Archives pour la catégorie Annuaires

Information Architecture

Le concept d’EIA (Enterprise Information Architecture, à ne pas confondre avec EAI = Enterprise Application Integration) est un concept marketing qui désigne un ensemble d’activités informatiques prenant une importante croissante dans l’entreprise : la mise en place de référentiels de données communs à l’ensemble des fonctions, entités, divisions et systèmes d’une même entreprise. Ce concept s’applique dans le cadre de projets liés aux technologies de méta-annuaires (pour constituer et faire vivre des référentiels d’identités de personnes et/ou de structures), aux technologies d’EAI (pour intégrer des systèmes applicatifs transactionnels les uns aux autres, tels qu’un système de prise de commande et un système de pilotage de la production ou de gestion des stocks), et aux technologies de datawarehouse (pour regrouper en un même lieu et sous une forme cohérente les données produites par tous les systèmes informatiques de l’entreprise de manière à produire des tableaux de bord par exemple).
Avec l’émergence des technologies du Web Sémantique, ce concept d’EIA se décline en SIA, comme Semantic Information Architecture. Cet article explique en quoi une activité de SIA permet, par une meilleure compréhension des données de l’entreprise, de créer de la valeur pour celle-ci.

Stratégie annuaires

Pour mener à bien un projet annuaire d’entreprise (avec ou sans méta-annuaires), Phil Windley recommande de se doter d’une démarche stratégique en 5 étapes :

  1. Créer une « Architecture de l’Information dans l’Entreprise » (EIA = Enterprise Information Architecture) pour expliciter le contexte métier de votre stratégie annuaire
  2. Déterminer les standards que votre organisation choisit de respecter
  3. Inventer une politique d’authentification et d’autorisation cohérente avec votre EIA
  4. Planifier et implémenter les services d’annuaires nécessaire à la mise en place de vos politiques
  5. Publier une politique de protection des données privées qui soit en accord avec votre cadre législatif et les attentes de vos parties prenantes

Windley identifie plusieurs sources de gains pour les projets de gestion d’identité : une approche cohérente et systématique des clients, une sécurité accrue pour les applications et l’information « corporate », une réduction des coûts d’administration des utilisateurs et des droits informatiques, et une meilleure application des politiques de sécurité internes et externes. Pour finir, il conclut par :

Construire une stratégie d’identité électronique qui fonctionne requiert un effort considérable, mais si vous négligez de faire cet effort, plutôt que de constituer un actif, la gestion des identités deviendra une source constante de problèmes et un obstacle pour vos initiatives stratégiques »

Identifiant unique et jointure de données

Pour les spécialistes des projets de méta-annuaires, au sujet de la problématique de l’identifiant unique pour établir la jointure entre des bases nominatives, en réglant la question de la permanence et de l’unicité de l’identifiant, voici quelques ressources utiles :

Services d’annuaires pour communautés d’intérêt

Ce projet, qui traite de « communautés d’intérêt », propose une architecture de services d’annuaires s’appuyant sur des standards ouverts tels que, bien entendu, LDAP mais aussi RDF. La proposition mentionne RSS, le Dublin Core, et un vocabulaire de gestion de droits : INDECS. Ce que cette architecture cherche à réaliser, c’est un dispositif d’annuaires dans lequel chaque communauté d’intérêt pourrait disposer d’une instance LDAP dédiée contenant toutes les informations dont elle a besoin (sans requérir l’usage de « referrals » LDAP pour renvoyer d’un annuaire LDAP à l’autre). Le challenge consiste notamment à limiter et donc filtrer les entrées qui devraient être présentes dans une instance LDAP de communauté tout en respectant les contraintes normatives de LDAP.
Cette proposition mentionne une méthodologie de design d’annuaire établie par Elmasri et Navathe (« Fundamentals of Database Systems », Third Edition, 2000, 955 pages).
La proposition prévoit la présence, parmi les attributs LDAP, d’un attribut particulier consistant en un morceau de XML destiné à contenir des attributs supplémentaires sans requérir de modification du design LDAP. Il s’agit d’une sorte de tampon permettant à l’utilisateur d’ajouter des attributs supplémentaires à sa convenance. Et lorsque certains de ceux-ci deviennent d’un usage courant, le concepteur LDAP pourra les faire figurer dans le schéma LDAP comme attribut LDAP à part entière de manière à bénéficier des fonctionnalités et caractéristiques de performance associées à ce statut. L’architecture proposée suppose l’implémentation d’interfaces utilisateurs capables non seulement de traiter des données LDAP mais aussi d’inclure de manière transparente les extensions XML présentes dans l’annuaire.
La proposition inclut quelques considérations quant aux règles de gestion de l’entrée d’un individu dans une communauté d’intérêt et quant à la constitution des communautés elles-mêmes.

