La gestion des accès prend en charge une activité qui était précédemment réalisée directement par les applications et qui consiste à vérifier l’identité des utilisateurs s’y connectant.

Elle s’insère dans le processus de [contrôle des accès] et s’applique à toutes les applications (fournisseurs de service dans le jargon) :

• application web (classique ou SPA) : personne derrière son navigateur
• app mobile : identité transmise au backend
• API : authentification du système se connectant, complétée dans certains cas par la transmission de l’identité de la personne concernée par l’appel.

La communication de l’identité peut être complétée par des informations sur l’utilisateur, que ce soit des données personnelles (adresse de messagerie par exemple) ou des droits sur l’application.

La fonction d’authentification étant auparavant prise en charge directement par l’application. Avec l’importance croissante des impératifs de sécurité, des problèmes sont apparus. L’authentification est une fonction critique qui demande à être développée par des experts. A défaut, il est probable qu’elle aboutisse à de nombreuses vulnérabilités qui facilitent des compromissions.

La fonction d’authentification a évolué et n’est plus la simple vérification du mot de passe. Les bonnes pratiques préconisent maintenant une sécurisation qui implique des développements d’une complexité croissante :

• interface avec une plusieurs solutions d’authentification pour éviter les stratégies de contournement de méthodes jugées trop contraignantes
• prise en compte du contexte de l’utilisateur (localisation, équipement utilisé, comportement, etc.)
• détection des tentatives d’attaque, déploiement de mesures de protection automatiques et déclenchement d’alertes

La mise en œuvre d’une seule de ces fonctions demande un effort considérable qui doit être renouvelé pour chaque application et qui doit s’adapter continuellement à de nouvelles menaces.

Les solutions de gestion des accès prennent en charge l’ensemble des fonctions liées à l’authentification et apportent donc des réponses adaptées pour chacune des préoccupations énoncées plus haut.

Elles apportent en complément des fonctionnalités intéressantes :

• la réauthentification transparente (SSO)
• l’authentification des applications cloud auprès de l’annuaire interne
• le login social (Google, Facebook) pour les clients
• France Connect pour les usagers des services publics
• l’interopérabilité avec les partenaires pour ne plus avoir à gérer les identités de leur personnel.

Afin qu’une application délègue ses authentifications à un serveur tiers (appelé fournisseur d’identités), un protocole d’échange est mis en place.

Les premières solutions de gestion des accès web (WAM) définissaient leurs cinématiques propres, basées sur le déploiement d’agents propriétaires auprès des applications.

Depuis, un effort de normalisation a porté ses fruits en facilitant les interopérabilités. La première norme qui a réussi à s’imposer a été SAML. Limitée en fonctions et inutilement complexe, elle est maintenant supplantée par OpenID Connect (OIDC). Pour les API, la norme OAuth 2 gère les autorisations ainsi que la transmission de l’identité de l’utilisateur final.

Le fournisseur d’identités peut réaliser lui-même l’opération d’authentification, comme il peut la déléguer à son tour à un autre système, toujours en utilisant les mêmes normes. Le login social ou France Connect fonctionnent de cette manière.

En fin de chaîne, l’identité est communiquée à l’application au sein d’un jeton sécurisé.

Les normes de fédération des identités, et en particulier OpenID Connect, ont contribué à insérer le fournisseur d’identités au cœur du système d’information. Il a d’abord sécurisé les accès aux applications cloud. Il est maintenant généralisé aux applications internes, en commençant par les nouveaux déploiements.

Aduneo vous aide à négocier les problèmes qui se posent, et qui sont d’ordre technique (interprétations diverses des normes) ou d’ordre fonctionnel (routage des utilisateurs vers leur serveur d’authentification – IdP discovery).