Dossier (1ère partie)
La fédération d'identités en 9 questions

Publié le 1 juin 2010

Les entreprises continuent d'être confrontées à la difficulté de gérer un nombre toujours plus élevé d'identités d'utilisateurs internes et externes. Le Gartner propose de traiter le sujet via des questions élémentaires de fédération des identités afin d'intégrer les changements opérés sur le marché et dans la technologie.
 

*     *
*

 
1. Quel rôle la fédération d'identités joue-t-elle dans une stratégie de gestion des identités et dans une plate-forme de gestion des identités ?
2. Quels facteurs amènent les entreprises à s'intéresser à la fédération des identités ?
3. Quels facteurs empêchent l'adoption à plus grande échelle de la fédération d'identités ?



*     *
*

 
 
1. Quel rôle la fédération d'identités joue-t-elle dans une stratégie de gestion des identités et dans une plate-forme de gestion des identités ?
 
La gestion des identités constitue un moyen efficace, gérable, auditable et sécurisé de fournir aux utilisateurs ou processus l'accès aux ressources de l'entreprise, mais elle implique une charge d'administration et de support considérable pour chaque identité gérée. La fédération tente de limiter cette charge et d'améliorer la convivialité pour les utilisateurs en limitant le nombre de gestionnaires pour une identité donnée. Moins une identité spécifique compte de gestionnaires, plus le système tout entier sera efficace ; plus le nombre de systèmes auxquels les utilisateurs peuvent accéder sans s'authentifier de nouveau est élevé, plus la convivialité est grande pour eux.
 
La fédération agit comme un mécanisme périphérique qui se situe en bordure du réseau et partage les informations d'identité avec d'autres mécanismes de fédération avec lesquels il existe une relation de confiance. La technologie de fédération s'appuie sur la confiance accordée aux pratiques d'authentification, d'administration et de confirmation d'identité d'une entité membre, pour certifier que les utilisateurs ou services d'applications peuvent accéder à une ressource externe, et vice versa.
 
La fédération étend ensuite les principes de la gestion des identités au-delà des frontières de l'entreprise. Toutefois, ses objectifs vont bien au-delà de la seule amélioration de la convivialité pour les utilisateurs et englobent la minimisation des coûts et des impératifs de gestion des identités dans l'univers connecté.
 
 
2. Quels facteurs amènent les entreprises à s'intéresser à la fédération des identités ? L'externalisation des processus métiers (BPO) a entraîné une multiplication des "îlots d'identités", c'est-à-dire des fournisseurs d'applications externes qui gèrent les identités dans des plates-formes distinctes des systèmes de gestion des identités des entreprises. De nombreuses entreprises considèrent cette pratique risquée et souhaitent gérer ses risques via une relation de confiance avec un partenaire ou un tiers.
 
La fédération d'identités offre un moyen d'atteindre cet objectif en se basant sur des standards, permettant à un fournisseur d'identités de transmettre des informations sur une identité gérée à un fournisseur de ressources ou prestataire de services (également appelé partie utilisatrice). Chaque entité de la communauté de confiance ainsi créée effectue le suivi des identités des individus particulièrement importants (par exemple, les employés et les contacts proches), et les individus authentifiés par leurs propres entités peuvent accéder aux ressources des autres entités sans devoir s'authentifier plusieurs fois.
 
3. Quels facteurs empêchent l'adoption à plus grande échelle de la fédération d'identités ? L'un des facteurs clés des implémentations existantes de fédération d'identités - l'authentification unique interdomaine - ne constitue pas une proposition de valeur significative pour de nombreuses entreprises. Qui plus est, les initiatives de fédération à plus grande échelle avec des exigences de garantie d'identité élevées (par exemple, dans les services financiers, la santé et certaines initiatives gouvernementales) sont extrêmement complexes et impliquent de nombreuses entreprises différentes. Par contre, il est possible que les entreprises de taille moyenne ne disposent pas de l'infrastructure nécessaire de gestion de l'accès en place pour prendre en charge la fédération.
 
