base du restaurant dÕentreprise

- droits dÕacc•s sur une application : rŽfŽrencement dans la base de lÕapplication - etc.

Dans la majoritŽ des entreprises, ces opŽrations font appel ˆ des annuaires qui ne sont ni compatibles entre eux, ni synchronisŽs (cf. Figure 1). Ainsi pour un nouvel utilisateur il faut saisir plusieurs fois les m•mes informations dans des syst•mes diffŽrents par des personnes diffŽrentes et il en va de m•me en cas de modification dÕune information. Cette mise ˆ jour est parfois tr•s longue ou que partiellement rŽalisŽe.

**11 :/5-%;%0$-%",5(.6/,(<&"='-(.'(4'5-%",(.'5(%.',-%-75('-(.'5(.&"%-5(.6$00>5(**

Comme nous lÕavons vu au chapitre prŽcŽdent, lÕabsence de gestion globale des identitŽs et des droits dÕacc•s peut gŽnŽrer de nombreux probl•mes, parmi lesquels :

- la perte de productivitŽ due aux dŽlais dÕobtention des droits dÕacc•s

- une charge importante dÕadministration (multiplication des administrateurs, rŽinitialisation des mots de passe, etc.)

- lÕimpossibilitŽ de tracer les actions dÕadministration des droits et dÕen contr™ler la cohŽrence et la pertinence

- la difficultŽ dÕauditer les acc•s aux ressources - des entorses au principe de sŽparation des t‰ches

- le non respect des contraintes lŽgales et/ou rŽglementaires (par exemple au travers dÕun mauvais paramŽtrage des r•gles de gestion)+

+

(23)

+ +

+ Figure 2 Ð Flux de mise ˆ jour apr•s la mise en place d'une gestion centralisŽe+

(24)

TP+ amŽliorations suivantes :+

- garantie de tra•abilitŽ et de la possibilitŽ dÕauditer afin de rŽpondre aux obligations lŽgales et/ou rŽglementaires

- repositionnement des Ç propriŽtaires fonctionnels È au centre du dŽbat - rŽduction des cožts dÕadministration

- amŽlioration de lÕefficacitŽ et de la rŽactivitŽ

- amŽlioration de la sŽcuritŽ (adŽquation des droits aux besoins mŽtier)

LÕensemble des flux prŽsentŽs dans le chapitre prŽcŽdent va pouvoir •tre reprŽsentŽ de la mani•re suivante apr•s la mise en place dÕune gestion centralisŽe des identitŽs (cf Figure 2). Les informations sont mises ˆ jour dans le rŽfŽrentiel central qui alimente ensuite automatiquement les annuaires ou bases de sŽcuritŽ des diffŽrents environnements.

1*1*)* ?$&$,-%'(.'(-&$@$A%3%-7('-(.6$/.%-$A%3%-7(

Les principales lois et rŽglementations impliquant le SI et ayant des impacts directs sur les aspects traitant de la sŽcuritŽ (en particulier tra•abilitŽ et auditabilitŽ) sont prŽsentŽes dans le chapitre Ð Ç aspects juridiques È.

DÕune mani•re gŽnŽrale, ces lois et r•glements Ç imposent È au Syst•me dÕInformation des exigences de :

- continuitŽ dÕactivitŽ

- de sŽparation des t‰ches : par exemple, une m•me personne ne doit pas ˆ la fois commander une fourniture ou prestation et valider sa rŽception

- de tra•abilitŽ et dÕauditabilitŽ : permettant de valider Ç qui a fait quoi È au sein du syst•me dÕinformation, et Ç qui a habilitŽ qui È

- de respect de la vie privŽe. DŽroger ˆ ces exigences peut entra”ner un risque juridique pour les responsables de lÕentreprise

1*1*1* B7./0-%",(.'5(0"C-5(.6$.#%,%5-&$-%",(

Un syst•me de gestion des identitŽs et des droits dÕacc•s permet dÕallŽger la charge de travail de lÕŽquipe de Ç support informatique È (administration, help desk). Cet all•gement rŽsulte dÕune part de lÕautomatisation de t‰ches de gestion de comptes (rŽduction du nombre dÕadministrateurs) et dÕautre part de la diminution du nombre dÕappels dÕutilisateurs (perte ou oubli de nombreux mots de passe, relance de demandes dÕacc•s, etc.).

Le syst•me de gestion des identitŽs peut permettre aux utilisateurs la gestion directe de certains aspects de leur profil (par exemple le mot de passe, lÕadresse, les numŽros de

(25)

+ +

(26)

Tl+ tŽlŽphone, etc.).

