Complémentarité et interopérabilité des standards de fédération OAuth, OpenID et SAML dans des contextes BtoC et BtoB – Conférence GSDays 2011

Harmonie Technologie, a présenté lors de la conférence des GS DAYS 2011 les évolutions de la fédération des identités.

Cloud, Réseaux sociaux, Budget IT serré et Mobilité, Harmonie Technologie est intervenue pour présenter en quoi le concept de fédération peut répondre aux nouvelles problématiques du SI posées par ces changements.

Les 5 grandes tendances à souligner :
1.    L’adoption de services web « dans le nuage » entraine une multiplication des comptes et des étapes d’authentification.
2.    Certains groupes/sociétés utilisent différents « domaines de sécurité » ne permettant pas l’échange transparent et sécurisé d’identité.
3.    L’éclatement de la chaine de valeur avec les partenaires/fournisseurs/distributeurs entraine une augmentation du nombre d’authentification nécessaire.
4.    Dans le B2C, l’authentification par un réseau social a démontré qu’elle favorise les actes d’inscription et de connexion.
5.    Les modalités d’accès explosent (multi-devices + BYOD) et remettent en cause les modes d’authentification actuels.

Différences entre OAUTH et SAML :
Fabrice Vazquez : OAUTH 2.0 se retrouve en contexte B2C, notamment avec l’utilisation du Facebook-connect. Sa philosophie est  d’accéder à des données de manière sécurisée et l’autorisation d’accès aux données (dont l’identité) est fournie par l’utilisateur.
En revanche, SAML 2.0 se retrouve en contexte B2B, notamment avec des applications de type SAAS. Sa philosophie consiste à ce qu’un fournisseur de services délègue l’authentification à un fournisseur d’identité. L’autorisation d’accès à l’entreprise est gérée au niveau entreprise.

Exemples de cas d’usage où SAML & OAUTH sont associés, présentation de 3 types d’association :

  1. Associons d’abord SAML & FACEBOOK (OAUTH) : Cette association va permettre à votre utilisateur de s’authentifier avec une identité personnelle et accéder à un service externe sans réauthentification. Dans ce contexte il faudra utiliser Oauth pour obtenir un identifiant Facebook et utiliser SAML pour véhiculer l’identité vers le service externe
  2. Puis OAUTH & SAML pour des usages B2B : Cette association va permettre à votre utilisateur de s’authentifier sur une application partenaire avec l’identité de votre entreprise afin qu’il puisse ainsi retrouver son planning, ses contacts,… Dans ce contexte, la réponse technique sera d’utiliser SAML pour déléguer l’authentification au partenaire. La réponse SAML contient un token Oauth permettant l’accès aux informations sur l’utilisateur.
  3. Et pour finir prenons OAUTH & SAML dans le cloud : Comme dans le cas ci-dessus, cette association permettra à votre utilisateur de s’authentifier sur une application partenaire avec l’identité de son entreprise et retrouver son planning, ses contacts, cette fois stockés dans le cloud.

Cependant, dans ce contexte la réponse technique sera d’utiliser SAML pour déléguer l’authentification et  la réponse SAML sera utilisée pour obtenir un token Oauth permettant ainsi l’accès aux informations stockées dans le cloud.

… et si les cas d’usages envisagés nécessitent l’emploi de plusieurs protocoles sur N applications ?
La passerelle de fédération permet de présenter un unique point d’accès aux applications tout en fournissant du SSO, que l’application soit interne, dans le cloud ou chez un partenaire (« dépérimétrisation »).Elle adresse différents protocoles afin de fournir une authentification unique malgré l’hétérogénéité des méthodes d’authentification applicatives. La passerelle de fédération dans le cloud est appelée Identity as a service. Dans le B2C, Facebook s’impose comme l’identité en ligne grâce au Facebook Connect.

L’IAM dans le Cloud ? Comment gérer les identités dans les applications Cloud afin de mettre en place l’authentification
unique ?
Le SCIM (Simple Cloud Identity Management) définit un moyen de gérer plus simplement les identités dans le cloud via l’usage d’un standard. Il présente un modèle de représentation des utilisateurs/groupes au format JSON/XML et un moyen d’échange sur des protocoles standards (HTTP, SAML, REST API) :
•    GET: obtenir une ressource
•    POST: créer une ressource
•    PUT: Modifier une ressource dans son ensemble
•    PATCH: Modifier une ressource de manière partielle
•    DELETE: Supprimer une ressource
Le portage possible sur SAML permet de provisionner dynamiquement lors du premier accès tout en garantissant du SSO.

l’évolution de la fédération
Nous constatons que jusqu’à présent ces protocoles, malgré leur existence depuis plusieurs années (7 ans pour SAML), sont peu adoptés. Il y a un manque de cas d’usages réellement attendus et qui nécessitent de manière indispensable la fédération. Cependant, les tendances de fond comme les usages sociaux du web, le développement des usages mobiles ou distants via l’usage de différents terminaux et l’éclatement du SI (Cloud) vont favoriser l’adoption de la fédération des identités.

Laisser un commentaire

L’expertise au centre de notre stratégie de croissance