qu’est Ce qu’un fournisseur d’identité (IdP)?
un fournisseur d’identité (IdP ou IDP) stocke et gère les identités numériques des utilisateurs. Pensez à un IdP comme étant comme une liste d’invités, mais pour les applications numériques et hébergées dans le cloud au lieu d’un événement. Un fournisseur D’identité peut vérifier les identités des utilisateurs via des combinaisons nom d’utilisateur-mot de passe et d’autres facteurs, ou il peut simplement fournir une liste d’identités d’utilisateur qu’un autre fournisseur de services (comme un SSO) vérifie.
Les PDI ne se limitent pas à la vérification des utilisateurs humains., Techniquement, un fournisseur D’identité peut authentifier toute entité connectée à un réseau ou à un système, y compris les ordinateurs et autres périphériques. Toute entité stockée par un IdP est connue comme un » principal « (au lieu d’un »utilisateur »). Cependant, les IDP sont le plus souvent utilisés dans le cloud computing pour gérer les identités des utilisateurs.
qu’est-Ce que l’identité de l’utilisateur?
Numérique l’identité de l’utilisateur est associée à des facteurs quantifiables qui peuvent être vérifiés par un système informatique. Ces facteurs sont appelés « facteurs d’authentification., »Les trois facteurs d’authentification sont les suivants:
- connaissance: quelque chose que vous savez, comme un nom d’utilisateur et un mot de passe
- Possession: quelque chose que vous avez, comme un smartphone
- qualités intrinsèques: quelque chose que vous êtes, comme votre empreinte digitale ou une analyse de la rétine
Un L’utilisation de plus d’un est appelée authentification multifacteur (MFA).
pourquoi les PDI sont-elles nécessaires?,
l’identité numérique doit être suivie quelque part, en particulier pour le cloud computing, où l’identité de l’utilisateur détermine si quelqu’un peut ou non accéder à des données sensibles. Les services Cloud doivent savoir exactement où et comment récupérer et vérifier l’identité de l’utilisateur.
les enregistrements des identités des utilisateurs doivent également être stockés de manière sécurisée pour s’assurer que les attaquants ne peuvent pas les utiliser pour se faire passer pour des utilisateurs., Un fournisseur d’identité cloud prend généralement des précautions supplémentaires pour protéger les données des utilisateurs, tandis qu’un service non dédié uniquement au stockage de l’identité peut les stocker dans un emplacement non sécurisé, tel qu’un serveur ouvert à Internet.
comment les PDI travaillent-ils avec les services SSO?
un service SSO, ou single sign-on, est un endroit unifié où les utilisateurs peuvent se connecter à tous leurs services cloud à la fois. En plus d’être plus pratique pour les utilisateurs, la mise en œuvre de L’authentification unique rend souvent les connexions des utilisateurs plus sécurisées.
pour la plupart, les SSO et les PDI sont séparés., Un service SSO utilise un IdP pour vérifier l’identité de l’utilisateur, mais il ne stocke pas réellement l’identité de l’utilisateur. Un fournisseur SSO est plus un intermédiaire qu’un guichet unique; pensez-y comme étant comme une entreprise de garde de sécurité qui est embauchée pour assurer la sécurité d’une entreprise mais qui ne fait pas réellement partie de cette entreprise.
même s’ils sont séparés, les IDP sont une partie essentielle du processus de connexion SSO. Les fournisseurs SSO vérifient l’identité de l’utilisateur avec L’IdP lorsque les utilisateurs se connectent. Une fois cela fait, L’authentification unique peut vérifier l’identité de l’utilisateur avec n’importe quel nombre d’applications cloud connectées.
Cependant, ce n’est pas toujours le cas., Un SSO et un PDI pourraient théoriquement être une seule et même chose. Mais cette configuration est beaucoup plus ouverte aux attaques on-path dans lesquelles un attaquant forge une assertion SAML* afin d’accéder à une application. Pour cette raison, IdP et SSO sont typiquement séparés.
*une assertion SAML est un message spécialisé envoyé par les services SSO à toute application cloud qui confirme l’authentification de l’utilisateur, permettant à l’utilisateur d’accéder à l’application et de l’utiliser.
comment tout cela se présente-t-il dans la pratique? Supposons Qu’Alice utilise son ordinateur portable de travail au bureau de son employeur., Alice doit se connecter à l’application de chat en direct de l’entreprise afin de mieux coordonner avec ses collègues. Elle ouvre un onglet sur son navigateur et charge l’application de chat. En supposant que son entreprise utilise un service SSO, les étapes suivantes se déroulent dans les coulisses:
- L’application de chat demande à L’SSO la vérification de l’identité D’Alice.
- Le SSO voit Qu’Alice n’a pas encore signé.
- L’authentification unique invite Alice à se connecter.
à ce stade, le navigateur D’Alice La redirige vers la page de connexion SSO. La page contient des champs permettant à Alice de saisir son nom d’utilisateur et son mot de passe., Comme son entreprise nécessite une authentification à deux facteurs, Alice doit également entrer un code court que l’authentification unique envoie automatiquement à son smartphone. Une fois cela fait, elle clique sur « Se connecter. »Maintenant, les choses suivantes se produisent:
- Le SSO envoie une demande SAML à L’IdP utilisé par la société D’Alice.
- L’IdP envoie une réponse SAML à L’authentification unique confirmant L’identité D’Alice.
- L’authentification unique envoie une assertion SAML à L’application de chat Qu’Alice voulait utiliser à l’origine.
Alice est redirigée vers son application de chat. Maintenant, elle peut discuter avec ses collègues., L’ensemble du processus n’a pris que quelques secondes.
comment Cloudflare s’intègre-t-il aux fournisseurs d’identité?
Cloudflare Access s’intègre aux SSO et aux IDP afin de gérer l’accès des utilisateurs. Cloudflare Access fait partie de la suite de produits Cloudflare for Teams, qui permet de sécuriser les équipes internes.