Qu'est-ce qu'un fournisseur d'identité (IdP)?

Un fournisseur d'identité (IdP) est un service qui stocke et vérifie l'identité des utilisateurs. Les IdP sont généralement des services hébergés dans le cloud qui travaillent souvent avec des fournisseurs d'authentification unique (SSO) pour authentifier les utilisateurs.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Définir le fournisseur d'identité (IdP)
  • Découvrez pourquoi les IdP sont importants
  • Découvrez la place d'un IdP dans le processus d'authentification des utilisateurs

Contenu associé


Vous souhaitez continuer à enrichir vos connaissances ?

Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !

Consultez la politique de confidentialité de Cloudflare pour en savoir plus sur la manière dont nous collectons et traitons vos données personnelles.

Copier le lien de l'article

Qu'est-ce qu'un fournisseur d'identité (IdP)?

Un fournisseur d'identité (IdP ou IDP) stocke et gère les identités numériques des utilisateurs. Un IdP peut être comparé à une liste d'invités, mais pour des applications numériques et des applications hébergées dans le cloud à la place d'un événement. Un IdP peut vérifier les identités des utilisateurs via des combinaisons nom d'utilisateur-mot de passe et d'autres facteurs, ou il peut simplement fournir une liste d'identités d'utilisateurs qu'un autre fournisseur de services (comme un SSO) vérifie.

Les IdP ne se limitent pas à la vérification des utilisateurs humains. Techniquement, un IdP peut authentifier toute entité connectée à un réseau ou à un système, y compris les ordinateurs et autres dispositifs. Toute entité stockée par un IdP est appelée « principal » (au lieu d'« utilisateur »). Cependant, les IdP sont le plus souvent utilisés dans le cloud computing pour gérer les identités des utilisateurs.

Améliorer la sécurité
Défendez-vous contre les 10 principales techniques d'attaque

Qu'est-ce que l'identité de l'utilisateur ?

L'identité numérique de l'utilisateur est associée à des facteurs quantifiables qui peuvent être vérifiés par un système informatique. Ces facteurs sont appelés « facteurs d'authentification ». Les trois facteurs d'authentification sont les suivants :

  • Facteur de connaissance : quelque chose que vous connaissez, par exemple un nom d'utilisateur et un mot de passe
  • Facteur de propriété : quelque chose que vous possédez, par exemple un smartphone
  • Facteur d'inhérence : une qualité qui vous est propre comme votre empreinte digitale ou un scan de votre rétine

Un IdP peut utiliser un ou plusieurs de ces facteurs pour identifier un utilisateur. L'utilisation de plusieurs facteurs pour vérifier l'identité de l'utilisateur est appelée authentification multifactorielle (MFA).

Livre blanc
Développer une stratégie pour la modernisation de votre réseau.

Pourquoi les IdP sont-ils nécessaires ?

L'identité numérique doit être suivie quelque part, en particulier pour le cloud computing où l'identité de l'utilisateur détermine si quelqu'un peut ou non accéder à des données sensibles. Les services cloud ont besoin de savoir exactement où et comment récupérer et vérifier l'identité de l'utilisateur.

Les enregistrements des identités des utilisateurs doivent également être stockés de manière sécurisée pour s'assurer que les attaquants ne puissent les utiliser pour usurper l'identité des utilisateurs. Un fournisseur d'identité dans le cloud prendra généralement des précautions supplémentaires pour protéger les données des utilisateurs, alors qu'un service qui n'est pas uniquement dédié au stockage d'identités peut les stocker dans un endroit non sécurisé, comme un serveur ouvert à Internet.

Comment les IdP travaillent-ils avec les services SSO ?

Un service SSO, ou single sign-on, est un endroit unifié permettant aux utilisateurs de se connecter à tous leurs services cloud en même temps. En plus d'être plus pratique pour les utilisateurs, la mise en œuvre du SSO rend souvent les connexions des utilisateurs plus sûres.

Dans l'ensemble, les SSO et les IdP sont séparés. Un service SSO utilise un IdP pour vérifier l'identité de l'utilisateur, mais il ne stocke pas réellement l'identité de l'utilisateur. Un fournisseur de SSO est davantage un intermédiaire qu'un emplacement centralisé. Il peut être comparé à une entreprise de gardiennage qui est engagée pour assurer la sécurité d'une entreprise, mais qui ne fait pas réellement partie de cette entreprise.

Même s'ils sont distincts, les IdP constituent une partie essentielle du processus de connexion SSO. Les fournisseurs de SSO vérifient l'identité de l'utilisateur avec l'IdP lorsque l'utilisateur se connecte. Une fois cette opération effectuée, le SSO peut vérifier l'identité de l'utilisateur avec un nombre quelconque d'applications cloud connectées.

Cependant, ce n'est pas toujours le cas. Un SSO et un IdP pourraient théoriquement être une seule et même entité. Cependant, cette configuration est beaucoup plus sensible aux attaques de l'homme du milieu , dans lesquelles un attaquant falsifie une assertion SAML* pour pouvoir accéder à une application. C'est la raison pour laquelle l'IdP et le SSO sont généralement séparés.

*Une affirmation SAML est un message spécialisé envoyé par les services SSO à toute application cloud qui confirme l'authentification de l'utilisateur, en lui permettant ainsi d'accéder à l'application et de l'utiliser.

Comment tout cela se présente-t-il dans la pratique ?

Supposons qu'Alice utilise son ordinateur portable professionnel au bureau chez son employeur. Alice a besoin de se connecter à l'application de messagerie instantanée de l'entreprise pour mieux coordonner son travail avec ses collègues. Elle ouvre un onglet sur son navigateur et charge l'application de messagerie. En supposant que sa société utilise un service SSO, les étapes suivantes se déroulent en coulisse :

  • L'application de messagerie instantanée demande au SSO de vérifier l'identité d'Alice.
  • Le SSO constate qu'Alice n'est pas encore connectée.
  • Le SSO demande à Alice de se connecter.

À ce stade, le navigateur d'Alice la redirige vers la page de connexion du SSO. La page comporte des champs permettant à Alice d'entrer son nom d'utilisateur et son mot de passe. Comme son entreprise exige une authentification à deux facteurs, Alice doit également saisir un code court que le SSO envoie automatiquement par SMS à son smartphone. Une fois le code saisi, Alice clique sur « Connexion ». À partir de cet instant, voici comment les choses se passent :

  • Le SSO envoie une requête SAML à l'IdP utilisé par l'entreprise d'Alice.
  • L'IdP envoie une réponse SAML au SSO confirmant l'identité d'Alice.
  • Le SSO envoie une assertion SAML à l'application de messagerie instantanée qu'Alice voulait utiliser à l'origine.

Alice est redirigée vers son application de messagerie. Elle peut maintenant discuter avec ses collègues. L'ensemble du processus n'a pris que quelques secondes.

Comment Cloudflare s'intègre-t-il aux fournisseurs d'identité ?

Cloudflare Zero Trust permet de sécuriser les équipes internes en s'intégrant aux SSO et aux IdP afin de gérer l'accès des utilisateurs.