1*1*D* E#73%"&$-%",(.'(36';;%0$0%-7('-(.'(3$(&7$0-%F%-7(

Un syst•me de gestion des identitŽs et des droits dÕacc•s permet de rŽduire le nombre dÕinterventions humaines par une automatisation de la propagation des droits sur les diffŽrents environnements concernŽs. La consŽquence est ˆ la fois une rŽduction des dŽlais de mise ˆ disposition des droits dÕacc•s et une rŽduction des sources dÕerreur (prise en compte systŽmatique de tous les besoins liŽs ˆ lÕactivitŽ de lÕutilisateur, garantie de cohŽrence dans les droits attribuŽs).

Les gains gŽnŽrŽs concernent ˆ la fois les utilisateurs internes (gain de productivitŽ) et externes (amŽlioration de la qualitŽ du service et de lÕimage de lÕentreprise).

Sur un autre plan, lors dÕune fusion ou dÕune acquisition, il faut fournir le plus rapidement possible un acc•s aisŽ aux ressources rassemblŽes dÕentreprises auparavant autonomes. Lˆ encore, une solution de gestion des identitŽs et des droits dÕacc•s aidera ˆ relever ce dŽfi au travers dÕun service dÕintŽgration des informations multi plates-formes permettant de connecter les syst•mes de chaque entreprise ˆ la plupart des syst•mes (nouveaux ou prŽexistants) de la nouvelle entitŽ.

1*1*G* E#73%"&$-%",(.'(3$(570/&%-7(

Un syst•me de gestion des identitŽs et des droits dÕacc•s permet de renforcer la sŽcuritŽ. Une telle approche conduit ˆ Žtablir des liens entre toutes les applications, bases de donnŽes et annuaires en sÕappuyant sur des notions de r™le et de profil. Cette solution offre un point unique de gestion des r•gles de sŽcuritŽ pour lÕensemble des syst•mes concernŽs. Elle permet de crŽer simplement des r•gles dÕacc•s et de sŽcuritŽ, en cohŽrence avec la Politique de SŽcuritŽ des Syst•mes dÕInformation et les besoins mŽtier, puis de les propager automatiquement ˆ tous les syst•mes de lÕentreprise.

La gestion centralisŽe des identitŽs permet dÕŽliminer une source considŽrable dÕerreurs dÕadministration pouvant causer des failles de sŽcuritŽ dÕacc•s au SI de lÕentreprise. Elle permet Žgalement de rŽsilier compl•tement et immŽdiatement les droits dÕacc•s sur lÕensemble des syst•mes lorsque des salariŽs ou personnels extŽrieurs quittent lÕentreprise ou changent dÕaffectation et supprimer ainsi les comptes Ç fant™mes È.

En mettant en place des processus ma”trisŽs dÕhabilitation, le syst•me permet dÕimpliquer les responsables mŽtiers dans le circuit dÕhabilitation et de ne plus laisser au seul administrateur technique la ma”trise des droits dÕacc•s.+

(27)

+ +

(28)

Tm+

**1D H",0'<-5('-(#".73%5$-%",(**

1*D*)* I'5(0",0'<-5(

Ce chapitre introduit les concepts et les objets manipulŽs selon www.clusif.asso.fr+57+

vTw, avant de dŽcrire les mŽcanismes de gestion des identitŽs et des habilitations. En prŽsence

de nombreux mod•les thŽoriques, et en lÕabsence de normalisation, la terminologie utilisŽe dans ce chapitre est issue de retours dÕexpŽrience.

!"#"$"$" %&'()**&+,-./0/(1.&-'+2+13.&-'4+

DŽsigne une personne physique : les employŽs dÕentreprise, les prestataires, les partenaires et les clients de lÕentreprise qui, de par leur fonction, exercent une activitŽ ayant vocation ˆ leur permettre de bŽnŽficier des applications et des ressources mises ˆ disposition par lÕentreprise.

!"#"$"!" 5)67.&+

Ë chaque personne peuvent •tre associŽs des comptes dÕacc•s aux diffŽrents syst•mes et applications. Le compte est dŽfini par lÕidentifiant dÕacc•s, un mot de passe (ou un authentifiant dÕune autre nature), et plusieurs attributs supplŽmentaires en fonction de lÕenvironnement dans lequel il est crŽe comme : la politique de mot de passe associŽe, lÕacc•s externe autorisŽ ou non, lÕŽtat du compte, les modes dÕauthentification autorisŽs etc.

Il existe quatre types de comptes :

- le compte global. Ce compte, unique (ˆ un utilisateur correspond un seul compte) identifie une personne dans le rŽfŽrentiel central de gestion des habilitations et est utilisŽ par tous les processus dÕattribution des droits.

