ISO/IEC 24760-2:2015

NORME ISO/IEC
INTERNATIONALE 24760-2
Première édition
2015-06-01
Technologies de l'information —
Techniques de sécurité — Cadre pour
la gestion de l'identité —
Partie 2:
Architecture de référence et exigences
Information technology — Security techniques — A framework for
identity management —
Part 2: Reference architecture and requirements
Numéro de référence
© ISO/IEC 2015
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/IEC 2015
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
Fax: +41 22 749 09 47
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii
© ISO/IEC 2015 – Tous droits réservés

Sommaire Page
Avant-propos .iv
Introduction .v
1 Domaine d'application .1
2 Références normatives .1
3 Termes et définitions . 1
4 Symboles et abréviations .2
5 Architecture de référence . 3
5.1 Généralités . 3
5.2 Éléments architecturaux . 3
5.2.1 Vue d'ensemble. 3
5.2.2 Points de vue . 3
5.3 Vue contextuelle . 4
5.3.1 Parties prenantes. 4
5.3.2 Acteurs . 7
5.3.3 Modèle contextuel . 13
5.3.4 Modèle de cas d'utilisation . 13
5.3.5 Modèle de conformité et de gouvernance . 16
5.4 Vue fonctionnelle . 16
5.4.1 Modèle de composant . 16
5.4.2 Processus et services . 17
5.4.3 Modèle physique .25
5.5 Scénarios de gestion de l'identité . 25
5.5.1 Généralités . 25
5.5.2 Scénario d'entreprise .25
5.5.3 Scénario fédéré . 25
5.5.4 Scénario de service . . 26
5.5.5 Scénario hétérogène . 26
6 Exigences relatives à la gestion des informations d'identité .26
6.1 Généralités . 26
6.2 Politique d'accès aux informations d'identité . 26
6.3 Exigences fonctionnelles pour la gestion des informations d'identité . 27
6.3.1 Politique pour le cycle de vie des informations d'identité . 27
6.3.2 Conditions et procédure de maintenance des informations d'identité . 27
6.3.3 Interface des informations d'identité .28
6.3.4 Identificateur de référence .28
6.3.5 Qualité et conformité des informations d'identité .30
6.3.6 Archivage des informations .30
6.3.7 Résiliation et suppression d'informations d'identité .30
6.4 Exigences non fonctionnelles . 31
Annexe A (informative) Aspects légaux et réglementaires .32
Annexe B (informative) Modèle de cas d'utilisation .33
Annexe C (informative) Modèle de composant .37
Annexe D (informative) Modèle de processus métier .40
Bibliographie .53
iii
© ISO/IEC 2015 – Tous droits réservés

Avant-propos
L'ISO (Organisation internationale de normalisation) et l'IEC (Commission électrotechnique
internationale) forment le système spécialisé de la normalisation mondiale. Les organismes
nationaux membres de l'ISO ou de l'IEC participent au développement de Normes internationales
par l'intermédiaire des comités techniques créés par l'organisation concernée afin de s'occuper des
domaines particuliers de l'activité technique. Les comités techniques de l'ISO et de l'IEC collaborent
dans des domaines d'intérêt commun. D'autres organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l'ISO et l'IEC participent également aux travaux. Dans le domaine des
technologies de l'information, l'ISO et l'IEC ont créé un comité technique mixte, l'ISO/IEC JTC 1.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents
critères d'approbation requis pour les différents types de documents ISO. Le présent document a
été rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir
www.iso.org/directives).
L'attention est attirée sur le fait que certains des éléments du présent document peuvent faire l'objet
de droits de propriété intellectuelle ou de droits analogues. L'ISO et l'IEC ne sauraient être tenues pour
responsables de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails
concernant les références aux droits de propriété intellectuelle ou autres droits analogues identifiés
lors de l'élaboration du document sont indiqués dans l'Introduction et/ou dans la liste des déclarations
de brevets reçues par l'ISO (voir www.iso.org/brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l'intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la signification des termes et expressions spécifiques de l'ISO liés à l'évaluation
de la conformité, ou pour toute information au sujet de l'adhésion de l'ISO aux principes de l'Organisation
mondiale du commerce (OMC) concernant les obstacles techniques au commerce (OTC), voir le lien
suivant: Avant-propos — Informations supplémentaires.
Le comité chargé de l'élaboration du présent document est l'ISO/IEC JTC 1, Technologies de l'information,
sous-comité SC 27, Sécurité de l'information, cybersécurité et protection de la vie privée.
L'ISO/IEC 24760 comprend les parties suivantes, présentées sous le titre général Technologies de
l'information — Techniques de sécurité — Cadre pour la gestion de l'identité:
— Partie 1: Terminologie et concepts;
— Partie 2: Architecture de référence et exigences.
La partie suivante est en cours d'élaboration:
— Partie 3: Mise en œuvre.
D'autres parties pourraient être publiées par la suite.
iv
© ISO/IEC 2015 – Tous droits réservés

Introduction
Les systèmes de traitement des données collectent généralement un éventail d'informations relatives
à leurs utilisateurs, qu'il s'agisse d'une personne, d'un matériel ou d'un logiciel qui y sont connectés,
et prennent des décisions sur la base des informations recueillies. Ces décisions basées sur l'identité
peuvent concerner l'accès aux applications ou à d'autres ressources.
Afin de répondre au besoin de mise en œuvre efficace et effective des systèmes qui prennent des
décisions basées sur l'identité, la présente partie de l'ISO/IEC 24760 spécifie un cadre pour la
délivrance, l'administration et l'utilisation des données qui sert à caractériser les personnes physiques,
les organisations ou les composants des technologies de l'information qui interviennent au nom de
personnes physiques ou d'organisations.
Pour de nombreuses organisations, la gestion adéquate des informations d'identité est essentielle au
maintien de la sécurité des processus organisationnels. Pour les personnes physiques, une gestion
adéquate de l'identité est importante pour la protection de la vie privée.
L'ISO/IEC 24760 spécifie les concepts fondamentaux et les structures opérationnelles de la gestion de
l'identité dans le but de mettre en œuvre la gestion du système d'information de sorte que les systèmes
d'information puissent satisfaire aux obligations contractuelles, réglementaires, légales et métier.
La présente partie de l'ISO/IEC 24760 définit une architecture de référence pour un système de gestion
de l'identité qui inclut les éléments architecturaux clés et leurs relations. Ces éléments architecturaux
sont décrits par rapport aux modèles de déploiement de la gestion de l'identité. La présente partie de
l'ISO/IEC 24760 spécifie les exigences relatives à la conception et à la mise en œuvre d'un système de
gestion de l'identité afin qu'il puisse répondre aux objectifs des parties prenantes impliquées dans le
déploiement et l'exploitation de ce système.
La présente partie de l'ISO/IEC 24760 est destinée à fournir une base pour la mise en œuvre d'autres
Normes internationales relatives au traitement des informations d'identité telles que:
— ISO/IEC 29100, Technologies de l'information — Techniques de sécurité — Cadre privé;
— ISO/IEC 29101, Technologies de l'information — Techniques de sécurité — Architecture de référence
pour la protection de la vie privée;
— ISO/IEC 29115, Technologies de l'information — Techniques d
...