3.3.4. Gestion d’identités et d’accès [MUT-GIA]
Présentation
Ce service prend en charge l’identification et l’authentification des utilisateurs lorsqu’ils
accèdent à l’ENT. Un visiteur non authentifié n’aura accès qu’aux informations publiques
disponibles à partir de la page d’accueil de l’ENT.
On distingue deux rôles :
-
La solution ENT est fournisseur d’identité : le service se base alors sur l’annuaire de sécurité de la solution ENT pour vérifier les informations de connexion fournies par l’utilisateur ;
-
La solution ENT délègue l’identification et l’authentification de l’agent et de l’élève respectivement aux guichets agents et à ÉduConnect, qui propage les données d’identité à la solution ENT.
Les recommandations en matière d’identification et authentification de l’ANSSI et du RGPD sont à respecter.
Principes du service [MUT-GIA]
Les principes s’appliquent pour les comptes locaux et dans le cas où l’ENT est fournisseur d’identité.
| Référence du principe | Description |
|---|---|
| GIA-P-1 | L’utilisateur crée son mot de passe selon la politique de mot de passe préalablement définie dans la solution ENT, en respectant les préconisations de l’ANSSI. |
| GIA-P-2 | Lors d’un changement de solution ENT, l’identifiant de l’utilisateur est conservé. |
| GIA-P-3 | Les processus standards de gestion du cycle de vie des identités et des moyens d'authentification sont mis en œuvre. |
| GIA-P-4 | L’utilisateur est appelé à renouveler son mot de passe au moindre doute de compromission. |
| GIA-P-5 | Après un certain nombre de tentatives d'authentification infructueuses, un Captcha est activé, ou l'accès est temporairement ou définitivement bloqué, en fonction du nombre de tentatives consécutives effectuées dans un laps de temps défini. |
| GIA-P-6 | Pour une authentification par mot de passe, chaque compte utilisateur est initialisé avec un mot de passe initial complexe et généré automatiquement, modifié lors de la première connexion. La transmission des identifiants est sécurisée. Cette procédure est également appliquée lors du renouvellement du mot de passe. |
| GIA-P-7 | Une politique de mot de passe est préalablement définie et appliquée afin de s’assurer de la robustesse du mot de passe afin de permettre une authentification adaptée à chaque profil d’utilisateur. |
| GIA-P-8 | Le système dispose d'une fonction de réinitialisation d’un ensemble ou de tous les mots de passe avec interdiction des x mots de passe précédents (x ≥ 3). |
| GIA-P-9 | Le système propose une fonction de filtrage des accès par adresse IP de connexion suivant une liste blanche. |
| GIA-P-10 | Le service permet la gestion des accès aux services utilisateurs en fonctions de leurs rôles, profils et les niveaux d’habilitations qui leurs sont associés. |
| GIA-P-11 | Le système sécurise l'authentification par du MFA (multi-facteur) ou une question "défi » et envoie un courriel d'alerte en cas de connexion suspecte (navigateur inhabituel et/ou adresse IP). |
| GIA-P-12 | Le système bloque l’accès à un compte après x tentatives infructueuses. |
| GIA-P-13 | Le service permet le contrôle d’habilitations plus fines, sur des fonctions ou des données, propres à un service Utilisateur. |
| GIA-P-14 | Le service permet d’associer des habilitations à des profils et à des groupes d’utilisateurs. |
| GIA-P-15 | Le service permet l’association des habilitations plus fines, à des rôles ou à des profils, à des groupes d’utilisateurs ou à des utilisateurs en particulier. |
| GIA-P-16 | Un utilisateur peut cumuler plusieurs rôles. |
| GIA-P-17 | La description fonctionnelle des profils et rôles d’un utilisateur est réalisée dans l’annuaire. |
| GIA-P-18 | Le service respecte le principe de minimum de privilèges attribués. |
| GIA-P-19 | Une revue annuelle des privilèges est réalisée afin d’identifier et de supprimer les comptes non utilisés, et de réaligner les privilèges sur les fonctions de chaque utilisateur. |
| GIA-P-20 | Le service assure le contrôle de cohérence entre le profil et les rôles de l’utilisateur. |
| GIA-P-21 | Le service permet la gestion soustractive et additive des habilitations. |
| GIA-P-22 | La déconnexion se traduit par la destruction des preuves d’authentification émises. |
Fonctionnalités du service
| Fonction | Description |
|---|---|
| Identification et authentification | - Authentification basée sur une gestion d’identité locale et l’annuaire utilisateurs ou assurée par les fournisseurs d’identités nationaux, ÉduConnect pour les élèves/responsables et Guichets-Agents pour les agents |
| Gestion des accès | - Définition des profils et des rôles en leur associant les permissions et les droits d'accès nécessaires, garantissant ainsi que chaque utilisateur dispose des autorisations appropriées pour accéder aux services et aux ressources ainsi qu’effectuer des actions spécifiques en fonction de leurs responsabilités - Définition des accès en fonction du niveau scolaire des élèves. |
| Propagation d’identités | - Propagation de données d’identités aux services internes et externes de l’ENT, via des mécanismes d’authentification unique (SSO) - Propagation de la déconnexion |