Dossier (dernière partie)
La fédération d'identités en 9 questions

jeudi 3 juin 2010

Les entreprises continuent d'être confrontées à la difficulté de gérer un nombre toujours plus élevé d'identités d'utilisateurs internes et externes. Le Gartner propose de traiter le sujet via des questions élémentaires de fédération des identités afin d'intégrer les changements opérés sur le marché et dans la technologie.

* *
*

7. Quels sont les standards utilisés par les fédérations d'identités ?
8. Comment la fédération et les services web se recoupent-ils ?
9. Comment peut-on évaluer les avantages potentiels de la fédération d'identités ?

* *
*

7. Quels sont les standards utilisés par les fédérations d'identités ?
Le langage de balisage des assertions de sécurité (SAML) d'OASIS (Organization for the Advancement of Structured Information Standards) est le standard de fédération le plus courant dans les implémentations en production. Toutefois, de multiples versions de SAML sont en production, SAML 2.0 (la dernière spécification en date) étant celle qui connaît à ce jour le plus grand succès sur le marché.

WSFederation est un standard concurrent qui est soutenu par plusieurs fournisseurs, parmi lesquels Microsoft. WS-Federation utilise le format de jeton SAML pour communiquer les assertions d'identité, mais pas le protocole SAML, et est incompatible avec les fédérations basées sur SAML, sauf si une passerelle de traduction de protocole est introduite. Gartner estime que WSFederation est utilisé dans 10 à 25 % des fédérations en production, la majorité étant des entités centrées sur Microsoft qui se fédèrent entre elles ou qui rejoignent des fédérations multiprotocoles en utilisant des capacités de passerelle. La prise en charge de WS-Federation est disponible "gratuitement" via les services de fédération Active Directory (ADFS), qui accompagnent Windows Server 2003 et ultérieur.

Microsoft a annoncé que la prise en charge du protocole SAML et de cas d'utilisation limités de l'authentification unique SAML sera disponible en 2010, avec la sortie d'ADFS 2.0, qui nécessite Windows Server 2008 comme plateforme d'exploitation. WS-Federation restera le protocole de fédération fondamental utilisé dans la pile d'identités de Microsoft, qui repose fortement sur la suite de protocoles WS-*. Toutefois, la capacité de passerelle de fédération SAML d'ADFS 2.0 mettra bel et bien un terme à la bataille mineure entre protocoles qui oppose WS-Federation et SAML, et offrira aux entreprises un moyen de rejoindre des fédérations basées sur SAML sans devoir acheter un outil de fédération autonome ni enrichir un outil de gestion de l'accès web avec des capacités de fédération.

OpenID et les fiches d'informations constituent des alternatives à la fédération basique reposant sur SAML pour l'authentification unique. OpenID ne fournit qu'une prise en charge réduite et rudimentaire de l'authentification et est rarement utilisé dans les implémentations qui nécessitent davantage qu'une garantie d'identité limitée. Les fiches d'informations (qui utilisent le standard Identity Metasystem Interoperability sont en train de s'imposer en tant que technologie d'authentification réduite. OpenID et les fiches d'informations seront probablement utilisés au premier plan des cas d'utilisation de l'authentification, tandis que SAML, WSFederation ou les technologies propriétaires seront utilisés en arrièreplan pour effectuer la fédération.

8. Comment la fédération et les services web se recoupent-ils ?
Les services web offrent la meilleure méthode de transport pour la transmission des informations de fédération. Les standards et protocoles liés à la fédération (SAML et WSFederation, par exemple) supposent généralement l'existence de mécanismes de services web, et pratiquement toutes les initiatives de fédération actuelles utilisent les services web comme couche de transport.

L'environnement orienté services introduit également une autre utilisation des technologies de fédération : les services sont couplés de façon lâche et peuvent consister en de multiples couches de services combinés, si bien que les transactions au sein de l'environnement orienté services sont souvent découplées de l'utilisateur, du processus ou de la session auxquels elles se rapportent. Cela signifie que les informations d'identité doivent être jointes à la transaction de manière sécurisée par un service de jeton de sécurité qui sert d'autorité de confiance. Ce service peut effectuer la conversion, ainsi que la création, des jetons, offrant le type d'assertion d'identité adéquat dans n'importe quelle situation.

9. Comment peut-on évaluer les avantages potentiels de la fédération d'identités ?
Toute entreprise qui évalue la fédération d'identités doit commencer en prenant en compte deux facteurs. Le premier facteur à considérer est le nombre d'identités que l'entreprise gère, ainsi que la proportion de ces identités qui sont internes ou externes. Si l'entreprise gère l'accès à ses systèmes internes par un grand nombre d'utilisateurs externes (et s'ils appartiennent à une autre entité ou s'authentifient régulièrement auprès d'un tiers), les arguments jouent fortement en faveur de la fédération.

L'arrangement idéal est ce qu'on qualifie parfois de "fédération dans les deux sens", où chaque partenaire gère des ressources pour les utilisateurs de l'autre, et où les deux partenaires tirent ainsi de la valeur de la fédération des identités. Le second facteur à considérer est le nombre de ressources de services externes auxquelles l'entreprise donne accès. Les arguments en faveur de la fédération d'identités ou, sur le court terme, d'une passerelle de gestion des identités et de l'accès (IAM) SaaS, sont plus convaincants lorsque les pratiques de gestion de l'accès sont faibles ou diverses, ou lorsque les utilisateurs doivent gérer un certain nombre de références d'identité pour ces ressources externes dans le cadre de leur travail.

________
Note 1
Sources d'informations sur la fédération d'identités et exemples d'implémentations en production
OASIS est une bonne source d'informations sur les standards de fédération.

SAML XML.org offre une liste des gouvernements, établissements d'enseignement supérieur et autres industries qui participent à des projets de fédération.

La Liberty Allianceest une autre source d'informations utile sur les standards de fédération et a publié plusieurs études de cas. La majeure partie de son travail est aujourd'hui reprise par Kantara Initiative.

L'initiative Shibboleth est parrainée par Internet2, un consortium composé en grande partie d'établissements d'enseignement supérieur et de partenaires parmi les gouvernements et organisations internationales. Le nom Shibboleth est également utilisé pour le logiciel que l'initiative a développé afin de prendre en charge la fédération. Plusieurs fédérations basées sur la structure Shibboleth sont déjà en service.

Au moins l'une d'entre elles (la fédération InCommon) a documenté ses pratiques, règles et informations techniques. Il existe beaucoup d'autres fédérations basées sur Shibboleth, dont certaines sont relativement importantes. Les gouvernements fournissent de nombreux exemples de fédérations d'identités. Le portail d'authentification électronique du gouvernement fédéral américain n'est aujourd'hui plus en service, mais plusieurs agences du gouvernement américain continuent d'utiliser la fédération pour réunir des propriétés web disparates et pour prendre en charge les interactions avec les entités dans leurs communautés d'intérêt (consultez le site http://idmanagement.gov/ pour plus d'informations). De nombreux autres gouvernements régionaux et nationaux utilisent également la fédération.

Légende des acronymes

ADFS Services de fédération Active Directory
BPO Externalisation des processus métiers (Business Process Outsourcing)
IAM Gestion des identités et de l'accès (Identity And Access Management)
OASIS Organization for the Advancement of Structured Information Standards
SAML Langage de balisage des assertions de sécurité (Security Assertion Markup Language)

Source: ITRmanager.com

Imprimer l'article