ArchitectureConference45min
Refonte d'un Access Management avec ReBAC
Cette présentation décrit l'évaluation par l'équipe d'architecture d'Oodrive du ReBAC, une alternative aux modèles d'Access Management traditionnels. Elle discute des défis rencontrés lors de la transition d'un système ancien vers cette nouvelle solution, en soulignant l'importance des étapes de transition pour maintenir la continuité du service.
Gérard TixierOodrive
jean-louis DIVOLOodrive
talkDetail.whenAndWhere
Friday, April 19, 10:30-11:15
Paris 141
Les modèles classiques d'Access Management sont en général basés sur du RBAC ou du ABAC (avec toutes les sous-variantes).
Une alternative existe, baptisée ReBAC (Relationship-based access control) et basée sur des "droits fins" (fine-grained authorization") entre sujets et ressources. Cette alternative se démocratise depuis la publication en 2019 par Google d'une description de son système interne "Zanzibar" chargé de gérer de façon uniforme les accès aux nombreuses ressources partagées (Calendar, Photos, YouTube, etc.).
Le système de Google n'est pas disponible, mais de nombreuses initiatives ont vu le jour pour proposer des solutions équivalentes dont certaines sont déjà "production-grade".
Cette présentation propose de décrire le parcours que nous avons suivi au sein de l'équipe architecture de Oodrive pour évaluer ce nouveau design. On reviendra rapidement sur le modèle lui-même, on évoquera le paysage des offres disponibles, l'offre retenue, mais surtout on présentera les challenges que pose la transformation d'un système legacy vers cette nouvelle solution.
En effet, les problématiques de changement d'architecture sont délicates. L'option Big-Bang technique ne peut pas être envisagée. Il faut trouver un chemin permettant l'atterrissage sur la nouvelle architecture à l'aide d'étapes de transition qui conservent la continuité de service.
Une alternative existe, baptisée ReBAC (Relationship-based access control) et basée sur des "droits fins" (fine-grained authorization") entre sujets et ressources. Cette alternative se démocratise depuis la publication en 2019 par Google d'une description de son système interne "Zanzibar" chargé de gérer de façon uniforme les accès aux nombreuses ressources partagées (Calendar, Photos, YouTube, etc.).
Le système de Google n'est pas disponible, mais de nombreuses initiatives ont vu le jour pour proposer des solutions équivalentes dont certaines sont déjà "production-grade".
Cette présentation propose de décrire le parcours que nous avons suivi au sein de l'équipe architecture de Oodrive pour évaluer ce nouveau design. On reviendra rapidement sur le modèle lui-même, on évoquera le paysage des offres disponibles, l'offre retenue, mais surtout on présentera les challenges que pose la transformation d'un système legacy vers cette nouvelle solution.
En effet, les problématiques de changement d'architecture sont délicates. L'option Big-Bang technique ne peut pas être envisagée. Il faut trouver un chemin permettant l'atterrissage sur la nouvelle architecture à l'aide d'étapes de transition qui conservent la continuité de service.
Gérard Tixier
Après de nombreuses années dans le développement logiciel chez Alcatel-Lucent puis Nokia, où j'ai travaillé entre autres sur un serveur d'applications et des stacks protocolaires pour l'industrie des télécoms, j'ai rejoint Oodrive en Octobre 2021 en tant que responsable de l'équipe architecture.
Nous y adressons de nombreux challenges techniques, dont en particulier la refonte du composant d'IAM, brique stratégique de la solution de partage de fichiers sécurisée.
Nous y adressons de nombreux challenges techniques, dont en particulier la refonte du composant d'IAM, brique stratégique de la solution de partage de fichiers sécurisée.
jean-louis DIVOL
Je possède une expérience de plus de 30 ans dans la transformation du SI (Architecture fonctionnelle et technique, mise en place d’une démarche d’urbanisation, méthodologie SCRUM)
J’ai construit plusieurs plateformes pour des clients différents en traitant les sujets tant techniques que fonctionnels.
Je suis actuellement Lead Architect à Oodrive
J’ai construit plusieurs plateformes pour des clients différents en traitant les sujets tant techniques que fonctionnels.
Je suis actuellement Lead Architect à Oodrive
comments.speakerNotEnabledComments