- le compte utilisateur. Ce compte donne lÕacc•s ˆ un utilisateur dans un environnement particulier auquel cet utilisateur est habilitŽ. Chaque compte utilisateur est obligatoirement associŽ ˆ une personne (et son identifiant unique). Sa crŽation / suppression et la cohŽrence des informations associŽes est maintenue automatiquement par le syst•me de gestion des habilitations en fonction des profils mŽtiers attribuŽs ˆ la personne.

- le compte dÕadministration. Ce compte donne lÕacc•s ˆ un administrateur dans un environnement particulier. Ce compte nÕest pas associŽ ˆ une personne. Il ne correspond donc ˆ aucune entrŽe dans le rŽfŽrentiel central. Leur usage doit •tre

(29)

+ +

(30)

Tn+

dans les environnements o• ces t‰ches ne peuvent pas •tre effectuŽes via les r™les dÕadministration. Exemple : Compte Ç Root È dÕUnix. Les procŽdures mises en Ïuvre

doivent garantir la tra•abilitŽ et lÕauditabilitŽ des personnes physiques auxquelles ces comptes administrateurs ont ŽtŽ autorisŽs dÕemploi. Un changement dÕaffectation doit •tre associŽ ˆ une procŽdure de changement des mots de passe.

- le compte Ç de service fonctionnel ou technique È. Ces comptes sont utilisŽs par les composants dÕun syst•me pour accŽder aux services applicatifs et/ou donnŽes dÕun autre syst•me.

!"#"$"#" 890&+

Un r™le dŽfinit les permissions nŽcessaires ˆ lÕutilisation des objets (applications et/ou des ressources). Le r™le applicatif est un ensemble de droits propres ˆ une seule fonction dans une application. Par exemple : le droit dÕusage dÕun jeu dÕŽcrans et de menus correspondant ˆ une fonction dans lÕapplication.

Une habilitation donne ˆ un utilisateur un ensemble de permissions dans une application. Elle est attribuŽe en fonction du poste opŽrationnel au sein de lÕorganisation et non ˆ titre individuel. CÕest le poste opŽrationnel qui dŽtermine les r™les et les pŽrim•tres nŽcessaires.

!"#"$":" %');/0+

Un profil fonctionnel regroupe un ensemble de r™les nŽcessaires ˆ lÕexŽcution dÕune fonction mŽtier. Ce profil peut Žgalement •tre vu comme un package de r™les applicatifs ou un niveau supŽrieur dans la hiŽrarchie des r™les. Un utilisateur peut avoir un ou plusieurs profils fonctionnels.++

!"#"$"<" =&+7)(.&+)7>'1./)**&0+

Le poste opŽrationnel (position de travail) correspond ˆ une fonction mŽtier exercŽe au sein dÕun ŽlŽment de structure (service, dŽpartement, ...). Un poste opŽrationnel est toujours dŽfini au sein dÕun et un seul ŽlŽment de structure. Le responsable de structure indique les postes qui lui sont attribuŽs.+

!"#"$"?" @')-7&+

Les utilisateurs peuvent •tre regroupŽs, dans le rŽfŽrentiel central, en groupes statiques ou dynamiques. Ces groupes sont utilisŽs pour faciliter la gestion en masse des habilitations.+

!"#"$"A" =&+7>'/6B.'&+

(31)

+ +

(32)

Ts+ dÕautorisation quÕils rŽalisent. Le pŽrim•tre peut avoir trois types diffŽrents (temporel, gŽographique et fonctionnel) et •tre associŽ ˆ : une personne, un compte (uniquement dans le cas de limitation des autorisations dÕacc•s ˆ des ressources dÕun environnement), un r™le.

!"#"$"C" %>'/6B.'&+.&67)'&0+

Le pŽrim•tre temporel permet de restreindre les possibilitŽs dÕacc•s dÕun utilisateur dans le temps. Plusieurs types de restrictions sont possibles :pŽriode (Date dŽbut Ð Date fin), plage horaire (Heure dŽbut Ð Heure fin), calendrier (date dŽfinie). Ces limitations sont appliquŽes par les diffŽrents syst•mes dÕautorisation en fonction de la capacitŽ du syst•me ˆ gŽrer ce type de restriction. Le pŽrim•tre temporel peut •tre associŽ ˆ : une personne, un r™le, une ressource.

Un pŽrim•tre temporel associŽ ˆ une personne limite son acc•s ˆ lÕensemble des ressources et applications en emp•chant lÕutilisateur dÕŽtablir une session en dehors de pŽriodes autorisŽes.

