Découvrir pourquoi nous avons une identité
Nous avons parlé de la Confiance Zéro et de l’identité comme plan de contrôle pour accéder aux ressources. Mais pourquoi utiliser l’identité ?
L’identité permet :
- De prouver qui ou ce que nous sommes : authentification
- D’obtenir des autorisations pour effectuer quelque chose : autorisation
- De signaler ce qui a été fait : audit
- De gérer automatiquement et d’administrer manuellement une identité : administration
| Authentification | Autorisation | Administration | Audit |
|---|---|---|---|
|
|
|
|
| Expérience de connexion des utilisateurs | Expérience de connexion des utilisateurs | Gestion avec affichage unique | Suivre des personnes pour établir qui fait quoi, quand, où et comment |
| Source(s) approuvée(s) | Un utilisateur peut-il accéder à la ressource ? | Application des règles métier | Alertes ciblées |
| Protocoles fédérateurs | Qu’est-ce qu’ils peuvent faire quand ils y accèdent ? | Demandes, approbations et attributions d’accès automatisées | Rapports compilés en profondeur |
| Niveau d’assurance | Gestion des droits d’utilisation | Gouvernance et conformité |
Qu’est-ce qu’un fournisseur d’identité (IDP) ?
Un fournisseur d’identité est un système qui crée, gère et stocke des identités numériques. Microsoft Entra ID est un exemple. Les fonctions et fonctionnalités des fournisseurs d’identité peuvent varier. Les composants les plus couramment utilisés sont les suivants :
- Un dépôt d’identités utilisateur
- Un système d’authentification
- Des protocoles de sécurité qui protègent contre les intrusions
- Quelqu’un à qui nous faisons confiance
Un fournisseur d’identité vérifie les identités des utilisateurs avec un ou plusieurs facteurs d’authentification, tels qu’un mot de passe ou une analyse d’empreinte digitale. Un fournisseur d’identité est souvent un fournisseur approuvé à utiliser avec l’authentification unique (SSO) pour accéder à d’autres ressources. L’authentification unique améliore la facilité d’utilisation en réduisant la « fatigue du mot de passe ». Elle renforce également la sécurité en réduisant la surface d’attaque potentielle. Les fournisseurs d’identité peuvent faciliter les connexions entre les ressources cloud computing et les utilisateurs, réduisant ainsi la nécessité pour les utilisateurs de se réauthentifier lors de l’utilisation d’applications mobiles et itinérantes.
Protocoles d’identité courants
Fournisseur OpenID : OpenID Connect (OIDC) est un protocole d’authentification basé sur le protocole OAuth2 (utilisé pour l’autorisation). OIDC utilise les flux de messages standardisés d'OAuth2 pour fournir des services d'identité. Plus précisément, une entité système (appelée OpenID-Provider) émet des jetons d’identité au format JSON à destination de parties de confiance OIDC via une API HTTP RESTful.
Fournisseur d’identité SAML : Security Assertion Markup Language (SAML) est une norme ouverte pour l’échange de données d’authentification et d’autorisation entre un fournisseur d’identité et un fournisseur de services. SAML est un langage de balisage basé sur XML pour les assertions de sécurité, qui sont des instructions que les fournisseurs de services utilisent pour prendre des décisions de contrôle d’accès.