Qu'est-ce qu'une fédération d'identité ?
La fédération des identités est une solution qui simplifie l’accès sécurisé des utilisateurs. . Elle combine plusieurs mécanismes, notamment l’authentification, l’autorisation, le contrôle d’accès, la détection des intrusions (IDPS), ainsi que l’utilisation de prestataires de services. Grâce à cette approche, les utilisateurs autorisés peuvent accéder à plusieurs systèmes, domaines ou applications à l’aide d’un seul ensemble d’identifiants.
Cela élimine le besoin de mémoriser plusieurs mots de passe, réduisant ainsi la frustration des utilisateurs. De plus, cela simplifie considérablement la gestion pour les équipes informatiques.
Concrètement, des services tiers indépendants assurent l’identité des utilisateurs. Ces services jouent le rôle de médiateur entre les utilisateurs et les ressources. Des outils comme l’authentification multifactorielle (MFA) et l‘authentification unique (SSO)sont souvent intégrés pour renforcer la sécurité et fluidifier l’accès.
Fédération d'Identités et Authentification Unique (SSO)
La
fédération des identités et l’authentification unique (SSO) sont souvent
considérées à tort comme des synonymes. Bien que ces deux technologies
relèvent de la gestion des identités et que leurs fonctions semblent
similaires, elles remplissent des fonctions bien distinctes.
La
fédération des identités et l’authentification unique authentifient les
utilisateurs à l’aide d’un protocole sécurisé et réduisent les
procédures d’accès aux ressources à un seul événement de connexion,
comprenant généralement une authentification multifactorielle. Une fois
connectés, les utilisateurs sont en mesure de naviguer librement entre
différents services sans avoir à se réauthentifier. Cependant, si le SSO
permet aux utilisateurs d’accéder à plusieurs systèmes au sein d’une
même organisation, la fédération des identités leur permet quant à elle,
d’accéder à plusieurs systèmes dans différentes organisations.
Cette technologie permet également d’agréger plusieurs groupes. Ces groupes peuvent être isolés dans un environnement d’entreprise unique ou répartis dans des entreprises disparates avec une authentification centralisée.
La fédération des identités rationalise le SSO et permet aux utilisateurs d’accéder aux systèmes en évitant des authentifications à répétition.
Fédération des identités et authentification
La fédération des identités est authentifiée à l’aide de protocoles sécurisés et basés sur des normes. Ceux-ci permettent l’authentification et l’accès à travers des domaines fédérés. Les protocoles d’authentification sécurisés les plus courants sont les suivants :
- JWT (JSON Web Token)
- Kerberos
- LDAP (Lightweight Directory Access Protocol)
- OAuth (Open Authorization)
- OIDC (OpenID Connect)
- RADIUS (Remote Authentication Dial-In User Service)
- SAML (Security Assertion Markup Language)
- SCIM (Système de gestion des identités interdomaines)
Les autres protocoles d’authentification sécurisée sont les suivants :
- CHAP (Challenge-Handshake Authentication Protocol)
- Diameter
- EAP (Extensible Authentication Protocol)
- PAP (Password Authentication Protocol)
- TACACS (Terminal Access Controller Access Control System)
La fédération d’identités repose sur un fournisseur d’identité. Un fournisseur d’identité est un site Web ou un service qui stocke vos informations d’identification et vous permet de les utiliser pour vous connecter à d’autres sites Web ou services. Lorsque vous cliquez sur le bouton « Se connecter avec… » sur un site Web, vous êtes généralement redirigé vers la page de connexion du fournisseur d’identité. Une fois que vous avez saisi vos informations d’identification sur la page de connexion du fournisseur d’identité, vous serez redirigé vers le site ou le système d’origine sans avoir à vous reconnecter.
Avantages
Renforce la sécurité
Lorsque vous utilisez la connexion fédérée, vos identifiants sont uniquement stockés sur les serveurs du fournisseur d'identités. Cela signifie que si l'un des sites Web ou services que vous utilisez est compromis, vos identifiants ne sont pas exposés.
