Article
Qu’est-ce que la fédération des identités ?
La fédération des identités est une solution qui simplifie l’accès sécurisé des utilisateurs en combinant plusieurs tactiques : l’authentification, l’autorisation, le contrôle de l’accès, la détection des intrusions et des systèmes de prévention (IDPS), et des prestataires de service. Avec la fédération des identités, des utilisateurs autorisés peuvent avoir accès à plusieurs domaines ou applications et à plusieurs systèmes de gestion des identités avec un seul jeu d’identifiants de connexion. Plus besoin d’identifiants distincts, d’où un gain de productivité, moins de frustration pour les utilisateurs et une gestion plus facile des mots de passe pour les utilisateurs et les services IT.
La fédération des identités est assurée par plusieurs services indépendants qui se portent garants de l’identité des utilisateurs. Situés à mi-parcours entre les utilisateurs et les ressources, ces services tiers de fédération des identités jouent le rôle de logiciel médiateur. Des outils de sécurité tels que l’authentification multifactorielle (MFA) et l’authentification unique (SSO), servent à gérer l’accès des utilisateurs et à valider leur identité.
La fédération des identités et l’authentification unique (SSO)
La fédération des identités et l’authentification unique (SSO) sont souvent confondues et prises pour des synonymes. Si leurs fonctions paraissent semblables et appartiennent au domaine de la gestion des identités, elles remplissent des fonctions différentes.
L’une comme l’autre authentifient les utilisateurs par un protocole sécurisé et restreignent l’accès des utilisateurs à une seule connexion, qui comprend généralement une authentification multifactorielle. Une fois identifiés, les utilisateurs ont la possibilité de se connecter à différents services sans avoir à répéter leurs identifiants. Cependant, la SSO permet aux utilisateurs d’accéder à plusieurs systèmes dans une organisation, et la fédération des identités permet d’accéder à plusieurs systèmes dans différentes organisations.
La fédération des identités simplifie le SSO, car elle supprime les obstacles à l’authentification pour accéder aux systèmes.
De plus, elle agrège des groupes multiples, qui peuvent être isolés dans une seule entreprise ou dispersés entre plusieurs, avec une authentification centralisée.
La fédération des identités et l’authentification
Une identité fédérée est authentifiée au moyen de protocoles sécurisés basés sur des normes. Cela permet l’authentification et l’accès entre des domaines fédérés. Les protocoles d’authentification sécurisés les plus courants sont :
- JWT (JSON Web Token, jeton web JSON)
- Kerberos
- LDAP (Lightweight Directory Access Protocol)
- OAuth (Open Authorization)
- OIDC (OpenID Connect)
- RADIUS (Remote Authentication Dial-In User Service)
- SAML (Security Assertion Markup Language)
- SCIM (System for Cross-Domain Identity Management)
Il existe d’autres protocoles d’authentification sécurisés :
- CHAP (Challenge-Handshake Authentication Protocol)
- Diameter
- EAP (Extensible Authentication Protocol)
- PAP (Password Authentication Protocol)
- TACACS (Terminal Access Controller Access Control System)
La fédération des identités : comment ça marche
La fédération des identités repose sur des relations de confiance entre deux sortes d’entités.
- Les prestataires de service sont des applications, logiciels ou sites web externes qui s’appuient sur un fournisseur d’identité pour identifier et authentifier un utilisateur.
- Les fournisseurs d’identité (IdP) sont des systèmes qui créent les informations relatives à l’identité et les gèrent au fil du temps (par exemple le nom, l’adresse électronique, le lieu, l’appareil , le type de navigateur et des données biométriques).
Voici, en résumé, comment fonctionne la fédération des identités. Notez que chaque étape est instantanée et invisible, ce qui en fait un système sans touches et ultrasimple à utiliser.
- L’utilisateur essaie de se connecter sur le site d’un prestataire de services qui utilise la fédération des identités.
- Le prestataire demande au fournisseur d’identité de l’utilisateur une authentification fédérée pour vérifier que l’utilisateur est bien celui qu’il prétend être.
- Il vérifie ensuite ses données d’identité et contrôle ses droits d’accès et d’autorisation.
- Puis il autorise l’utilisateur à accéder au prestataire de services au moyen d’un protocole sécurisé (par exemple oAuth, OIDC, SAML, etc.).
