Chapitre 1 : Qu`est ce qu`un service d`annuaire
Chapitre 1 : Qu’est ce qu’un service d’annuaire ?
1. UN ANNUAIRE : Définition ................................................................................................. 1
1.1 UN ANNUAIRE : à quoi ça sert ? ................................................................................... 2
1.2 ANNUAIRE : Spécificités ............................................................................................... 2
1.2.1 Gestion des habilitations ........................................................................................... 4
1.2.3 LA FEDERATION DES IDENTITES ..................................................................... 6
1.2.4 Pourquoi le standard LDAP ? .................................................................................... 8
2. Historique des Annuaires ....................................................................................................... 9
2.1 Les annuaires DNS et WHOIS ......................................................................................... 9
2.2 La normalisation X500 ................................................................................................... 10
2.3 Les annuaires propriétaires ............................................................................................. 11
1. UN ANNUAIRE : Définition
L’annuaire est une sorte de base de données permettant de retrouver facilement des personnes ou
des ressources (imprimantes, ordinateurs, applications…). Mais ce n’est pas simplement une base de
données ; un annuaire offre aussi des services de sécurité, de recherche, de classement et
d’organisation des données.
Un annuaire répondant au protocole LDAP est une version électronique d’une annuaire off line
comme Les Pages Jaunes, un carnet d’adresses papiers etc… Ces annuaires permettent de localiser
des personnes ou des entreprises.
Le but d’un annuaire en ligne est aussi de localiser des personnes et des ressources.
Evidemment un annuaire électronique n’a que des avantages par rapport à un annuaire papier. Le
premier pourra facilement être mis à jour et offrira ainsi des données actualisées en quasi temps réels.
De plus un annuaire en ligne peut inviter le propriétaire de ses informations à mettre à jour lui-même
les données qui le concernent. Dégageant ainsi la responsabilité d’un Administrateur et garantissant
aussi l’absence d’erreur. (même s’il reste évidemment le risque d’erreur personnelle !)
Le fait de disposer d’un annuaire toujours à jour permet à une entreprise de se baser sur celui-ci pour
permettre certaines actions à tel ou tel salarié. Par exemple, en fonction des données de l’annuaire on
pourra ou non donner accès à Internet à un salarié…
L’entreprise peut également se baser sur son annuaire pour vérifier si le collaborateur est un salarié
ou un prestataire extérieure ; du coup pourra s’appuyer sur cette information pour donner accès ou
non à l’Intranet…
Etc…
Un annuaire est flexible et on peut y ajouter facilement de nouveaux type de données (attributs). On
pourra ainsi facilement ajouter une nouvelle information comme un numéro de pager, un numéro de
portable… Information qui n’était pas nécessaire il y a 15 ans !
Grâce à un annuaire en ligne on peut organiser et réorganiser le classement des données dans
l’annuaire. Plutôt que de classer des personnes par ordre alphabétique, on peut les organiser par
filiales, par immeubles, par services etc…
Il suffira de modifier la vue proposée à l’utilisateur sans modifier l’organisation des données dans
l’annuaire LDAP lui-même…
Un annuaire en ligne offre un bon niveau de sécurité puisque il est possible de contrôler les
informations affichées en fonction de différents critères ; par exemple l’identité de l’utilisateur ou sa
localisation géographique, son statut… Par exemple on pourra facilement empêcher un utilisateur
extérieur à une entreprise de consulter toutes les données des personnes qu’il recherche ; on ne
communiquera pas le numéro de portable par exemple…
Evidemment, il est plus difficile de copier un annuaire en ligne qu’un annuaire papier.
Avec un annuaire papier, soit on apparaît, soit on apparaît pas (liste rouge par exemple). Avec
l’annuaire en ligne on peut décider d’apparaître sous certaines conditions, en fonction du profil de
l’utilisateur qui interroge l’annuaire. On peut aussi décider de ne faire apparaître que certaines
données en fonction de l’utilisateur.
Un annuaire peut stocker le profil de chaque utilisateur et grâce à une donnée (attribut) dédiée on
pourra dire si tel ou tel utilisateur (dont les données sont stockées dans l’annuaire) peut ou ne peut
pas administrer l’annuaire ; est ou n’est pas un cadre de l’entreprise etc…
1.1 UN ANNUAIRE : à quoi ça sert ?
Comme nous l’avons déjà dit, les annuaires électroniques servent à localiser n’importe quoi et on
pourra y trouver tout confondu , des personnes, des groupes de personnes, des salles de réunion,
des immeubles, des ordinateurs, des sites webs (exemple : yahoo, google), des applications
(exemple : la base de registre) etc… Toute chose dont un utilisateur peut vouloir consulter de
l’information.
Un annuaire doit disposer d’un bon système de navigation et de recherche multicritère.
On doit pouvoir par exemple recherche des personnes par leur nom et leur prénom ; mais aussi par
leur site de présence dans l’entreprise. Les autres ressources dont les informations sont stockées
dans l’annuaire doivent aussi pouvoir être retrouvées à l’aide de formulaires de recherches adéquats.
