Identité fédérée et authentification
Votre identité numérique est composée de plusieurs attributs qui vous définissent comme une personne unique au sein de la sphère numérique. L’identité fédérée est un accord entre entités quant à la définition et à l’utilisation de ces attributs. Ces accords vous permettent de vous connecter dans un emplacement, puis de passer à une autre ressource sans devoir vous reconnecter.
La fédération des identités est un terme générique qui est applicable à de nombreux types d’entreprises, plateformes et protocoles. Mais les entités qui proposent des produits de fédération des identités conviennent d’utiliser des technologies que les autres peuvent comprendre et auxquelles elles peuvent accéder. C’est ainsi que différentes plateformes peuvent communiquer et échanger des informations sans nouvelle connexion.
Les systèmes de gestion des identités fédérées (FIM) reposent sur 7 « lois de l’identité ».
1. Contrôle et consentement de l’utilisateur : les utilisateurs donnent l’autorisation de partager les données et peuvent décider dans une certaine mesure des modalités de partage.
2. Divulgation minimale : un minimum d’informations d’identification sont partagées et celles-ci sont stockées de façon sécurisée et rapidement supprimées.
3. Justification : seules les personnes en mesure de prouver qu’elles ont besoin d’un accès peuvent l’obtenir.
4. Identité dirigée : la protection de l’identité est primordiale et les utilisateurs doivent être affectés d’identifiants privés à cette fin. Il est interdit aux entreprises de s’entendre avec d’autres dans le but de créer une vue plus complète de l’utilisateur accédant aux différentes plateformes.
5. Concurrence : une saine concurrence étant propice à l’amélioration des performances des produits, de nombreux fournisseurs d’identité doivent être pris en charge.
6. Intégration humaine : la personne a un rôle à jouer dans le processus afin de réduire le risque de piratage entre ordinateurs.
7. Cohérence : l’expérience utilisateur doit être simple et cohérente entre les différentes plateformes.
Une lecture attentive de ces principes devrait vous permettre de vous faire une idée de ce qu’est l’identité fédérée. Il est très probable que tous les utilisateurs ont déjà rencontré une forme d’identité fédérée au moins une fois dans leurs interactions en ligne. Si vous vous êtes connecté à Google, puis que vous avez accédé à un autre site contenant des informations protégées sans avoir dû vous reconnecter, vous avez fait l’expérience de l’identité fédérée.
Comment fonctionne l’authentification fédérée ?
La gestion des identités fédérées (FIM) repose sur des accords stricts. Les fournisseurs d’identité et les fournisseurs de services s’entendent sur les attributs (emplacement ou numéro de téléphone, p. ex.) qui vous identifient en ligne. Une fois ces identifiants vérifiés, vous êtes authentifié sur plusieurs plateformes.
Les technologies généralement utilisées par les solutions de gestion des identités fédérées incluent les suivantes :
- SAML (Security Assertion Markup Language)
- OAuth
- OpenID
Les entreprises peuvent utiliser des tokens de sécurité tels que les tokens JWT (JSON Web Token) et les assertions SAML pour transmettre les autorisations d’une plateforme à l’autre.
Prenons l’exemple du processus d’identité fédérée de Google avec OAuth. Pour utiliser ce système, les développeurs doivent suivre la procédure suivante :
1. Récupérer des identifiants OAuth de l’API de Google. Il faut choisir des données, par exemple un ID client et un secret client que Google et l’entreprise du développeur connaissent.
2. Obtenir un token d’accès auprès du serveur d’autorisation de Google. L’utilisateur doit obtenir un token de Google pour réaliser la demande d’accès web.
3. Comparer les périmètres d’accès. Les utilisateurs octroient l’accès aux données, mais il faut déterminer si votre demande correspond aux données qu’ils ont accepté de partager.
4. Envoyer le token à une API. Les utilisateurs sont prêts à accéder au site voulu pour autant que le token soit inclus dans le header de la demande d’autorisation HTTP.
Pour l’utilisateur, ce processus est presque transparent. Il souhaite accéder à un site web et voit s’afficher un écran l’invitant à se connecter à l’aide d’autres identifiants. Il appuie sur une ou deux touches, et le tour est joué.
Le rôle des autorités publiques dans la fédération des identités
Les développeurs se voient comme des professionnels autonomes, libres de toute influence politique et ingérence. En réalité, le gouvernement s’intéresse de près au fonctionnement de l’identité fédérée et à ceux qui en ont la charge.