- L’accès au prestataire de services est accordé.
La fédération des identités et le gouvernement des États-Unis
En 2004, la Directive présidentielle n°12 sur la Sécurité intérieure a été publiée pour rendre obligatoire la possession d’identifiants sécurisés pour accéder aux ressources du gouvernement. Cela a entraîné une série d’accords, de protocoles et de programmes pour la fédération des identités. Le National Cybersecurity Center of Excellence et le National Strategy for Trusted Identities in Cyberspace National Program Office ont collaboré à un projet de renforcement de la confidentialité des identités fédérées pour établir une série de normes à utiliser pour la fédération des identités.
Le cadre de référence du GFIPM (Global Federated Identity and Privilege Management) propose une approche basée sur les normes pour mettre en place la fédération des identités. Ce cadre permet les trois grands domaines d’interopérabilité de la sécurité dans la fédération.
- L’identification / l’authentification
Qui est l’utilisateur, et comment a-t-il été authentifié ? - La gestion des privilèges
Quelles sont les certifications, les habilitations, les fonctions professionnelles, les privilèges locaux et les affiliations de l’organisation correspondant à l’utilisateur qui peuvent éclairer les décisions d’autorisation ? - Audit
Quelles sont les informations à fournir pour la vérification des systèmes, l’accès aux systèmes et leur utilisation, et la conformité juridique des pratiques relatives aux données ?
Les avantages de la fédération des identités
Des économies
Le recours à la fédération des identités libère les organisations, qui n’ont plus besoin de passer du temps ou de dépenser de l’argent pour mettre en place et gérer la SSO sur la durée afin de gérer des identités multiples.
Une gestion facile des données
La fédération des identités facilite le stockage, l’accès, la gestion des informations entre systèmes en rationnalisation des opérations de gestion de données.
Une meilleure expérience pour l’utilisateur
Les utilisateurs n’ont à renseigner leurs identifiants qu’une seule fois par session pour pouvoir accéder à plusieurs systèmes dans des domaines fédérés. Cela simplifie la vie de l’utilisateur en supprimant les obstacles à l’accès.
Une sécurité renforcée
Le nombre de fois où un utilisateur doit se connecter à des systèmes est réduit, d’où un renforcement de la sécurité et une meilleure protection des données, étant donné que chaque connexion créé un point de vulnérabilité et augmente le risque d’accès non autorisé.
Une productivité plus forte
Grâce à la fédération des identités, les utilisateurs n’ont plus à s’identifier plusieurs fois pour accéder aux ressources, à renseigner plusieurs fois leur mot de passe et à faire de demande de réinitialisation du mot de passe aux services d’assistance. Ce gain de temps et cette réduction de la frustration entraine une plus grande productivité, que ce soit celle de l’utilisateur ou de l’organisation dans son ensemble.
Un partage des ressources sans risque
Les organisations peuvent organiser efficacement le partage des ressources et des données sans mettre les identifiants ou la sécurité en danger.
Un provisioning en un point unique
La fédération des identités permet le provisioning en un point unique, ce qui simplifie l’octroi des accès par les services informatiques aux utilisateurs et aux systèmes en dehors du périmètre d’une entreprise unique.
Les méprises sur la fédération des identités
La fédération des identités est souvent mal comprise et assortie de croyances erronées. Il y a essentiellement deux idées reçues :
- Étant donné que les systèmes de gestion des identités fédérées suivent des règles et des cadres d'actions bien précis, leur configuration donne lieu à moins de contrôles.
C’est faux. Il est vrai que ces systèmes ont une structure rigide, il y a la possibilité de les configurer en fonction des besoins de chaque organisation. - Les risques pour la sécurité cités avec la fédération des identités sont largement infondés. Il y a peu d’approches de la sécurité qui soient exemptes de défauts, mais beaucoup considèrent la fédération des identités comme une solution sans équivalent.
L’atténuation de la fatigue des mots de passe avec la fédération des identités
Même avec l’obligation de créer des mots de passe difficiles à deviner, les mots de passe posent des problèmes persistants pour la sécurité, parce que les utilisateurs tentent de simplifier la gestion de plusieurs mots de passe et prennent des raccourcis risqués. La fédération des identités atténue cette fatigue des mots de passe et simplifie l’accès pour les utilisateurs et la gestion des mots de passe par les services informatiques.