Dossier (2e partie)
La fédération d'identités en 9 questions

mercredi 2 juin 2010

Les entreprises continuent d'être confrontées à la difficulté de gérer un nombre toujours plus élevé d'identités d'utilisateurs internes et externes. Le Gartner propose de traiter le sujet via des questions élémentaires de fédération des identités afin d'intégrer les changements opérés sur le marché et dans la technologie.

* *
*

4. Quels sont les types d'entreprises qui tirent le plus profit de la fédération d'identités ?
5. La fédération est-elle appropriée pour les entreprises qui utilisent l'externalisation ou les logiciels en tant que service ?
6. L'authentification unique pour les ressources à travers différents domaines présente-t-elle des risques pour les entreprises ?

* *
*

4. Quels sont les types d'entreprises qui tirent le plus profit de la fédération d'identités ?
La fédération d'identités est actuellement déployée en grande partie par des entreprises tournées vers l'avenir qui ont identifié des dossiers économiques convaincants (basés sur les économies d'échelle, la convivialité pour les utilisateurs, la réduction de la charge de gestion ou un meilleur contrôle de l'accès). Ces entreprises qui font partie de la "majorité précoce" ont généralement étendu leurs infrastructures informatiques pour inclure un certain nombre de services externes ou d'environnements de cloud computing.

Elles gèrent un grand nombre d'identités externes et ont des entreprises partenaires ou des tiers qui gèrent (ou pourraient gérer) ces identités. La fédération d'identités offre une valeur particulière aux très grandes organisations décentralisées (par exemple, l'armée ou d'autres entités gouvernementales) qui y ont recours afin de lier leurs unités opérationnelles ou d'autres départements internes.

Un autre cas d'utilisation apportant des avantages élevés implique de vastes communautés de confiance, dans lesquelles les partenaires offrent l'accès aux ressources à d'autres membres de la communauté (par exemple, un consortium d'éducation fournissant des ressources partagées à de multiples universités, ou un grand fabricant fournissant l'accès à ses spécifications de fabrication et informations de maintenance à un grand nombre de parties prenantes externes). Pour plus de détails sur l'implémentation en production de la fédération d'identités et pour connaître des sources d'informations, lisez la note 1.

5. La fédération est-elle appropriée pour les entreprises qui utilisent l'externalisation ou les logiciels en tant que service ?
Bon nombre d'entreprises qui recourent à l'externalisation d'applications ou aux logiciels en tant que service recherchent des moyens de réduire la charge d'administration des identités et d'améliorer la convivialité pour les utilisateurs. La fédération devient plus attractive à mesure que le nombre d'applications externalisées augmente, mais l'entreprise et le fournisseur externe doivent être prêts à se fédérer.

Le fournisseur doit prendre en charge les protocoles de fédération et être préparé à accepter de nouveaux projets de fédération pour de nouveaux clients, tandis que l'entreprise doit avoir les capacités et compétences techniques nécessaires. Les grands fournisseurs de SaaS les plus sollicités (dont Google et salesforce.com) proposent la fédération à leurs clients professionnels, mais la plupart des fournisseurs de SaaS ne le font pas encore. Les entreprises qui souhaitent se fédérer avec des fournisseurs de logiciels en tant que service cherchent généralement à étendre les capacités de fédération établies, qu'elles soient déployées de manière autonome ou en tant qu'extension d'une implémentation de gestion de l'accès web.

Il existe également un marché restreint mais en pleine croissance pour les intermédiaires qui fournissent des passerelles entre les points d'authentification et d'identité d'entreprise (généralement des annuaires) et les services des fournisseurs de SaaS. Ces passerelles peuvent ou non configurer les comptes sur les systèmes SaaS cible, mais elles peuvent exploiter l'authentification des annuaires d'entreprise, ou l'authentification sur la passerelle, pour réduire l'authentification à une ou plusieurs applications SaaS.

6. L'authentification unique pour les ressources à travers différents domaines présente-t-elle des risques pour les entreprises ?
Les entreprises perçoivent généralement le risque dans la relation de confiance entre le fournisseur d'identités et le consommateur d'identités. Il est toutefois important de reconnaître que bon nombre d'entreprises fournissent déjà "manuellement" des informations d'identités à leurs fournisseurs de ressources et partenaires de confiance (par exemple, via des listes d'utilisateurs approuvés).

