quelques_definitions_sur_l_interoperabilite_de_la_gestion_d_utilisateurs

L'interopérabilité des applications relativement aux utilisateurs

Beaucoup de termes sont utilisés dans les réunions et les cahiers des charges, parfois d'une manière assez imprécise. Le but de cet article est de clarifier la terminologie relative à ces interopérabilités, et lever les erreurs de compréhension quant aux limites de tel ou tel dispositif.

Identification et Authentification

Ces deux concepts font très souvent l'objet d'imprécision et de confusion dans les réunions. Ils sont complémentaires mais cependant bien différents :

Identification

Principe (et mécanisme) par lequel un système s'assure de l'identité d'un utilisateur. Il s'agit de mémoriser QUI est en train d'opérer des données dans le système. Cette identité n'est pas forcément “réelle”, par exemple, dans des applications permettant de “se connecter sous le nom de”.

Un identifiant est une donnée considérée comme publique car elle peut être donnée à des tiers pour nous “trouver” dans le système.

Authentification

Principe (et mécanisme) par lequel un système s'assure de la “réalité” de l'identité de l'utilisateur. Il s'agit donc pour l'application de s'assurer que cette identité présentée est effectivement utilisée à bon escient par une personne autorisée à l'utiliser (dans le cas le plus courant, la personne effectivement détentrice du compte utilisateur).

Un code d'authentification (mot de passe) est une donnée considérée comme confidentielle et personnelle.

"Authentidentification"

Dans ce barbarisme figure la notion par laquelle dans certains cas, identification et authentification peuvent se confondre.

En général une “identité” doit désigner une personne unique (et pas l'inverse, une personne pouvant opérer plusieurs comptes sous plusieurs identités distinctes). Le principe d'authentification repose par contre sur la relation confidentielle du mot de passe avec celui à qui il a été donné. Deux utilisateurs peuvent avoir le même mot de passe (sans le savoir). Le risque accidentel d'authentification croisée est extrêmement faible.

Pour préserver les neurones des utilisateurs, certains systèmes réunissent les deux principes en générant des mot de passe uniques. Dans ce cas, la présentation et la reconnaissance du code suffit à à la fois identifier et authentifier la personne. Ce code doit donc être considéré également comme confidentiel et personnel.

SSO, SSI, SLO

Derrière ces acronymes plus ou moins connus et utilisés se cachent des mécanismes précis :

SSO : Single Sign On

En anglais Sign On désigne l'enregistrement d'une identité et la création d'un compte. Il s'agit de centraliser la référence d'authentification, et donc essentiellement le couple “identifiant, mot de passe”.

Une erreur commune et courante est de penser qu'un système de SSO conduit automatiquement à ne se connecter qu'une fois pour accéder à toutes les applications participant au SSO. Ceci est un abus d'interprétation usuel. Plusieurs plates-formes dont les sessions locales sont indépendantes, mais connectée au même annuaire d'utilisateurs forment un système SSO bien que les utilisateurs doivent présenter leur identité à chacune.

L'erreur courante est donc de confondre le concept de SSO avec celui de SSI (Single Sign In).

SSI : Single Sign In

En anglais, Sign In désigne le fait de se connecter de manière identifiée à une application ou service. La notion de Single Sign In désigne alors effectivement le comportement d'un système dans lequel un utilisateur n'a besoin de s'identifier qu'une fois pour pouvoir accéder et naviguer de manière transparente dans l'ensemble des applications participantes.

SLO : Single Logout

Le Single Logout est une fonctionnalité accessoire (mais non systématique) d'un système en SSI. Il désigne la réaction d'un système d'applications dans lequel la déconnexion de l'une déclenche automatiquement la déconnexion de l'ensemble des sessions applicatives de tout le système.

Constituants d'une chaine d'authentification

Une chaine d'authentification est constituée d'un certain nombre d'éléments ou composants qui permettent le fontionnement identifié d'un système plus ou moins complexe.

IdP ou Identity Provider

Un applicatif qui détient les bases des données utilisateur et capable d'identifier/authentifier des personnes et de maintenir une information sur la “session”. Un IdP peut fournir le principe d'identité à de nombreux fournisseurs de service.

SP ou Service Provider

Un applicatif qui fournit un service (ensemble de fonctionnalités) à des usagers. Un SP peut avoir plusieurs IdP associés, sous réserve de l'unicité de l'identité des utlisateurs sur l'ensemble des IdPs.

Broker d'authentification

Un applicatif ou organe qui permet de gérer la relation entre les Idps et les SP.

Revenir au catalogue

quelques_definitions_sur_l_interoperabilite_de_la_gestion_d_utilisateurs.txt · Last modified: 2024/04/04 15:50 (external edit)