!"#"$"D" %>'/6B.'&+E>)E'17F/G-&+

Le pŽrim•tre gŽographique permet de restreindre les possibilitŽs dÕacc•s dÕun utilisateur en fonction du lieu ˆ partir duquel il acc•de au SI. Plusieurs types de restrictions sont possibles : un lieu, un rŽseau prŽcis, un ou plusieurs poste(s) de travail.

!"#"$"$H" %>'/6B.'&+;)*3./)**&0+

On dŽsigne sous ce terme les limitations imposŽes par le programme de contr™le dÕune application. Transmis ˆ lÕapplication lors de lÕappel des transactions associŽes au r™le, il permet de gŽrer la sŽcuritŽ applicative : le programme autorisera ou non certains traitements en fonction des donnŽes qui lui seront communiquŽes par le syst•me dÕhabilitation (identifiant acteur, poste de travail, Žventuellement lieu de prŽsence ou dÕaffectation dÕutilisateur, etc.). Le pŽrim•tre fonctionnel peut •tre associŽ ˆ un r™le.+

!"#"$"$$" I)J&+JK1-.F&*./;/31./)*+

Certaines applications critiques imposent un mode dÕauthentification particulier (authentification forte). Le syst•me dÕauthentification fournit (dans le contexte de sŽcuritŽ) lÕinformation indiquant le mode dÕauthentification utilisŽ lors de lÕouverture de la session. Cette information est exploitŽe par le syst•me de contr™le dÕacc•s et/ou lÕapplication. Le mode dÕauthentification peut •tre associŽ ˆ un r™le ou ˆ une ressource.

(33)

+ +

+

+ _31./$%G%&%J$)%\%$DD*/2)%]%"$%(*/70,3)023*(%

(34)

TQ+

!"#"$"$!" 8&(()-'3&+

La ressource est dŽfinie par :_{un libellŽ, les modes dÕauthentification nŽcessaires pour y} accŽder, les pŽrim•tres dÕacc•s autorisŽs, les r™les ou les groupes de comptes autorisŽs sur cette ressource. Par ailleurs, lÕautorisation dÕacc•s du r™le ou des groupes de comptes peut •tre suspendue ˆ tout moment si besoin. Une ressource dŽsigne par exemple une ou des adresses IP de serveurs, une ou des URL, une commande de lancement dÕune application, etc. Ë une ressource peuvent •tre associŽs : un pŽrim•tre temporel (durŽe de validitŽ), un Žtat (actif, suspendu). Elle est utilisŽe lors de la connexion des utilisateurs au rŽseau.+

!"#"$"$#" L*M/')**&6&*.+J-+NO+

Le terme dÕenvironnement du SI dŽsigne un ensemble de ressources et de processus (syst•me, sous-syst•me, application, etc.) dont les droits dÕacc•s sont gŽrŽs par un syst•me de contr™le unique et autonome et administrŽ par lÕentitŽ responsable.+

!"#"$"$:" L*M/')**&6&*.+&P.&'*&+

Le terme dÕenvironnement externe dŽsigne un ensemble de ressources et de processus (syst•me, sous-syst•me, application, etc.) gŽrŽs par des tiers et dont les droits dÕacc•s sont gŽrŽs par un syst•me de contr™le autonome et administrŽs par lÕorganisme tiers. Dans certains cas le contr™le dÕacc•s peut sÕappuyer sur les informations de sŽcuritŽ fournies par le SI de lÕentreprise (identitŽ et/ou r™le).+

1*D*1* J7.7&$-%",(.6%.',-%-75(

Il est impossible dÕaborder la fŽdŽration des identitŽs dÕune mani•re exhaustive dans ce document dŽdiŽ ˆ la gestion des identitŽs dÕun organisme et/ou dÕune entreprise. CÕest un sujet tr•s vaste qui a fait lÕobjet de multiples travaux.

Nous nous limiterons par consŽquent ˆ une description gŽnŽrale en indiquant de quelle mani•re le syst•me interne et autonome peut sÕouvrir ˆ lÕextŽrieur et collaborer avec des syst•mes tiers.

La fŽdŽration consiste ˆ faire communiquer plusieurs syst•mes de gestion des identitŽs, afin dÕŽviter de constituer une solution centralisŽe, tout en assurant des services dÕauthentification unique, dÕŽchanges dÕattributs et de droits utilisateurs entre les diffŽrents sites auxquels ils ont acc•s. Ë lÕheure actuelle les solutions sont concentrŽes sur les technologies Web mais des travaux sont en cours pour Žtendre leur champ dÕapplication. Le diagramme suivant (Figure 3) prŽsente la multiplicitŽ des diffŽrentes initiatives et la

(35)

+ +

+ Figure 4 Ð Principe dÕarchitecture de la fŽdŽration dÕidentitŽs+