Extraits du guide MI d’intégration d'une application dans l'écosystème ministériel
Introduction
Une application n'est pas un objet indépendant de tout contexte. Au-delà du processus
métier qu'elle est appelée à outiller et pour lequel elle est conçue, elle doit s'intégrer dans un
contexte existant : le système d'information du ministère, et celui de l'État. Plus précisément
l'application aura tout bénéfice à utiliser des communs, composants et services existants qu'il
convient de ne pas réécrire, avec pour ne citer que celles-ci, les fonctions d'identification et
d'authentification des utilisateurs, les services de confiance (signature électronique,
horodatage...), les services d'archivage ..etc.
L'application pourra, plutôt que de les recréer, réutiliser les données existantes, voire
des traitements de ces données ; à l'inverse, elle peut être amenée à rendre disponible les
données ou traitements qu'elle va créer, l'application doit être sécurisée et bien sûr,
l'application doit pouvoir être exploitée, hébergée, soutenue à moindre coût pour les
professionnels qui assurent ces services.
Pilier utilisateur
L'utilisateur, qu'il soit un usager / citoyen, un agent, une entreprise ou une association
(dans les deux cas une personne morale) doit être le premier souci du concepteur d'une
nouvelle application.
Le service à offrir à l'utilisateur amène à se poser une fondamentale : quelle
identification /authentification de l’utilisateur ? Cette question est importante car les fonctions
d'identification /authentification ne doivent pas être embarquées par l'application elle-même,
mais consommées comme un service extérieur.
Agent : gestion des identifications / authentifications / autorisations.
Les applications nécessitent généralement une quadruple fonction
d’identification, d’authentification, d’autorisation et d’habilitation de leurs utilisateurs (on se
restreint dans cette fiche au cas des utilisateurs / agents). Dans une classique approche en
silo, l'application gère elle-même ces fonctions ; mais la volonté est aujourd'hui de mutualiser
ces fonctions et de les déléguer à un système d’authentification unique, ou SSO (Single Sign
On). L'utilisateur / agent, une fois identifié et authentifié par ce SSO, obtient un jeton qui va lui
permettre d'accéder, avec les droits qui lui ont été reconnus, à toutes les applications prises en
charge par ce SSO.
Remarque:
la gestion des droits d'accès à l'application peut se décomposer en deux volets : la fonction
d'attribution de droits (ou habilitation) et la fonction de contrôle d'accès (ou autorisation).
Dans un monde idéal, le SSO est unique. Dans la réalité du ministère, ce n'est pas le cas. Les
principaux SSO disponibles sont les suivants :
- 4 SSO web ministériels, affectés grosso modo à des populations identifiées : gendarmes,
policiers, personnels de la préfecture de police, et tous les autres.
- Le projet DINUM AgentConnect, fédérateur des SSO web des agents publics, dans ses
deux instances (AgentConnect internet et AgentConnect RIE).
Toutes les applications n'étant pas de type web (c'est à dire basées sur un client léger - le
navigateur), il existe également plusieurs SSO "lourd", généralement basé sur Kerberos : les AD
(Active Directory) pour les parcs d'ordinateurs Windows, ainsi que l'instance de kerberos mise en
oeuvre pour le parc de postes Linux de la gendarmerie.
Pour être complet, certaines applications ne peuvent s'intégrer dans un SSO. Une alternative
consiste alors à les coupler à un annuaire LDAP existant (par exemple annuaire messagerie) pour
que l'utilisateur puisse bénéficier au moins d'un mot de passe unique, à défaut d'un login unique.
Document 2