/ SPEAKER
Gérard Tixier
Oodrive
Après de nombreuses années dans le développement logiciel chez Alcatel-Lucent puis Nokia, où j'ai travaillé entre autres sur un serveur d'applications et des stacks protocolaires pour l'industrie des télécoms, j'ai rejoint Oodrive en Octobre 2021 en tant que responsable de l'équipe architecture.Nous y adressons de nombreux challenges techniques, dont en particulier la refonte du composant d'IAM, brique stratégique de la solution de partage de fichiers sécurisée.
Les modèles classiques d'Access Management sont en général basés sur du RBAC ou du ABAC (avec toutes les sous-variantes).
Une alternative existe, baptisée ReBAC (Relationship-based access control) et basée sur des "droits fins" (fine-grained authorization") entre sujets et ressources. Cette alternative se démocratise depuis la publication en 2019 par Google d'une description de son système interne "Zanzibar" chargé de gérer de façon uniforme les accès aux nombreuses ressources partagées (Calendar, Photos, YouTube, etc.).
Le système de Google n'est pas disponible, mais de nombreuses initiatives ont vu le jour pour proposer des solutions équivalentes dont certaines sont déjà "production-grade".
Cette présentation propose de décrire le parcours que nous avons suivi au sein de l'équipe architecture de Oodrive pour évaluer ce nouveau design. On reviendra rapidement sur le modèle lui-même, on évoquera le paysage des offres disponibles, l'offre retenue, mais surtout on présentera les challenges que pose la transformation d'un système legacy vers cette nouvelle solution.
En effet, les problématiques de changement d'architecture sont délicates. L'option Big-Bang technique ne peut pas être envisagée. Il faut trouver un chemin permettant l'atterrissage sur la nouvelle architecture à l'aide d'étapes de transition qui conservent la continuité de service.
More Une alternative existe, baptisée ReBAC (Relationship-based access control) et basée sur des "droits fins" (fine-grained authorization") entre sujets et ressources. Cette alternative se démocratise depuis la publication en 2019 par Google d'une description de son système interne "Zanzibar" chargé de gérer de façon uniforme les accès aux nombreuses ressources partagées (Calendar, Photos, YouTube, etc.).
Le système de Google n'est pas disponible, mais de nombreuses initiatives ont vu le jour pour proposer des solutions équivalentes dont certaines sont déjà "production-grade".
Cette présentation propose de décrire le parcours que nous avons suivi au sein de l'équipe architecture de Oodrive pour évaluer ce nouveau design. On reviendra rapidement sur le modèle lui-même, on évoquera le paysage des offres disponibles, l'offre retenue, mais surtout on présentera les challenges que pose la transformation d'un système legacy vers cette nouvelle solution.
En effet, les problématiques de changement d'architecture sont délicates. L'option Big-Bang technique ne peut pas être envisagée. Il faut trouver un chemin permettant l'atterrissage sur la nouvelle architecture à l'aide d'étapes de transition qui conservent la continuité de service.
English 
Français