À quoi sert la fédération d'identités ?

La fédération d'identités permet de simplifier et sécuriser l'accès à des sites web dont l'accès est contrôlé : plate-forme d'enseignement à distance, portail documentaire, application métier…

Elle répond bien aux besoins de mutualisation entre organismes, aux problématiques d'utilisateurs nomades et facilite le respect de la loi “Informatique et libertés”.

Elle est particulièrement adaptée pour certains types de sites :

  1. ceux dont les usagers sont rattachés à des organismes différents, par exemple une plate-forme d'enseignement à distance ou une application métier mutualisée entre les différents organismes d'une Université Numérique en Région ;
  2. ceux qui doivent contrôler l'accès d'un très grand nombre d'utilisateurs, par exemple une Université Numérique Thématique qui souhaite limiter l'accès à tous les étudiants français d'une certaine discipline ;
  3. ceux qui doivent contrôler l'accès des utilisateurs sans nécessairement devoir connaitre leur identité, par exemple le portail documentaire d'un éditeur privé de revues scientifiques.

Intérêts pour les utilisateurs de votre service

Un utilisateur n'a rien à installer ou configurer sur son poste de travail ou son portable, n'importe quel navigateur web et n'importe quel système d'exploitation sont utilisables pour accéder à un site. À vrai dire, l'utilisateur ne se rend même pas compte qu'il utilise la technologie de fédération d'identités pour accéder à un site.

L'accès au site est nomade, il peut se faire depuis n'importe poste ayant un accès internet, c'est-à-dire depuis son domicile, un cyber café, à l'étranger comme depuis le réseau de son organisme.

L'utilisateur n'a pas besoin d'un nouvel identifiant et d'un mot de passe pour chaque site. Il se connecte auprès du site via la page d'authentification habituelle de son organisme.

Respect de la vie privée : le minimun d'informations concernant l'utilisateur est transmis au site auquel l'utilisateur se connecte. Son organisme de rattachement limite les informations qu'il transmet au site au strict nécessaire, et peut également donner la possibilité à l'utilisateur de visualiser et contrôler lui-même la transmission de ces informations.

Intérêts pour les gestionnaires de site

Avec la fédération d'identités, le gestionnaire d'un site n'a plus besoin de gérer de comptes utilisateur avec mot de passe. C'est un gain significatif car le support lié aux pertes et oublis de mots de passe est souvent très important.

Les utilisateurs n'ont plus besoin d'un identifiant et mot de passe spécifiques pour accéder au site. Pour certains sites cette simplification suffit à augmenter la fréquentation du site.

Le site est assuré de l'authentification des utilisateurs qui se connectent, mais peut également éventuellement obtenir des informations sur les utilisateurs, en accord avec les organismes de rattachement de ces derniers. Ces informations sont extraites des référentiels utilisateurs de ces organismes qui servent déjà pour leurs propres besoins en interne. Ce sont donc des informations qui ont plus de chances d'être exactes et à jour que des informations que les utilisateurs saisiraient eux-mêmes sur le site lors de leur première connexion.

Avec ces informations le site peut personnaliser les contenus en fonction du profil de l'utilisateur (langue de préférence par exemple), obtenir des informations nécessaires au fonctionnement de l'application (une adresse email par exemple) mais a également des possibilités de contrôle d'accès riches (par exemple restreindre l'accès du site à tous les chercheurs rattachés à un groupe donné d'universités et d'EPST).

Intérêts pour les organismes gérant des utilisateurs

Pour un organisme, s'inscrire dans la fédération Éducation-Recherche en tant que fournisseur d'identités lui permet de s'appuyer sur une technologie standard pour sécuriser et simplifier l'accès à des ressources situées en dehors du périmètre de son système d'information.

L'accès à ces ressources peut être rendu transparent dans le portail de l'organisme, et permet d'étendre la fonction de Single Sign-On interne, pour des ressources extérieures.

Le logiciel Shibboleth Identity Provider s'intègre de façon non intrusive dans un système d'information et ne remplace pas les briques existantes de services d'authentification et d'annuaire, mais au contraire s'appuie sur eux.

Un organisme garde également la maîtrise des attributs utilisateurs diffusés hors de son système d'information via les mécanismes de fédération d'identités.