Qu’est-ce qu’un fournisseur d’identité ?
Un fournisseur d’identité (FdI), ou un administrateur FdI, est un système qui crée, stocke et gère des identités numériques. Le FdI peut soit directement authentifier l’utilisateur, soit fournir des services d’authentification à des fournisseurs de services tiers (applications, sites Web ou autres services numériques).
Pour simplifier, un administrateur FdI propose l’authentification des utilisateurs en tant que service. Par exemple, vous pouvez utiliser les informations d’identification de votre compte Google pour vous connecter à Spotify. Dans cet exemple, votre connexion Google est le FdI et Spotify est le fournisseur de services. Par exemple, tout site Web qui nécessite une connexion utilise un FdI pour authentifier ses utilisateurs. Pour authentifier l’utilisateur, un mot de passe ou un autre facteur d’authentification peuvent être utilisés.
Du point de vue du FdI, un utilisateur est appelé un Principal.Un principal peut être un être humain ou une machine. Un FdI est capable d’authentifier n’importe quelle entité, y compris les appareils. Le but d’un FdI est de suivre ces entités et de savoir où et comment récupérer les identités principales qui déterminent si une personne ou un appareil a l’autorisation d’accéder à des données sensibles.
Pourquoi les FdI sont-ils nécessaires ?
Les fournisseurs d’identité peuvent contribuer à résoudre plusieurs problèmes d’administration auxquels les entreprises sont confrontées. Avec un fournisseur de services d’identité, les longues listes de noms d’utilisateur et de mots de passe sont pratiquement éliminées, l’administration est simplifiée et il existe une trace écrite détaillée des tentatives d’accès, en cas de problème.
La plupart des consommateurs connaissent les applications qui leur donnent la possibilité de se connecter en appuyant sur un bouton qui relie ce compte à leur compte Facebook ou Google. Le concept est similaire dans le monde professionnel, avec quelques avantages supplémentaires. Premièrement, la conformité est simplifiée grâce à une piste d’audit de tous les événements d’accès. Ensuite, les entreprises peuvent réduire leurs coûts informatiques de plus de 20 % en diminuant le temps passé par le service d’assistance à réinitialiser les mots de passe.
Quels sont les avantages à avoir un FdI ?
Il existe de nombreux avantages, notamment :
- Une authentification plus robuste : Un FdI peut fournir des outils et des solutions qui garantissent un accès sécurisé à plusieurs applications, sites Web et autres plateformes numériques, notamment l’authentification multifactorielle adaptative basée sur les risques.
- Une gestion simplifiée des utilisateurs : une autre solution proposée par la plupart des FdI est l’authentification unique, qui évite aux utilisateurs les contraintes liées à la création et à la gestion de plusieurs noms d’utilisateur et mots de passe.
- Apportez votre propre identité (de l’anglais Bring Your Own Identity, BYOI) : avec BYOI, les utilisateurs peuvent accéder aux services au moyen d’identifiants d’identité qu’ils possèdent déjà (par exemple Google, Outlook, etc.) au lieu d’avoir à en créer de nouveaux. Cela permet une intégration et une gestion des utilisateurs encore plus efficace tout en conservant un niveau de sécurité élevé.
- Meilleure visibilité : un FdI conserve une piste d’audit centrale de tous les événements d’accès, ce qui permet de prouver plus facilement qui accède à quelles ressources et quand.
- Réduction des contraintes liées à la gestion des identités : le fournisseur de services n’a pas besoin de gérer les identités des utilisateurs, car cela devient la responsabilité du FdI.
Comment fonctionnent les FdI ?
Un FdI permet à l’identité d’un utilisateur de faciliter son accès à toutes ses ressources, de sa messagerie électronique aux systèmes de gestion de fichiers de son entreprise.
Un flux de travail FdI repose sur trois étapes clés :
- Demande : l’utilisateur est invité à saisir une forme d’identité, par exemple un nom d’utilisateur et un mot de passe ou une authentification biométrique.
