- répondre à des problématiques de sécurité
- protection périmétrique
- limite de la protection périmétrique
- cas d’usage protection par les identités
- besoins primaires du contrôle des accès
- besoins différents entreprise / services en ligne
Réponses aux besoin de contrôle des accès
- réponses attendues
- transmission de l’identité
- authentification
- besoins spécifiques à l’authentification
- réponse au besoin d’authentification
- délégation de l’authentification
- facteurs d’authentification
- vérifier les droits d’accès
- délégation des autorisations OAuth
- synthèse différence OIDC / OAuth
Principes de fédération des identités
- principe de délégation
- délégation par redirection
- transport de l’identité ou de l’autorisation
- architecture : centralisation des authentifications
- centralisation des authentifications : annuaire d’authentification
- centralisation des authentifications : contrainte UX
- chainage des IdP
- authentification au plus près
- authentification au plus près, fédération pour l’accès des partenaires
- login social
- généralisation : fédération des IdP
- délégation de l’identité : la nécessaire confiance
- clients confidentiels / clients publics
- adaptation de l’authentification
- niveaux d’authentification
- MFA authentification multi facteurs
- MFA et passwordless
- authentification à l’acte, l’exemple 3D-Secure
- bonnes pratiques MFA
- contraintes du SSO
- déconnexion en SSO
- jetons
- jetons d’accès lisibles / opaques
- jetons et revendications
- consentement
- IdP Discovery
- IdP Discovery Solutions
Architecture et déploiement
- architecture d’authentification
- architecture standard
- cinématiques d’authentification
- authentification en 2 étapes identifier first
- autres cinématiques
- cinématiques Personnalisation IdP
- notification
- espace de gestion des comptes « Mon profil »
- Just-In-Time provisioning
- haute disponibilité
- hébergement de l’IdP
- offre ligicielle
- projet de mise en œuvre
- points d’attention projet d’authentification
Authentification des applications par Open ID Connect
- cas d’usage OpenID Connect
- OIDC et les clients publics
- concepts OpenID Connect
- authentification OpenID Connect
- jeton d’identité / fiche d’identité
- représentation de l’identité
- jeton de l’identité
- claims : données sur l’utilisateur
- claims : ID Token et Userinfo
- claims : demande dans le scope
- claims : demandes dans le périmètre claims
- claims : fonctions prévues par la norme mais non utilisées
- claims et consentement
- cinématique OpenID Connect
- cinématique authentification web app : Principes
- cinématique authentification web app
- validation du jeton d’identité
- validation du jeton d’identité : Signature
- validation du jeton d’identité : Signature par algorithme asymétrique
- validation du jeton d’identité : Signature HMAC (HS256)
- validation HMAC
- validation du jeton d’identité
- récupération des données utilisateur par UserInfo
- cinématique UserInfo
- considérations sur le jeton d’accès UserInfo
Demo
- cinématique client lourd
- CIBA OpenID Connect sans redirections
- options d’authentification
- IdP Discovery et login_hint
- déconnexion OpenID Connect
- déconnexion de l’OP
- fin de connexion de l’OP
- diffusion de la déconnexion OIDC
- méthode de la diffusion de la déconnexion
- points d’entrées OpenID Connect
- documentation de configuration
- interfaçage d’une application compatible
- rendre une application compatible OIDC
- limites et interprétations de la norme
- OpenID Connect et la sécurité
Autorisation des API par OAuth2
- cas d’application OAuth2
- cas d’usage OAuth2
- concept OAuth2
- authentification OAuth2
- schéma de principe OAuth2
- jeton d’accès
- format du jeton d’accès
- cinématique OAuth2
- cinématique application web classique
- cinématique authorization
- cinématique app mobile native
- cinématique app mobile native en PKCE
- cinématique client lourd
- cinématique application web SPA
- protection du jeton OAuth2 dans une application type client public
- cinématique SPA en authorization code PKCE
- cinématique implicit
- authentification des applications
- transmission du jeton d’accès à l’API
- validation du jeton d’accès
- cinématique d’introspection
- OAuth2 : de l’autorisation à la transmission d’information
- limites d’OAuth2 en transmission
- renouvellement de jeton d’accès
- déconnexion OAuth2
- points d’attention
- OAuth2 et la sécurité
- Modèle de sécurité OAuth2 version simplifiée
Cas limite
- différence OIDC / OAuth2
- application OIDC + OAuth2
- appel à plusieurs API du même domaine
- appel à des API indépendantes
- authentification des applications Cloud
Perspectives d’avenir
- échange de jetons
SESSIONS