Les entreprises doivent certes envisager des accords de confiance entre les partenaires et les conséquences juridiques possibles de la fédération, mais elles doivent aussi reconnaître que la fédération d'identités n'est guère plus qu'une version automatisée de la confiance qu'elles ont déjà établie. Les entreprises qui envisagent de nouvelles relations de confiance doivent effectuer une analyse du risque qui prend en compte les conséquences juridiques, technologiques et relatives aux processus, et qui identifie les dommages éventuels si la fédération est mal employée. Les questions les plus importantes auxquelles il faut répondre sont les suivantes.

- Comment chaque entité participante confirmera-t-elle les identités des utilisateurs internes individuels avant de leur remettre des références d'identité qui peuvent être utilisées, en interne et en externe, dans le cadre de la fédération ?
Les entités doivent s'entendre sur des procédures cohérentes et acceptables pour tous les participants pour une application ou un ensemble d'applications donné. Les entités doivent établir des impératifs et des contrôles pour désactiver ou supprimer les comptes lorsque les individus partent ou changent de poste, et déterminer si les procédures seront auditées. S'il n'existe aucun suivi défini pour s'assurer que les comptes sont correctement gérés, alors des contrôles d'atténuation (généralement dans la clause des responsabilités de l'accord de fédération) doivent être en place.

- À quel point la technologie et l'authentification en ligne de chaque entité doivent-elles être sécurisées ?
Prenons un exemple courant : un identifiant et un mot de passe utilisateur seront-ils suffisants pour répondre aux préoccupations liées au risque, ou bien une forme d'authentification plus sécurisée est-elle nécessaire ?

- Quels sont les contrôles qui atténueront les attaques de hameçonnage (phishing) et de type "Man-in-the-Browser" (MITB) ?
Les fédérations basées sur le navigateur, telles que les applications web non fédérées, sont vulnérables aux attaques de hameçonnage et MITB, mais une attaque réussie sur le compte d'un utilisateur de la fédération compromet potentiellement les comptes sur tous les services fédérés. L'abandon des mots de passe au profit de méthodes d'authentification renforcées peut atténuer les attaques de hameçonnage, mais les attaques MITB nécessitent d'autres contrôles compensatoires, tels que des capacités de prévention des fraudes.

- Quelles entreprises seront responsables (et dans quelle mesure) si la référence d'identité d'une entreprise participante est utilisée pour commettre une fraude ou pour accéder à mauvais escient aux ressources d'une autre entreprise participante ?
Cette question doit être traitée dans l'accord de gouvernance de la fédération si elle ne l'est pas déjà dans les contrats établis.

Demain 3^e partie

________
Note 1
Sources d'informations sur la fédération d'identités et exemples d'implémentations en production
OASIS est une bonne source d'informations sur les standards de fédération.

SAML XML.org offre une liste des gouvernements, établissements d'enseignement supérieur et autres industries qui participent à des projets de fédération.

La Liberty Allianceest une autre source d'informations utile sur les standards de fédération et a publié plusieurs études de cas. La majeure partie de son travail est aujourd'hui reprise par Kantara Initiative.

L'initiative Shibboleth est parrainée par Internet2, un consortium composé en grande partie d'établissements d'enseignement supérieur et de partenaires parmi les gouvernements et organisations internationales. Le nom Shibboleth est également utilisé pour le logiciel que l'initiative a développé afin de prendre en charge la fédération. Plusieurs fédérations basées sur la structure Shibboleth sont déjà en service.

Au moins l'une d'entre elles (la fédération InCommon) a documenté ses pratiques, règles et informations techniques. Il existe beaucoup d'autres fédérations basées sur Shibboleth, dont certaines sont relativement importantes. Les gouvernements fournissent de nombreux exemples de fédérations d'identités. Le portail d'authentification électronique du gouvernement fédéral américain n'est aujourd'hui plus en service, mais plusieurs agences du gouvernement américain continuent d'utiliser la fédération pour réunir des propriétés web disparates et pour prendre en charge les interactions avec les entités dans leurs communautés d'intérêt (consultez le site http://idmanagement.gov/ pour plus d'informations). De nombreux autres gouvernements régionaux et nationaux utilisent également la fédération.

Légende des acronymes

ADFS Services de fédération Active Directory
BPO Externalisation des processus métiers (Business Process Outsourcing)
IAM Gestion des identités et de l'accès (Identity And Access Management)
OASIS Organization for the Advancement of Structured Information Standards
SAML Langage de balisage des assertions de sécurité (Security Assertion Markup Language)

Source: ITRmanager.com

Imprimer l'article