Un annuaire peut proposer un système de navigation hiérarchique. Par exemple, on pourra naviguer
dans une arborescence de l’entreprise ; au sommet nous aurons le nom de l’entreprise,
immédiatement en dessous ses différents sites (ou immeubles) et sous les différents sites, les
différentes personnes…
En résumé :
Un annuaire est un référentiel partagé de personnes et de ressources, dont la vocation est de les
localiser à l’aide de fonctions élaborées de navigation et de recherche et d’offrir des mécanismes de
sécurité pour protéger des informations et y accéder.
Toute entreprise s’appuie aujourd’hui sur un annuaire électronique qui fait désormais partie intégrante
du système informatique de celle-ci.
1.2 ANNUAIRE : Spécificités
On peut dire qu’un annuaire est une base de données (puisqu’il stocke des données) mais par contre
une base de données n’est pas forcément un annuaire.
Un annuaire est plus sollicité en lecture qu’en écriture. Son rôle étant de diffuser de l’information. Les
écritures auront lieu lors de mise à jour des données par des administrateurs. Mais il est évident que
l’annuaire passera plus de temps à être consulté que modifié.
Un annuaire n’est pas fait pour gérer des transactions complexes. La mise à jour de données implique
la modification de quelques informations sur une entrée. Contrairement à une base de données un
annuaire n’est pas fait pour gérer des transactions impliquant la gestion d’intégrité entre plusieurs
tables. Une base de données peut recevoir des transactions critiquent qui doivent impérativement
toutes réussirent en même temps pour qu’il n’y ait pas d’incohérence. Pas l’annuaire !
Un annuaire doit être capable de répondre de manière performante aux interrogations même si le
réseau est lent. Un annuaire où qu’il soit situé à travers le monde doit être capable de répondre à
n’importe quel utilisateur de n’importe quel pays.
C’est pour cela que les annuaires doivent répondre à un protocole de communication performant et
peut gourmand en ressources. Les bases de données sont elles conçues pour répondre à des
requêtes lourdes et pour être interroger en interne.
Pour qu’un annuaire puisse être interrogé par n’importe qui de n’importe où , il faut donc disposer d’un
moyen de communications universel. Il faut avoir un standard ouvert, facile à utiliser. Un standard qui
concerne aussi bien la façon dont on interroge l’annuaire que la façon de représenter les données qui
s’y trouvent. Pour cela il faut disposer d’une sémantique partagée des champs (attributs). Par exemple
l’attribut givenName doit être reconnu par tous de la même manière et doit être codé de façon
normalisée lors des échanges.
Le protocole LDAP est le résultat d’un accord entre les principaux intervenants du monde de l’Internet
et LDAP est un standard comme l’est http ou SMTP.
Les annuaires peuvent communiquer entre eux. Il serait difficile d’avoir un seul et même annuaire pour
toute la planète mais à l’époque de la mondialisation, il serait quand même judicieux de pouvoir
interroger tous les annuaires de la planète. L’idée et de faire en sorte que les annuaires puissent se
transmettre des requêtes. Ainsi si l’annuaire A n’a pu répondre à une requête, il transmet celle-ci à
l’annuaire B qui répond ou s’il ne peut répondre, la transmet à l’annuaire C etc… Les annuaires sont
ainsi interconnectés.
Comme déjà dit, un annuaire gère les données de manière hiérarchique. Il est judicieux de stocker les
personnes d’une entreprise par services.
Par exemple :
Une base de données traditionnelles stockent les données et les lie par des relations entre tables. On
aurait par exemple une table contenant les sections et une table contenant des élèves. La table
contenant les élèves aurait un champ indexant le service dans lequel se trouve l’élève.
Université
Pasquale Paoli
DEUG A
DESS
Eric
Agostini
Sylvie
Durand
Pierre
Agostini
1
Eric
Agostini
1
2
Sylvie
Durand
1
3
Pierre
Agostini
2
1
DEUG A
2
DESS
Les annuaires offrent un espace de noms homogènes. Ainsi afin de localiser rapidement un élément
qui est décrit dans un annuaire, il est important de pouvoir nommer celui-ci de façon homogène quelle
que soit sa nature. Nommer une entrée de l’annuaire désignant une personne ou une imprimante doit
se faire de la même façon !
Avec une base de données les tables sont liées par des index et rien n’oblige que les imprimantes et
les personnes utilisent le même type d’index. Du coup on ne pourra pas localiser de la même manière
une personne et une imprimante.
1.2.1 Gestion des habilitations
Un utilisateur d’un annuaire n’aura pas forcément accès à toutes les informations. Ainsi un utilisateur
extérieur n’aura peut-être pas accès aux données de certaines personnes qui veulent être en liste
rouge. Par contre un administrateur de l’annuaire devra être capable de voir toutes les données y
compris les personnes en liste rouge. L’annuaire doit donc définir des habilitations des utilisateurs.
(L’Administrateur de l’annuaire figure lui-même dans l’annuaire).
Ces habilitations concernent toute ressource présente dans l’annuaire ! Ainsi un serveur disposera
également de droits. Et également un utilisateur de l’annuaire aura des droits ou non pour utiliser telle
ou telle imprimante référencée dans l’annuaire !
