Cloud Public Openstack – Flexible Engine
Identity Access Management (IAM)
Description
La gestion des identités et accès (Identity and Access Management, IAM) est un système de gestion des ressources de cloud. Ce système prévoit des fonctions de gestion et de contrôle d’accès aux identités d’utilisateurs.
Avec l’IAM, les utilisateurs peuvent gérer les comptes utilisateurs (employés, systèmes ou applications, par exemple) et contrôler les droits d’exploitation de ces comptes sur leurs ressources. Si plusieurs utilisateurs d’une entreprise travaillent collectivement sur des ressources, l’IAM empêche ces utilisateurs de partager leurs clefs de compte avec d’autres utilisateurs et permet aux administrateurs de la sécurité de ne donner aux utilisateurs que les autorisations nécessaires. L’IAM garantit également la sécurité des comptes et réduit les risques sur la sécurité pour les informations d’entreprise en permettant aux utilisateurs de définir des règles de vérification des identifiants, des règles sur les mots de passe et une liste de contrôle d’accès (Access Control List, ACL).
Service de base
IAM est un service central de la solution cloud. D’autres services cloud de la solution cloud dépendent d’IAM pour l’authentification.
Figure 1. Position de l’IAM dans la solution cloud
Architecture Produit
La solution cloud est basée sur OpenStack. IAM est basé sur le service OpenStack Keystone.
- Interface IAM: fournit des interfaces utilisateur d’authentification et de gestion de compte.
- Proxy mis en cache: achemine et accélère localement le service principal.
- Service de base IAM: utilise le service Keystone pour implémenter de nouvelles fonctionnalités.
Figure2. architecture IAM
Bénéfices
Haute fiabilité
En cas de panne, l’IAM permet aux principaux services d’être restaurés automatiquement et rapidement à l’aide du changement à chaud par couche.
Sécurité
Les autorisations d’utilisateur sont gérées par les groupes d’utilisateurs, obtenant ainsi l’autorisation minimum et garantissant la sécurité des ressources du cloud.
Les règles de vérification des identifiants, les règles de mots de passe et l’ACL peuvent être définies pour garantir la sécurité des comptes utilisateurs et systèmes.
Lorsqu’un utilisateur appelle une API, une clé d’accès est utilisée pour authentifier l’identité de l’utilisateur afin d’améliorer la sécurité du système.
API ouvertes
Les utilisateurs peuvent développer et accéder au système de service de cloud à l’aide des API ouvertes d’IAM.
Modes de connexion flexibles
Fonctionnalités
IAM fournit les fonctionnalités suivantes :
Catégorie | Fonction | Description |
Gestion de la sécurité des ressources cloud |
Gestion des certificats de sécurité |
La clé de sécurité de chaque utilisateur peut être créée et supprimée dans Orange Cloud for Business. Les utilisateurs sont autorisés à utiliser leurs clés de sécurité pour accéder aux ressources cloud via les API ouvertes. |
Gestion des règles d’accès des utilisateurs |
Le service IAM contrôle les politiques d’accès des utilisateurs dans Orange Cloud for Business. Les stratégies incluent la définition d’une ACL pour limiter l’accès malveillant aux réseaux non approuvés et la désactivation de certains utilisateurs non sécurisés pour accéder au système de service cloud. |
|
Gestion des droits des utilisateurs |
Un administrateur d’entreprise peut définir les droits d’exploitation des ressources cloud des utilisateurs en fonction de leurs responsabilités. |
|
Gestion des utilisateurs |
Un administrateur d’entreprise peut créer des utilisateurs en fonction de scénarios. Les responsabilités des utilisateurs varient en fonction du scénario. |
|
Authentification d’identité fédérée |
Un administrateur d’entreprise peut créer un fournisseur d’identité d’entreprise. Le fournisseur d’identité d’entreprise fournit une authentification d’identité pour les employés de l’entreprise pendant les opérations quotidiennes. Les employés de l’entreprise peuvent passer au système Orange Cloud for Business sur le réseau de l’entreprise en utilisant le protocole SAML SSO. |
|
Certificat temporaire AK/SK |
Obtenez la clé d’accès temporaire et la clé de sécurité via AssumeRole, jeton régulier ou jeton fédéré. |
|
Gestion de projet |
Un administrateur de sécurité peut créer des projets dans une région en fonction des exigences du service ou du projet et accorder des autorisations sur différents projets aux utilisateurs. Les utilisateurs peuvent acheter des ressources de service cloud dans les projets autorisés pour implémenter la gestion de l’isolation des ressources. L’administrateur de la sécurité peut également contacter le service client OCB pour définir et modifier le nombre d’éléments créés dans la zone. |
Cas d’usage
Gestion des droits d’entreprise
Lors de la gestion des employés de l’entreprise, les droits d’exploitation des ressources cloud doivent être attribués au personnel concerné pour garantir des droits d’exploitation minimaux pour les services cloud de l’entreprise, éviter les opérations non autorisées et réduire les risques de sécurité des informations de l’entreprise.
Gestion des utilisateurs
LLes utilisateurs d’API sont utilisés uniquement pour l’accès à l’API. Les utilisateurs de connexion sont utilisés pour la connexion à la console basée sur un mot de passe. Un administrateur d’entreprise doit créer des utilisateurs en fonction de scénarios pour garantir que les utilisateurs d’API et les utilisateurs de connexion sont isolés les uns des autres. Cette fonction évite les opérations non autorisées et réduit les risques de sécurité des informations de l’entreprise.
Authentification de la Fédération
Un administrateur d’entreprise peut utiliser l’IdP de son entreprise pour compléter l’authentification et l’autorisation de l’identité des employés, ainsi que mettre en œuvre l’authentification unique de son propre site Web et du système Orange Cloud for Business, au lieu de créer à plusieurs reprises des informations sur les employés à l’aide du service IAM du système Orange Cloud for Business.
Politiques de sécurité des utilisateurs
Les utilisateurs peuvent définir des politiques de vérification de connexion, des politiques de mot de passe et l’ACL pour empêcher les utilisateurs non autorisés d’accéder au système et garantir la sécurité des informations utilisateur et des données système.
Gestion des informations de compte
Les utilisateurs doivent régulièrement mettre à jour l’adresse e-mail, le numéro de téléphone portable et le mot de passe liés à leurs comptes pour assurer la sécurité des informations de compte.
Authentification API ouverte
Lorsque les utilisateurs gèrent des ressources cloud à l’aide d’API ouvertes, ils doivent fournir les ID de projet et les clés d’accès requis pour l’authentification.