Les pour et les contre de la fédération d’identité
La fédération d’identité est une technologie relativement nouvelle dans le monde de la mobilité, et elle ne manque pas de s’accompagner de défis. Voici quelques points clés pour simplifier les déploiements.
A mesure que la gestion de l'identité est étendue à de nouveaux domaines, il convient de penser à mettre en place la fédération. Mais il faut être bien conscient des difficultés.
Il fut un temps où la gestion des identités se limitait au contrôle d'accès aux ressources au sein d'un seul domaine de sécurité. Mais les utilisateurs internes accèdent désormais à des ressources externes et des utilisateurs externes accèdent à des ressources internes. Les approches traditionnelles de la gestion d'identité montrent leurs limites.
Dans ce contexte, de nombreuses organisations se tournent vers la fédération d'identité pour faciliter le travail des utilisateurs sur plusieurs systèmes, tout en réduisant la charge administrative liée à la gestion de l'accès à ces systèmes.
Introduction à la fédération d'identité
La fédération d'identités lie l'identité d'un utilisateur à travers plusieurs domaines de sécurité, chacun doté de son propre système de gestion des identités. Lorsque deux domaines sont fédérés, l'utilisateur peut s'authentifier sur un domaine, puis accéder aux ressources de l'autre domaine sans avoir à s’authentifier une seconde fois.
Par exemple, un groupe d'organisations qui travaillent ensemble sur un projet pourrait vouloir former une fédération d'identité afin que les utilisateurs de chaque organisation puissent plus facilement accéder et partager les ressources entre les membres participants. Avec la fédération d'identité, les utilisateurs n'ont besoin d'être authentifiés qu'une seule fois pour accéder aux ressources de tous les domaines, tandis que les administrateurs peuvent toujours contrôler les droits d'accès dans leurs domaines respectifs.
Une composante importante de la fédération d'identité est le Single Sign-on (SSO), un mécanisme qui permet aux utilisateurs de ne s’authentifier qu’une fois pour accéder à plusieurs systèmes ou applications. La fédération d'identité et le SSO sont parfois, et par erreur, appréhendés comme un seul et même système. La fédération d'identité s'appuie fortement sur les technologies SSO pour authentifier les utilisateurs à travers les divers domaines couverts.
La fédération d'identité viser à lever les obstacles qui empêchent les utilisateurs d'accéder facilement aux ressources dont ils ont besoin quand ils en ont besoin. Sans sacrifier pour autant la sécurité des ressources.
Le rôle de la gestion des fédérations d'identité
La fédération d'identité permet ainsi aux administrateurs de résoudre de nombreux problèmes liés l’accès à des ressources distribuées sur plusieurs domaines. Par exemple, il n’est pas nécessaire de mettre en place un système spécialisé pour faciliter l'accès aux ressources externes à l’organisation.
La fédération d'identité peut également bénéficier aux applications qui ont besoin d'accéder à des ressources réparties dans plusieurs domaines de sécurité.
Pour profiter de ces bénéfices, il est nécessaire de mettre en œuvre une gestion complète de la fédération d'identité. Ce terme générique recouvre le processus d’administration de tous les éléments associés à une plateforme complète de fédération d'identité. Cela comprend non seulement les technologies qui rendent la fédération possible, mais aussi les accords, politiques, normes et autres éléments qui définissent la façon dont le service est mis en œuvre.
Pour que la fédération fonctionne, toutes les parties impliquées doivent s'entendre sur ces éléments. Elles doivent ainsi s’accorder sur les attributs d'identification à inclure, comme le courriel, le nom et l’intitulé de fonction, sur la manière de représenter ces attributs en interne, et sur la norme à utiliser pour échanger des données d'authentification et d'autorisation. En la matière, la norme Security Assertion Markup Language (SAML) est couramment utilisée.
Parvenir à un accord sur tous ces éléments peut être la partie la plus difficile de la mise en œuvre d'une fédération d'identité, à moins de souscrire à une plateforme de fédération existante, comme celles établies par des entreprises comme Microsoft et Facebook.
Les organisations qui se regroupent pour créer leur propre fédération ont plus de difficultés parce que tous les participants doivent s'entendre sur toutes les composantes. Et les systèmes locaux de gestion d'identité, les lois et règlements régionaux applicables aux organisations impliquées peuvent ajouter une complexité non négligeable au processus. En outre, l'une des organisations devra servir d'autorité centrale, ce qui n’est pas une légère responsabilité.
La gestion de la fédération d'identité peut également s'appliquer à une seule organisation qui gère plusieurs domaines de sécurité. Il s'agit d'une technologie relativement jeune, et sa signification exacte est encore en évolution, de sorte que les particularités peuvent varier d'une source à l'autre.
Comment déployer une fédération d'identité
Malgré les défis que pose la gestion de la fédération d'identité, de nombreuses organisations estiment ses promesses méritent les efforts. Mais avant de se lancer, il convient d'avoir un aperçu clair et concis des objectifs du projet afin que toutes les personnes concernées comprennent exactement ce qu'elles essaient d'accomplir.
Les participants doivent aussi en apprendre le plus possible sur leurs pairs au sein de la fédération et ce qu’ils doivent en attendre. Si une organisation rejoint une fédération existante, son équipe informatique doit comprendre les règles qu'elle accepte, les normes auxquelles elle doit se conformer et les informations qu'elle doit partager.
Une fois que les informations nécessaires ont été rassemblées, il est possible de commencer le processus de planification. À moins que les participants ne se joignent à une fédération existante, ils doivent parvenir à un consensus sur la mise en œuvre de la fédération d'identité, en matière de logiciels et de matériel, de politiques de configuration, de types d'attributs et de normes, mais aussi de règles d'adhésion et de résiliation, et d'innombrables autres considérations. A charge ensuite, pour chaque équipe informatique concernée, de planifier son propre déploiement en tenant compte des standards et des accords de la fédération.
L'aspect le plus important du processus de planification est d'aborder correctement toutes les questions liées à la sécurité. Les participants doivent établir des normes minimales de sécurité sur lesquelles tous peuvent s'entendre. Et cela recouvre notamment l’audit et la collecte de données de journalisation, dans le respect de la vie privée, ainsi que la sécurisation de ces données.
Bien sûr, tout au long de ce processus, il convient de tenir compte des besoins des utilisateurs finaux. La fédération d'identité devrait améliorer leur expérience, pas alourdir leurs activités professionnelles au quotidien.
Il faut pour cela fournir aux utilisateurs des instructions claires sur la façon de configurer leurs comptes, ainsi que des détails sur la confidentialité et l'utilisation de leurs identifiants. Les messages d'erreur, d'avertissement et d'information doivent en outre être concis et utiles.
Enfin, si authentification fédérée et locale doivent coexister, les options doivent être claires et les procédures doivent être intuitives et faciles à comprendre.