Règles d'autorisation de la passerelle ENC
Règles d'autorisation de la passerelle ENC
L'infrastructure virtuelle ENC est protégée par authentification, autorisation et audit.
L'authentification est réalisée par le protocole TLS de base du secteur et est décrite dans
les sections Authentification
(page 407) et Authentification de la passerelle ENC.
(page 471) Le composant d'audit est également décrit en détails dans la section
Evénements d'audit.
(page 489)
Cette section décrit de quel manière et à quel endroit l'autorisation est utilisée et se termine par un exemple appliqué.
Termes généraux
La liste suivante présente les termes utilisés dans le contexte des règles d'autorisation.
Certains d'entre eux relèvent de la norme industrielle, tandis que d'autres ont été adaptés pour une utilisation par ENC.
Entité de sécurité
Une entité de sécurité est un objet authentifié, toujours sur un ordinateur situé dans ENC, ayant prouvé son identité auprès des serveurs de passerelle. L'objet est toujours référencé par son URI (Uniform Resource Identifier). Cet objet est l'entité qui émet une requête pour accéder à un objet ou une opération sécurisé. Dans
ENC, une entité de sécurité est généralement un ordinateur individuel, un ordinateur pouvant être référencé via un domaine (groupe) ou un sous-groupe d'ordinateurs définis par la correspondance par caractère générique avec l'URI.
Objet sécurisé
L'objet sécurisé est la cible d'une requête ou opération d'accès. L'objet sécurisé est toujours un ordinateur nommé d'après son URI, mais des règles d'accès peuvent s'appliquer à un ordinateur unique, un groupe d'ordinateurs correspondant à un caractère générique ou un domaine complet.
Domaine
Un domaine est un regroupement logique d'ordinateurs utilisé par le composant d'autorisation parmi un groupe d'ordinateurs. Dans un scénario de sous-traitant, un domaine représente généralement les ordinateurs au niveau d'une organisation ou d'une unité organisationnelle. Les entités de sécurité sont mappées dans un domaine par le biais d'une correspondance exacte de l'URI ou des correspondances par caractère générique avec l'URI.
472 Manuel d'implémentation
Règles d'autorisation de la passerelle ENC
Correspondance par caractère générique
ENC peut utiliser la correspondance par caractère générique afin de déterminer l'appartenance au domaine. La correspondance par caractère générique utilise des expressions régulières pour exécuter l'algorithme correspondant.
ENC utilise des expressions régulières compatibles avec le langage de programmation PERL (PCRE, voir http://www.pcre.org/ ) pour la fonctionnalité de correspondance par caractère générique. Pour connaître la syntaxe complète des expressions PCRE, accédez au site http://perldoc.perl.org/perlre.html
.
TACE – Entrée de contrôle d'accès programmé
Une TACE est une règle qui définit si une opération donnée (ou plusieurs opérations) peut être exécutée ou non par une entité de sécurité sur un objet sécurisé à un moment donné. Certaines règles refusent l'accès tandis que d'autre l'autorisent. Les TACE de refus sont prioritaires par rapport à celles d'autorisation.
Toute opération ne disposant pas de règles de correspondance est implicitement refusée.
Important : L'heure active d'une entrée de contrôle d'accès est toujours l'heure locale de la cible d'une opération. Si un agent souhaite se connecter à un autre agent dans un autre fuseau horaire, le noeud du gestionnaire de passerelle ENC validera la plage horaire dans le contexte de l'agent cible.
TACL – Liste de contrôle d'accès programmé
Une TACL est une liste de règles TACE.
Noeuds de l'infrastructure
Ce terme désigne les noeuds ENC qui fournissent l'infrastructure de réseau virtuel
ENC, dont ceux du gestionnaire, du serveur et du routeur, mais pas les agents ENC eux-mêmes.
URI - Identificateur URI
Un URI est une chaîne utilisée pour nommer ou identifier une ressource. ENC utilise un URI pour représenter tous les objets authentifiés.
Chapitre 12: Connectivité du réseau étendu (ENC) 473