- Vérification : le FdI vérifie si l’utilisateur a un droit d’accès et ce à quoi il a accès.
- Déverrouillage : l’utilisateur se voit autoriser l’accès aux ressources spécifiques qui lui sont autorisées.
Qu’est-ce qu’un fournisseur de services et comment fonctionne-t-il avec un FdI ?
Le fournisseur de services est l’entité qui fournit le service auquel on accède, tandis qu’un FdI, un fournisseur d’identité, est l’entité qui crée, stocke et gère les identités ainsi que la capacité d’authentifier un utilisateur.
Les fournisseurs de service et d’identité font tous deux partie de la gestion des identités fédérées (FIM, federated identity management), à travers laquelle les utilisateurs sont autorisés à utiliser une même méthode de vérification pour accéder à différentes ressources. La FIM est réalisée au moyen de protocoles standard tels que Security Assertion Markup Language (SAML), Open Authorization (OAuth), OpenID Connect (OIDC) et le système de gestion des identités inter-domaines (SCIM, System for Cross-domain Identity Management).
Le FdI établit une relation de confiance avec un fournisseur de services en partageant les identités des utilisateurs et en les authentifiant sur plusieurs domaines. Par exemple, lorsqu’un utilisateur tente d’accéder à des applications tierces (fournisseurs de services), la demande est envoyée à un FdI tel que la Entrust Identity as a Service (solution Identité en tant que service, IDaaS). Le FdI authentifie l’identité de l’utilisateur et indique au fournisseur de services à l’aide d’une assertion SAML que l’utilisateur est vérifié et qu’il est autorisé à accéder au service.
Types de fournisseurs d’identité
Il existe deux principaux types de fournisseurs d’identité : Security Assertion Markup Language (SAML) et Single-Sign On (SSO).
SAML est un langage de balisage basé sur XML utilisé pour l’authentification par le biais de la fédération d’identité. SAML est un protocole omniprésent qui est pris en charge par diverses applications de fournisseurs de services telles qu’Office 365, Salesforce, Webex, ADP et Zoom.
L’authentification unique SSO est une fonction de gestion des accès qui permet aux utilisateurs de se connecter avec un seul ensemble d’informations d’identité à plusieurs comptes, logiciels, systèmes et ressources. Par exemple, lorsqu’un employé saisit ses informations d’identification pour se connecter à son poste de travail, il est également authentifié pour l’accès à ses applications, ses ressources et ses logiciels basés sur le cloud.
Qu’est-ce que la gestion des identités et des accès ?
La gestion des identités et des accès (IAM) est un cadre de politiques et de technologies relatives à la sécurité qui garantit l’accès des bonnes entités aux bonnes ressources au bon moment.
Une entité peut être une personne ou un dispositif. Les ressources comprennent les applications, les réseaux, l’infrastructure et les données. L’IAM peut s’appliquer aux cas d’utilisation de main-d’œuvre, de consommateurs et de citoyens.
La GIA repose sur le principe de l’établissement et du maintien d’identités numériques de confiance. Avec la GIA, les organisations peuvent authentifier et autoriser des entités pour leur accorder un accès sécurisé aux bonnes ressources. De plus, la confiance est maintenue au fil du temps avec l’authentification adaptative basée sur les risques qui introduit un contrôle supplémentaire lorsque les conditions le justifient.
La solution Identité en tant que service d’Entrust est-elle la bonne solution FdI pour les besoins de votre entreprise ?
Oui. Entrust Identity as a Service (solution Identité en tant que service, IDaaS) est une solution cloud de gestion des identités et des accès (GIA) qui comprend l’authentification multifactorielle, l’accès sans mot de passe basé sur les informations d’identification et l’authentification unique. La solution Identité en tant que service offre un ensemble exhaustif de fonctionnalités GIA, ce qui en fait l’administrateur FdI idéal pour une protection optimale de vos données grâce à son approche Zéro Confiance en matière de sécurité.