Un fournisseur d'identité (IdP) est un service qui stocke et vérifie l'identité des utilisateurs. Les IdP sont généralement des services hébergés dans le cloud qui travaillent souvent avec des fournisseurs d'authentification unique (SSO) pour authentifier les utilisateurs.
Cet article s'articule autour des points suivants :
Contenu associé
Qu'est-ce que l'lAM ?
Contrôle des accès
Qu'est-ce que l'OAuth ?
Qu'est-ce que le SAML ?
Authentification à deux facteurs
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
Un fournisseur d'identité (IdP ou IDP) stocke et gère les identités numériques des utilisateurs. Un IdP peut être comparé à une liste d'invités, mais pour des applications numériques et des applications hébergées dans le cloud à la place d'un événement. Un IdP peut vérifier les identités des utilisateurs via des combinaisons nom d'utilisateur-mot de passe et d'autres facteurs, ou il peut simplement fournir une liste d'identités d'utilisateurs qu'un autre fournisseur de services (comme un SSO) vérifie.
Les IdP ne se limitent pas à la vérification des utilisateurs humains. Techniquement, un IdP peut authentifier toute entité connectée à un réseau ou à un système, y compris les ordinateurs et autres dispositifs. Toute entité stockée par un IdP est appelée « principal » (au lieu d'« utilisateur »). Cependant, les IdP sont le plus souvent utilisés dans le cloud computing pour gérer les identités des utilisateurs.
L'identité numérique de l'utilisateur est associée à des facteurs quantifiables qui peuvent être vérifiés par un système informatique. Ces facteurs sont appelés « facteurs d'authentification ». Les trois facteurs d'authentification sont les suivants :
Un IdP peut utiliser un ou plusieurs de ces facteurs pour identifier un utilisateur. L'utilisation de plusieurs facteurs pour vérifier l'identité de l'utilisateur est appelée authentification multifactorielle (MFA).
L'identité numérique doit être suivie quelque part, en particulier pour le cloud computing où l'identité de l'utilisateur détermine si quelqu'un peut ou non accéder à des données sensibles. Les services cloud ont besoin de savoir exactement où et comment récupérer et vérifier l'identité de l'utilisateur.
Les enregistrements des identités des utilisateurs doivent également être stockés de manière sécurisée pour s'assurer que les attaquants ne puissent les utiliser pour usurper l'identité des utilisateurs. Un fournisseur d'identité dans le cloud prendra généralement des précautions supplémentaires pour protéger les données des utilisateurs, alors qu'un service qui n'est pas uniquement dédié au stockage d'identités peut les stocker dans un endroit non sécurisé, comme un serveur ouvert à Internet.
Un service SSO, ou single sign-on, est un endroit unifié permettant aux utilisateurs de se connecter à tous leurs services cloud en même temps. En plus d'être plus pratique pour les utilisateurs, la mise en œuvre du SSO rend souvent les connexions des utilisateurs plus sûres.
Dans l'ensemble, les SSO et les IdP sont séparés. Un service SSO utilise un IdP pour vérifier l'identité de l'utilisateur, mais il ne stocke pas réellement l'identité de l'utilisateur. Un fournisseur de SSO est davantage un intermédiaire qu'un emplacement centralisé. Il peut être comparé à une entreprise de gardiennage qui est engagée pour assurer la sécurité d'une entreprise, mais qui ne fait pas réellement partie de cette entreprise.
Même s'ils sont distincts, les IdP constituent une partie essentielle du processus de connexion SSO. Les fournisseurs de SSO vérifient l'identité de l'utilisateur avec l'IdP lorsque l'utilisateur se connecte. Une fois cette opération effectuée, le SSO peut vérifier l'identité de l'utilisateur avec un nombre quelconque d'applications cloud connectées.
Cependant, ce n'est pas toujours le cas. Un SSO et un IdP pourraient théoriquement être une seule et même entité. Cependant, cette configuration est beaucoup plus sensible aux attaques de l'homme du milieu , dans lesquelles un attaquant falsifie une assertion SAML* pour pouvoir accéder à une application. C'est la raison pour laquelle l'IdP et le SSO sont généralement séparés.
*Une affirmation SAML est un message spécialisé envoyé par les services SSO à toute application cloud qui confirme l'authentification de l'utilisateur, en lui permettant ainsi d'accéder à l'application et de l'utiliser.
Comment tout cela se présente-t-il dans la pratique ?
Supposons qu'Alice utilise son ordinateur portable professionnel au bureau chez son employeur. Alice a besoin de se connecter à l'application de messagerie instantanée de l'entreprise pour mieux coordonner son travail avec ses collègues. Elle ouvre un onglet sur son navigateur et charge l'application de messagerie. En supposant que sa société utilise un service SSO, les étapes suivantes se déroulent en coulisse :
À ce stade, le navigateur d'Alice la redirige vers la page de connexion du SSO. La page comporte des champs permettant à Alice d'entrer son nom d'utilisateur et son mot de passe. Comme son entreprise exige une authentification à deux facteurs, Alice doit également saisir un code court que le SSO envoie automatiquement par SMS à son smartphone. Une fois le code saisi, Alice clique sur « Connexion ». À partir de cet instant, voici comment les choses se passent :
Alice est redirigée vers son application de messagerie. Elle peut maintenant discuter avec ses collègues. L'ensemble du processus n'a pris que quelques secondes.
Cloudflare Zero Trust permet de sécuriser les équipes internes en s'intégrant aux SSO et aux IdP afin de gérer l'accès des utilisateurs.