Concepts liés à l'identité
Principe général
Chaque utilisateur doit avoir une identité propre (ID), conformément aux recommandations du référentiel SECNUMCLOUD. Il est strictement déconseillé de partager les identités ou d'utiliser des identités génériques. De la même manière, il faut éviter l'utilisation de compte de service générique qui pourrait biaiser les informations de traçabilité ou d'audit.
Les différents types de comptes
L'infrastructure et les technologies utilisées pour l'IAM garantissent un parfait cloisonnement des informations de chaque commanditaire. On distingue les comptes utilisateurs rattachés à une personne physique et les comptes de service rattachés à une machine ou à un type de service.
Compte utilisateur
Un compte utilisateur se compose d'une adresse électronique qui sera son identifiant et d'un dispositif d'authentification supplémentaire lié à l'utilisateur. Cette chaîne de connexion est basée sur :
- Un facteur de connaissance (le mot de passe).
- Un facteur de possession (application enrôlée sur le téléphone mobile) permettant de valider un mot de passe unique à expiration courte, appelé "TOTP" (Time-Based One-Time Password). Ce dispositif 2FA (2 Facteurs d'Authentification) permet de répondre aux recommandations d'authentification multi-facteurs (MFA) prônées par le référentiel SECNUMCLOUD.
Compte de service ou compte système
Le commanditaire a l'opportunité de définir et de gérer des comptes de services afin d'automatiser ou de piloter par programme son infrastructure. Un compte service permet aussi de relier des ressources entres elles (machine à machine), comme un portail qui sollicite des composants métiers.