Contrôle d’accès et gestion de sessions

De manière connexe aux problématiques d’annuaires se trouve celles de la gestion des contrôles d’accès et donc de l’authentification, de la gestion des droits d’accès à base de rôles (RBAC = Role Based Access Control) et de la gestion de sessions. Une publication auprès de l’IEEE donne un exemple d’approche globale de ces problématiques et esquisse la conception d’un système de gestion de la sécurité pour le Web faisant abstraction, par exemple, des technologies d’authentification sous-jacentes (Kerberos, SSL + X509, LDAPS, NTLM, NIS, …).

Persistence objet sur LDAP, avec mapping

Serveur d’authentification pour partage de fichiers et d’imprimantes

Microsoft Active Directory n’est pas un annuaire LDAP. C’est un produit qui contient certes un annuaire LDAP mais aussi et surtout un serveur d’authentification supportant notamment le protocole d’authentification Kerberos, le tout dans une implémentation spécifique à Microsoft (donc relativement éloignée des standards). L’intérêt de MSAD réside dans la capacité qu’il a d’authentifier des utilisateurs de Microsoft Windows qui souhaiteraient accéder à des répertoires, fichiers et imprimantes « partagées » via un réseau local.
Le logiciel opensource Samba, dans sa version 3, promet un service équivalent et compatible avec Active Directory, avec tous les avantages de l’opensource (durabilité, indépendance vis-à-vis des éditeurs, gratuité des licences).

Sun One Directory Server vs. Microsoft Active Directory

SUN compare son produit d’annuaire « Sun One Directory Server » au produit concurrent
« Microsoft Active Directory »
(AD) : AD n’utilise pas un identifiant standard pour désigner
les adresses de messagerie, AD n’utilise pas le standard inetOrgPerson (RFC 2798) pour
représenter les personnes, AD ne permet l’existence que d’un seul schéma par déploiement (un
schéma par « forêt ») et AD impose l’utilisation d’une API propriétaire (et non d’une API LDAP
standard) pour écrire la valeur du SPN (Service Principal Name) d’un objet dans l’annuaire.
De ce fait, AD n’offre pas les garanties d’interopérabilité suffisante pour les entreprises
souhaitant se doter de services d’annuaire LDAP.

Obtention du financement d’un projet informatique de 8 millions d’euros

[Ceci est le résumé de l’une de mes réalisations professionnelles. Je m’en sers pour faire ma pub dans l’espoir de séduire de futurs partenaires. Plus d’infos à ce sujet dans le récit de mon parcours professionnel.]

En 2003, je dirige un projet de sécurité informatique très technique depuis 3 ans. Les neufs directions métiers de Saint-Gobain en mesurent mal les enjeux. Je réunis dans des ateliers internationaux 130 représentants de chacune de ces directions, de chaque région du monde et de chaque fonction support de l’entreprise afin de recueillir des illustrations concrètes des enjeux de ce projet. Je réussis ainsi à convaincre les neuf directions de cofinancer le million d’euros nécessaire à la poursuite du projet une année supplémentaire.

Le « magic quadrant » des méta-annuaires

Pour le Gartner Group, en août 2002, le leader du marché des méta-annuaires est Novell. Les produits de Siemens, Critical Path et Sun sont qualifiés de visionnaires mais ces acteurs accuseraient un retrait dans leur capacité de mise en oeuvre de méta-annuaires. Au contraire, Microsoft disposerait de moyens remarquables mais d’une vision nettement moins cohérente.

Annuaire et bases de méta-données selon la Défense américaine

Le meilleur des techniques annuaires (LDAP + DSML) et le meilleur des techniques de gestion de métadonnées (RDF + DAML) font de bons ingrédient pour une action de recherche de la DARPA, agence de recherche du ministère américain de la défense à l’origine des protocoles de communication de l’Internet. Une communication plus complète, sur laquelle je reviendrai plus tard, donne des exemples concrets d’application du Web Sémantique.

Annuaires comme bases de connaissance, en pratique

En pratique, comment tirer partie des qualités des annuaires LDAP (distribution, performance en lecture) pour construire des bases de connaissance exploitables (raisonnements à base de moteurs d’inférence, intégration dans le Web sémantique) ? Cet article de la Web developer’s virtual library donne une bonne piste : utiliser DSML pour exprimer les données LDAP en XML. L’ingrédient suivant est une transformation XLST du résultat obtenu vers une sérialisation RDF puis le chargement dans un framework RDF de type RedFoot.

Utilisation des annuaires comme bases de connaissances

Le projet de recherche iMesh dans le cadre du programme Européen Desire étudie l’exploitation des techniques d’annuaire LDAP pour la création et la gestion de bases de connaissance et notamment la création de moteurs de recherche. A mon sens, nous devons préparer, à travers le projet annuaire groupe, le mariage des technos d’annuaire LDAP et de codification des méta-données via RDF. La finalité en est de produire non pas des annuaires de personnes seulement mais des annuaires de concepts métier auxquels pourraient être attachés tout document, mail ou donnée d’une application ebusiness. Il s’agit d’une orientation pouvant donner lieu à des applications significatives à l’échéance de 2 ou 3 ans.