/ SPEAKER
jean-louis DIVOL
Oodrive
Je possède une expérience de plus de 30 ans dans la transformation du SI (Architecture fonctionnelle et technique, mise en place d’une démarche d’urbanisation, méthodologie SCRUM)J’ai construit plusieurs plateformes pour des clients différents en traitant les sujets tant techniques que fonctionnels.Je suis actuellement Lead Architect à Oodrive
Les modèles classiques d'Access Management sont en général basés sur du RBAC ou du ABAC (avec toutes les sous-variantes).
Une alternative existe, baptisée ReBAC (Relationship-based access control) et basée sur des "droits fins" (fine-grained authorization") entre sujets et ressources. Cette alternative se démocratise depuis la publication en 2019 par Google d'une description de son système interne "Zanzibar" chargé de gérer de façon uniforme les accès aux nombreuses ressources partagées (Calendar, Photos, YouTube, etc.).
Le système de Google n'est pas disponible, mais de nombreuses initiatives ont vu le jour pour proposer des solutions équivalentes dont certaines sont déjà "production-grade".
Cette présentation propose de décrire le parcours que nous avons suivi au sein de l'équipe architecture de Oodrive pour évaluer ce nouveau design. On reviendra rapidement sur le modèle lui-même, on évoquera le paysage des offres disponibles, l'offre retenue, mais surtout on présentera les challenges que pose la transformation d'un système legacy vers cette nouvelle solution.
En effet, les problématiques de changement d'architecture sont délicates. L'option Big-Bang technique ne peut pas être envisagée. Il faut trouver un chemin permettant l'atterrissage sur la nouvelle architecture à l'aide d'étapes de transition qui conservent la continuité de service.
More Une alternative existe, baptisée ReBAC (Relationship-based access control) et basée sur des "droits fins" (fine-grained authorization") entre sujets et ressources. Cette alternative se démocratise depuis la publication en 2019 par Google d'une description de son système interne "Zanzibar" chargé de gérer de façon uniforme les accès aux nombreuses ressources partagées (Calendar, Photos, YouTube, etc.).
Le système de Google n'est pas disponible, mais de nombreuses initiatives ont vu le jour pour proposer des solutions équivalentes dont certaines sont déjà "production-grade".
Cette présentation propose de décrire le parcours que nous avons suivi au sein de l'équipe architecture de Oodrive pour évaluer ce nouveau design. On reviendra rapidement sur le modèle lui-même, on évoquera le paysage des offres disponibles, l'offre retenue, mais surtout on présentera les challenges que pose la transformation d'un système legacy vers cette nouvelle solution.
En effet, les problématiques de changement d'architecture sont délicates. L'option Big-Bang technique ne peut pas être envisagée. Il faut trouver un chemin permettant l'atterrissage sur la nouvelle architecture à l'aide d'étapes de transition qui conservent la continuité de service.
English 
Français