Avec une base de données traditionnelles les administrateurs de la base sont définis au niveau du
système et les administrateurs n’auront rien à voir avec les données (et donc les utilisateurs)
contenues dans les tables de la base.
Les annuaires s’appuient sur des bases de données.
Il faut bien comprendre que LDAP est une interface d’accès aux annuaires et qu’un annuaire est
quant à lui un système de stockage capable de répondre au protocole LDAP.
Du coup rien n’empêche qu’un annuaire soit une base de données relationnelles.
Aujourd’hui ORACLE propose des services LDAP qui s’appuient sur des bases de données
relationnelles ORACLE.
Mais les nouveaux produits qui sont les plus performants sont des produits à part entière avec un
système de fonctionnement qui n’est pas basé sur des bases de données relationnelles mais sur leur
propre moteur afin d’être le plus performant pour le protocole LDAP.
Annuaire
Système de stockage des
données
Produit annuaire dédié ?
Sun Java System Directory
Server
S’appuie sur une base de
données issue d’un système de
gestion de fichiers séquentiel
indexé.
Oui. Sun Java System Directory
Server a été spécialement
conçu par Sun et est optimisé
pour une organisation
hiérarchique des données.
Novell eDirectory
S’appuie sur un moteur de base
de données conçu par Novell.
Oui. Même s’il est issu de
Novell Netware, il fonctionne
aujourd’hui de manière
autonome.
Oracle 8i et plus évoluées.
La base de données ORACLE
propose désormais une
interface LDAP.
Non. Oracle reste optimisée
pour être utilisée comme une
base de données relationnelle.
En résumé :
Un annuaire est donc un progiciel stockant des données dans une base de données et proposant des
services spécifiques pour répondre aux besoins de localisation de ressources, de navigation, de
recherche, de gestion des habilitations et d’intéropérabilité.
Les applications font appel aux services d’annuaires à travers une interface normalisée qui est LDAP.
Les services sont offerts par un composant spécifique qui peut s’appuyer sur une base de données
(qui peut être dédiée ou classique c'est-à-dire relationnelle) et qui met à disposition des fonctions de
recherche, de localisation et de gestion du contenu.
1.2.2 La gestion des identités
Identité est employé au sens de l’identité nécessaire au fonctionnement d’applications informatiques
auxquelles accède un individu (employé, client…). L’identité d’une personne change en fonction de
son rôle.
Pour mettre en place la gestion des identités il faut constituer un référentiel qui va contenir les
informations partagées pour différentes applications. Ces informations doivent permettre de décrire les
individus et doivent contenir un ou plusieurs identifiants qui serviront d’index pour y accéder.
Un référentiel de personnes sera généralement complété par un référentiel des organisations et on va
ainsi pouvoir rattacher des personnes à ces organisations.
Dans une entreprise les données peuvent être éparpillées dans différents systèmes de données.
L’annuaire devra s’appuyer sur différentes sources de données comme par exemple la base des
DRH… Et on pourra utiliser des outils comme les meta-annuaires qui permettent de recopier les
données de différentes sources vers un annuaire LDAP centralisateur de l’information.
Le référentiel doit être accompagné d’outils qui vont permettre aux utilisateur de consulter et mettre à
jour eux-mêmes les données les concernant.
Ce type d’outil est généralement capable de faire en sorte qu’un utilisateur puisse modifier certaines
de ses informations mais pas toutes. Par exemple, un utilisateur pourra modifier son mot de passe
mais ne pourra pas directement modifier l’organisation à laquelle il est rattaché !
Le référentiel permet de faire de l’identification et de l’authentification.
Ainsi les utilisateurs vont disposer d’un identifiant unique et d’un mot de passe stockés dans
l’annuaire. (On pourra également inclure dans l’annuaire des certificats électronique)
Un utilisateur qui s’identifie pourra ainsi communiquer certaines informations à l’application qu’il
souhaite utiliser et l’application sera capable de vérifier si l’utilisateur dispose de droits suffisants (en
fonction par exemple du service auquel il appartient)
Le référentiel doit être capable de stocker les mots de passe des utilisateurs. Les applications
aujourd’hui sont capables de s’appuyer sur un annuaire pour vérifier que l’utilisateur est correctement
authentifié. Du coup le référentiel permet à un utilisateur d’avoir accès à énormément d’applications
avec un seul et même mot de passe ; mot de passe qu’il est capable d’aller modifier quand il le veut
(en fonction des règles de l’entreprise). Ce qui allège la tâche des Administrateurs.
Chaque fois qu’une personne arrive dans une entreprise il faut activer des comptes de messageries,
d’utilisateur de serveur de fichiers etc…
En se basant sur le référentiel et en mettant en place des programmes, outils ou scripts, il sera
possible d’automatiser les processus de création, modification ou suppressions des comptes
(messageries, serveur de fichiers etc…)
Diminuant encore une fois le travail des administrateurs…
Grâce à la gestion des identités on doit pouvoir savoir si un utilisateur peut accéder à telle ou telle
application au moment même ou un utilisateur demande cet accès à l’application.
6
7
8
9
10
11
1
/
11
100%