Un certain nombre d'autres facteurs peuvent également présenter des obstacles à l'adoption : il se peut notamment que l'objectif métier visant à fournir aux partenaires potentiels l'accès aux ressources internes soit déjà satisfait à l'aide de méthodes traditionnelles. Par exemple, un détenteur de ressources peut avoir créé des identités d'utilisateur distinctes pour les utilisateurs externes. La création d'une fédération présente encore de nombreux problèmes en matière de processus, de contrôle et de responsabilité.
 
Chaque participant doit faire confiance aux autres participants pour qu'ils exécutent leurs fonctions de gestion des identités et protègent les références d'identité émises ; or l'instauration de la confiance nécessaire peut être extrêmement difficile. Les fédérations reposent généralement sur le principe que les fournisseurs d'identités désactiveront ou supprimeront les identités numériques lorsque les individus partiront ou changeront de statut, mais ces pratiques ne sont ni auditées ni confirmées. En outre, les applications que les partenaires souhaitent fédérer ne sont pas encore forcément adaptées au web, et il peut être trop difficile ou trop onéreux de les modifier.
 
Néanmoins, on constate une hausse des déploiements à mesure que les technologies de fédération deviennent plus omniprésentes, notamment dans le cadre d'autres technologies, telles que les produits de fédération autonomes, les produits de gestion de l'accès web, les passerelles SaaS, les outils de gestion des identités en code source ouvert, et Active Directory de Microsoft. Des boîtes à outils d'intégration plus nombreuses et  plus efficaces, prenant en charge les applications commerciales prêtes à l'emploi, deviennent disponibles. De plus, nous pensons que les entreprises finiront sans doute par trouver de la valeur dans d'autres utilisations des technologies de fédération, telles que le déploiement de services fédérés, les services de jetons de sécurité et les capacités de fédération natives des applications d'entreprise.


Demain 2e partie
4. Quels sont les types d'entreprises qui tirent le plus profit de la fédération d'identités ?
5. La fédération est-elle appropriée pour les entreprises qui utilisent l'externalisation ou les logiciels en tant que service ?
6. L'authentification unique pour les ressources à travers différents domaines présente-t-elle des risques pour les entreprises ?


________
Note 1
Sources d'informations sur la fédération d'identités et exemples d'implémentations en production
OASIS est une bonne source d'informations sur les standards de fédération.
 
SAML XML.org offre une liste des gouvernements, établissements d'enseignement supérieur et autres industries qui participent à des projets de fédération.
 
La Liberty Allianceest une autre source d'informations utile sur les standards de fédération et a publié plusieurs études de cas. La majeure partie de son travail est aujourd'hui reprise par Kantara Initiative.
 
L'initiative Shibboleth est parrainée par Internet2, un consortium composé en grande partie d'établissements d'enseignement supérieur et de partenaires parmi les gouvernements et organisations internationales. Le nom Shibboleth est également utilisé pour le logiciel que l'initiative a développé afin de prendre en charge la fédération. Plusieurs fédérations basées sur la structure Shibboleth sont déjà en service.
 
Au moins l'une d'entre elles (la fédération InCommon) a documenté ses pratiques, règles et informations techniques. Il existe beaucoup d'autres fédérations basées sur Shibboleth, dont certaines sont relativement importantes. Les gouvernements fournissent de nombreux exemples de fédérations d'identités. Le portail d'authentification électronique du gouvernement fédéral américain n'est aujourd'hui plus en service, mais plusieurs agences du gouvernement américain continuent d'utiliser la fédération pour réunir des propriétés web disparates et pour prendre en charge les interactions avec les entités dans leurs communautés d'intérêt (consultez le site http://idmanagement.gov/ pour plus d'informations). De nombreux autres gouvernements régionaux et nationaux utilisent également la fédération.
 
Légende des acronymes



Copyright © 2012 ITRmanager - All right reserved