Facilite les accès
Avec la connexion fédérée, vous n'avez besoin de mémoriser vos identifiants que pour un seul compte. Cela peut être beaucoup plus simple que de suivre plusieurs identifiants pour différents sites et services.
Réduction de coût
La mise en œuvre d'un système de connexion fédérée peut être moins coûteuse que la configuration et la maintenance d'une solution d'authentification unique. Vous n'avez pas besoin de créer et de déployer une solution SSO personnalisée.
Inconvénients
Renforce la dépendance
Lorsque vous utilisez la connexion fédérée, vous comptez sur le fournisseur d'identité pour conserver vos identifiants en toute sécurité. Si le fournisseur d'identité subit une panne ou une faille de sécurité, vous ne pourrez peut-être pas vous connecter aux sites Web et aux services que vous utilisez.
Contrôle limité
Vous abandonnez également une partie du contrôle sur votre compte avec la connexion fédérée. Par exemple, si vous souhaitez modifier votre mot de passe sur l’un des sites Web ou services que vous utilisez, vous devrez le faire via le fournisseur d’identité.
Flexibilité réduite
Les systèmes de connexion fédérée peuvent également être moins flexibles que les solutions d’authentification unique, car ils ne fonctionnent généralement qu’avec quelques types de comptes spécifiques. Ainsi, si vous souhaitez utiliser la connexion fédérée avec un nouveau site Web ou service, elle peut ne pas être compatible avec le système existant.
Fédération d'identité vs SSO (Single Sign-On)
Il est important de noter que la fédération d’identité diffère de l’authentification unique (SSO). Avec l’authentification unique, vous vous connectez à un compte et accédez à tous les autres comptes liés à la même entité. C’est différent de la fédération d’identité, où vous pouvez utiliser vos informations d’identification d’une entité pour vous connecter à une autre entité. La fédération d’identité est une approche décentralisée de l’authentification qui permet aux utilisateurs d’accéder à plusieurs services en ligne avec un seul ensemble d’informations d’identification.
Exemples de fédération d’identité
Un exemple de cas d’utilisation courant de la fédération d’identités est celui d’une organisation qui souhaite fournir à ses clients un accès rapide à ses services en ligne. Dans ce cas, l’organisation met en place un fournisseur d’identité (IdP) et le configure pour authentifier les utilisateurs à l’aide de leur compte existant auprès d’un service tiers, tel que Renater, Facebook ou Google. Une fois authentifié, l’utilisateur peut accéder aux services de l’organisation sans créer de nouveau compte ni mémoriser plusieurs informations d’identification.
Un autre exemple courant de fédération d’identités est celui d’une organisation qui souhaite partager des données avec une autre organisation en toute sécurité. Par exemple, un centre de recherche peut vouloir donner à ses collaborateurs et doctorants l'accès aux dossiers de recherche d'un autre centre de recherche ou université qui utilise un autre système d'information et donc un autre fournisseur d'identité (IdP). Dans ce cas, le centre de recherche mettrait en place un IdP et le configurerait de manière que ses collaborateurs et doctorants puissent utiliser leurs identifiants existants pour se connecter aux services des autres centres de recherche et universités. Cela permettrait au centre de recherche de contrôler quels collaborateurs et doctorants ont accès aux dossiers de recherche et d'empêcher les utilisateurs non autorisés d'y accéder.
Nos Services
Découvrez nos services associés :
Audit et analyse de la gestion d'identité et des accès
Permet de prendre du recul sur votre processus de gestion des identités et des accès actuel et d’identifier des axes d’amélioration.
Mise en place d'une fédération d'identité
Apporte notamment une hausse du niveau de sécurité pour davantage de simplicité au quotidien pour les utilisateurs et administrateurs.
Formations
Suivez nos formations IAM afin d'acquérir les bonnes pratiques d'administration des services de gestion des identités et des accès.