Aux États-Unis, cette attention est le résultat de la directive HSPD-12 (Homeland Security Presidential Directive 12), adoptée en 2004. Les experts nécessitaient des identifiants sécurisés pour accéder aux ressources des pouvoirs publics et les équipes étaient encouragées à développer des systèmes qui permettaient de passer rapidement d’une plateforme ou d’un programme à l’autre. La vitesse était primordiale, tout comme la sécurité.
Depuis 2004, de nombreuses entreprises ont établi des accords et développé des protocoles et des programmes pour l’identité fédérée. Mais il reste encore beaucoup à faire.
À l’heure actuelle, le National Cybersecurity Center of Excellence et l'initiative « National Strategy for Trusted Identities in Cyberspace » du gouvernement fédéral américain collaborent à un projet de fédération des identités à la confidentialité améliorée. Au terme du projet, l’équipe publiera une série de standards que les entreprises pourront utiliser pour mettre en place une solution de gestion des identités fédérées. Aucune date de publication n’a encore été annoncée.
Avantages de l’accès fédéré
Certaines entreprises utilisent un mécanisme d’authentification unique (SSO) qui n’intègre aucun des concepts de l’identité fédérée. D’autres n’imagineraient même pas utiliser ce type de produit. Qui a raison ?
L’identité fédérée possède les avantages suivants :
- Coût réduit. Si vous utilisez des produits fédérés, vous n’avez pas besoin de développer vos propres solutions SSO.
- Efficacité accrue. Les collaborateurs ne perdront plus de temps à se connecter et à se reconnecter aux systèmes.
- Données protégées. Les solutions de gestion des identités fédérées répondent à des attentes bien supérieures en termes de sécurité et de protection des données. Puisque chaque connexion représente un point vulnérable pour les entreprises, la rationalisation du processus pourrait réduire les risques de piratage.
Idées fausses sur l’accès fédéré
Il n’existe aucun inconvénient majeur à utiliser l’accès fédéré, mais il circule certaines idées fausses sur le sujet, dont les suivantes :
- Contrôle moindre. Les solutions de gestion des identités fédérées respectent une série spécifique de règles et d’accords. Certains craignent que cela entraîne un contrôle réduit, mais il n’en est rien. Les éditeurs de solutions SSO offrent généralement plusieurs options de configuration pour pouvoir adapter le comportement des systèmes aux besoins de chacun.
- Risques de sécurité potentiels. Aucun protocole d’authentification n’est totalement sûr et certains programmes de gestion d’identités fédérées (FIM) présentent des vulnérabilités connues. En règle générale, un programme FIM créé aux normes est plus sécurisé que la plupart des autres solutions.
De nombreuses entreprises que les consommateurs connaissent et en qui ils ont confiance utilisent des concepts de la fédération d’identités, notamment Google, Microsoft, Facebook et Yahoo. Si ces entreprises s’inspirent des concepts de l’identité fédérée, il est logique de supposer qu’elles sont sûres et fiables. Mais chaque entreprise doit procéder à sa propre évaluation des risques et des avantages.
Découvrez comment Okta peut vous aider à décider si l’authentification fédérée ou le SSO est la solution la plus sûre pour votre entreprise.
Références
Average Business User Has 191 Passwords. Novembre 2017. Security.
Federated Identity Management. 2009. David W. Chadwick.
Understanding Federated Identity. Août 2007. Network World.
Utiliser OAuth 2.0 pour accéder aux API Google. Google Identity Platform.
Identity Federation Governance: Catalyst for the Identity Ecosystem. 2014. Deloitte Development.
Privacy-Enhanced Identity Federation. National Institute of Standards and Technology.
Identity Federation: A Brief Introduction. Septembre 2018. Medium.
Federated Identity Management Challenges. Identity Management Institute.
Common Federated Identity Protocols: Open ID Connect vs. OAuth vs. SAML 2. Hack EDU.
Economic Tussles in Federated Identity Management. Octobre 2012. First Monday.
A Study on Threat Model for Federated Identities in Federated Identity Management System. Juin 2010. 2010 International Symposium on Information Technology.
The Need for a Universal Approach to Identity Management. Juillet 2018. Forbes.
Federated Identity Management Systems: A Privacy-Based Characterization. Septembre – Octobre 2013. Cornell University.