Cette article a pour but de décrire les différents concepts et outils mis en place à l'EPFL ces dernières années pour la gestion des identités (Identity Management). L'accent sera mis sur le contrôle d'accès à travers les outils de gestion des droits et des rôles (Accred) et d'authentification Web (Tequila).

La question essentielle à laquelle les applications sécurisées doivent répondre est : « Qui a droit à quoi ? ». Répondre à cette question est le plus souvent non trivial et nécessite d'accéder à des informations multiples, gérées dans des bases de données variées et parfois non disponibles de manière publique.

Il faut bien sûr pouvoir identifier et authentifier les utilisateurs, mais ce n'est en général pas suffisant, le rattachement d'une personne à une unité organisationnelle est un plus, mais souvent pas encore suffisant, il faut aussi disposer d'informations précises sur les rôles et les droits de cette personne dans son organisation.

L'EPFL compte environ 3000 employés et 7000 étudiants. Qui va pouvoir dire de manière fiable et à jour que telle personne est bien responsable informatique ou responsable communication dans telle unité ? Seules les unités elles-mêmes peuvent répondre correctement à cette question, mais il faut malgré tout disposer de cette information de manière centrale pour la redistribuer à toutes les applications autorisées qui en font la demande.

Pour répondre à toutes ces questions, nous avons mis en place une infrastructure centrale qui offre ses services à toutes les applications sécurisées, tout en prenant en charge les contraintes de sécurité et de confidentialité des données personnelles. La description de ce service central est tout le sujet de cet article.