Gestion des identités fédérées
Gestion des identités fédérées
Qu'est-ce que la gestion des identités fédérées (FIM)
Federated Identity Management est une adaptation qui aide plusieurs entreprises à permettre aux abonnés d'utiliser la même identité pour accéder à différents domaines, sans effectuer différentes connexions pour différents fournisseurs de services.
Exemple – Il vous permet de vous connecter à bleu azur avec votre Office 365 détails du compte.
Ici, les informations d'identification de l'utilisateur sont validées via un fournisseur d'identité (IdP) qui peut être connecté aux domaines de plusieurs entreprises au lieu de gérer l'authentification sur le fournisseur de services (SP)/les applications elles-mêmes. Par conséquent, lorsqu'un utilisateur essaie d'accéder à un SP ou à une application particulière, le SP redirige l'utilisateur vers la page de connexion IDP. L'utilisateur se connecte sur l'IDP et est ensuite redirigé vers le SP/application demandé. Généralement, l'autorisation d'identité de l'utilisateur est exécutée via :
1) Langage de balisage des assertions de sécurité (SAML)
2) Autorisation ouverte (OAuth)
3) Connexion OpenID (OIDC)
Fonctionnement de la gestion des identités fédérées
L'objectif final de toute autorisation est une connexion sûre et sécurisée à plusieurs fournisseurs de services avec la même identité. Mais la procédure peut différer selon le protocole utilisé.
Discutons en détail du fonctionnement de Gestion des identités fédérées.
Gestion des identités fédérées avec SAML
Pour la gestion des identités fédérées utilisant le protocole SAML, l'utilisateur suit généralement la procédure ci-dessous :
1. L'utilisateur, via un navigateur Web, demande l'accès à l'application/SP sécurisé.
2. Le fournisseur de services redirige vers un fournisseur d'identité spécifique (enregistré auprès du fournisseur de services) pour l'authentification avec la demande d'authentification SAML.
3. Le navigateur envoie des demandes d'authentification au fournisseur d'identité enregistré. L'IdP valide la requête SAML et donne à l'utilisateur/navigateur un formulaire de connexion.
4. Une fois la vérification des informations d'identification/ou l'authentification réussie, le fournisseur d'identité générera une assertion basée sur XML vérifiant l'identité de l'utilisateur et la transmettra au navigateur.
5. Le navigateur transmet l'insertion XML au fournisseur de services et il configure les cookies dans le navigateur.
6. L'utilisateur/navigateur obtient l'accès tel qu'il est maintenant authentifié.
Gestion des identités fédérées avec OAuth/OpenID Connect
OpenID Connect est construit sur le protocole OAuth 2.0 et utilise un jeton Web JSON (JWT) supplémentaire, appelé jeton d'identification, pour normaliser les domaines qu'OAuth 2.0 laisse aux choix, tels que les étendues et la découverte des points de terminaison. Il est spécifiquement axé sur l'authentification des utilisateurs et est largement utilisé pour permettre les connexions des utilisateurs sur les sites Web des consommateurs et les applications mobiles.
L'utilisateur suit les instructions suivantes pour le protocole OpenID Connect :
1) L'utilisateur demande à accéder au serveur de ressources, qui est ensuite redirigé vers le fournisseur d'identité.
2) Une fois la demande d'autorisation transmise au fournisseur d'identité, il renvoie la page de connexion à l'utilisateur.
3) Une fois que l'IDP a validé les informations d'identification de l'utilisateur, il redirige l'utilisateur vers le serveur de ressources.
4) Il redirige l'utilisateur vers le serveur de ressources.
5) Une fois que l'utilisateur demande la page, un jeton est demandé du serveur de ressources à l'IDP.
6) Le jeton est validé par l'IdP.
7) Le jeton est renvoyé par l'IDP directement au serveur de ressources et l'utilisateur se connecte avec succès.
Solutions de sécurité RCDevs et gestion des identités fédérées
Le fournisseur d'identité RCDevs OpenID / SAML fonctionne avec le back-end OpenOTP. La solution RCDevs SSO prend en charge les connexions PKI (avec certificats d'utilisateur), OTP, FIDO2 et l'authentification biométrique VOICE. Un autre avantage offert par RCDevs est la possibilité de définir des politiques client WebADM par SP. Cela offre une grande flexibilité concernant les objectifs d'authentification, les politiques d'accès, les domaines autorisés à accéder à une application, etc.
Principales caractéristiques de la FIM :
-Prend en charge les demandes d'authentification et de déconnexion SAML 2.0.
-Prend en charge les requêtes SAML initiées par l'IdP et le SP pour Cloud SSO.
-Prend en charge OpenID-Connect et OAuth2
-Retourne les appartenances aux groupes et les attributs utilisateur configurables
-Configuration très simple pour SAML d'entreprise avec URL de métadonnées
-Supporte toutes les méthodes d'authentification supportées par RCDevs (Push, FIDO, SMS OTP, VOICE Biometric…)
-Prend en charge les étendues de profil utilisateur OpenID
-Prend en charge toutes les fonctionnalités de politiques fournies par le centre de contrôle WebADM
Il est simple d'intégrer la solution OpenOTP SSO :
–OpenID - Service Web IdP SAML
Plus, vérifier les informations Page RCDevs.