Identity provider et authentification unique

En bref

Identity Provider

Un identity provider (abrégé IDP ou, en français, «fournisseur d'identité ») est un service qui gère les utilisateurs numériques pouvant être utilisés pour se connecter à d'autres services :

Alice, dispatcheuse chez Pedal Pushers, se connecte à l'application de dispatching au début de son service pour vérifier les livraisons en attente. Elle ouvre ensuite une application d'un partenaire logistique sans avoir à se connecter à nouveau. Plus tard, elle doit modifier ses horaires dans l'application de planification des horaires en raison d'un arrêt maladie. Là encore, aucune nouvelle connexion n'est nécessaire.
À la fin de son service, Alice se déconnecte de l'une des applications et est automatiquement déconnectée de toutes les autres applications.

Un exemple d'un identity provider est la possibilité de se connecter à de nombreux sites avec le login Google.
Outre Google, il existe d'autres identity provider spécialisés, parmi lesquels Okta, Auth0 et Keycloak sont les plus connus.
Pour Idefix, nous utilisons Zitadel.

Grâce à l'étroite collaboration dans le secteur suisse du courrier, il est possible d'utiliser conjointement un identity provider et ainsi de donner aux utilisateurs un accès aux applications au-delà des frontières de l'entreprise. Grâce à l'architecture de Zitadel, cela est possible sans que les différentes entreprises puissent accéder aux données utilisateur des autres entreprises.

L'utilisation d'un identity provider présente de nombreux avantages, mais comporte également certains **risques ** gérables.

Convivialité

Les utilisateurs ne doivent s'identifier qu'une seule fois (authentification unique) et peuvent ensuite utiliser différentes applications sans avoir à se reconnecter.

La gestion des utilisateurs est également grandement simplifiée. Les utilisateurs ne doivent être enregistrés qu'une seule fois et peuvent être désactivés de manière centralisée lorsqu'ils quittent l'entreprise. Cela permet d'éviter que les utilisateurs aient encore accès aux données de l'entreprise après leur départ.

Sécurité

L'utilisation d'un système spécialisé permet d'augmenter considérablement la sécurité. Les données sensibles et le processus de connexion ne sont plus stockés et implémentés dans les différentes applications, mais dans le identity provider central. Les différentes applications peuvent authentifier les utilisateurs auprès d' identity provider à l'aide de plugins ou d'une logique simple. Pour cela, des **normes établies ** (OpenID Connect, SAML) sont utilisées, ce qui permet aux applications qui authentifient les utilisateurs via ces protocoles de se connecter à **n'importe quel identity provider **.

Le stockage des données sensibles et la mise en œuvre des différentes méthodes de connexion sont assurés par l'identity provider. Cela permet de garantir le respect des exigences en matière de protection des données et l'utilisation de méthodes de connexion sécurisées et simples.

Risques

Outre ses nombreux avantages, l'utilisation d'un identity provider comporte également certains risques. Elle crée un « point de défaillance unique ». Si l'identity provider ne peut pas traiter les demandes, toutes les applications qui en dépendent deviennent également inutilisables. L'identity provider doit donc être hautement disponible.

Il existe en outre une dépendance à long terme concernant le fonctionnement, la maintenance et le développement du service identity provider.

Découvre dans cet article comment Zitadel fait face à ces opportunités et à ces risques.

Sources

[Cloudflare] : www.cloudflare.com/de-de/learning/access-management/what-is-an-identity-provider/