Introduction aux concepts de fédération d'identité
1. Les différents acteurs
- les utilisateurs finaux sont les personnes qui vont effectivement se connecter à des sites web via une fédération d'identité. En général elles ne savent pas et ne voient pas que leur connexion a lieu vers une fédération d'identité, c'est transparent pour elles ;
- les fournisseurs d'identité sont les organismes auxquels sont rattachés les utilisateurs finaux. Par exemple dans la fédération Éducation-Recherche il s'agit d'organismes de recherche et d'établissements d'enseignement. Un fournisseur d'identité a pour rôle d'authentifier ses utilisateurs quand ces derniers accèdent à un site web via la fédération d'identité.
- les services ou ressources sont les sites web auxquels peuvent accéder les utilisateurs finaux via une fédération d'identité. Il peut s'agir par exemple de sites d'enseignement à distance, d'outils collaboratifs en ligne, de portail de documentations numérisées…
- l'opérateur de la fédération est l'entité qui gère la fédération, a défini ses règles de fonctionnement et prend en charge l'inscription des fournisseurs d'identité et des ressources dans la fédération.
2. Déroulement classique de l'accès à un service ou ressource via une fédération d'identité
Voici le déroulement de l'accès à une ressource par un utilisateur via une fédération d'identité (les étapes en italique sont celles qui ne sont pas vues par l'utilisateur) :
- l'utilisateur se rend avec son navigateur sur la page d'accueil d'une ressource, par exemple cours-en-ligne.example.org ;
- il clique sur le lien “Me connecter”, un nouvelle page s'affiche et il choisit dans cette nouvelle page son organisme de rattachement :
- l'utilisateur est automatiquement renvoyé vers la page d'authentification classique de son organisme sur laquelle il peut saisir son identifiant et mot de passe habituel ;
- si l'authentification réussit, le logiciel fournisseur d'identité de l'organisme va automatiquement récupérer des informations sur l'utilisateur dans le ou les référentiels de l'organisme ;
- l'utilisateur est renvoyé sur la ressource où il est alors automatiquement authentifié et peut alors l'utiliser.
- lors de la redirection de l'utilisateur depuis le fournisseur d'identité vers la ressource, cette dernière reçoit de la part du fournisseur d'identité une preuve informatique d'authentification de l'utilisateur et éventuellement des informations sur l'utilisateur
3. Utilisation de logiciels de fédération
Pour que la séquence décrite ci-dessous fonctionne, il faut que l'organisme jouant le rôle de fournisseur d'identité installe un logiciel de fédération d'identité, appelé en général “identity provider” (fournisseur d'identité en français). De même pour le site jouant le rôle de ressource, qui doit installer un logiciel “service provider” en frontal de son application ; cette dernière doit elle-même être rendue compatible avec ce logiciel. Ces logiciels permettent de rediriger l'utilisateur automatiquement entre la ressource et le fournisseur d'identité, et gère la transmission de la preuve d'authentification et des informations sur l'utilisateur. Shibboleth est le logiciel de fédération d'identité le plus utilisé dans la communauté enseignement supérieur et recherche.
4. Une histoire de confiance
Outre la gestion technique assurée par les logiciels de fédération, il faut que les fournisseurs d'identité et les ressources se fassent mutuellement “confiance” :
- une ressource doit avoir confiance dans les fournisseurs d'identité, car elle leur délègue la responsabilité d'authentifier correctement les utilisateurs et peut recevoir de leur part des informations sur ces utilisateurs. Si un utilisateur mal intentionné est capable de s'authentifier abusément sur un fournisseur d'identité, alors il pourra peut-être accéder à des ressources alors qu'il n'en avait pas le droit. Il est donc de la responsabilité d'un fournisseur d'identité de contrôler correctement l'authentification de ses utilisateurs, et d'avoir des informations à jour sur eux.
- inversement un fournisseur d'identité doit avoir confiance dans une ressource quand il lui envoie des informations sur les utilisateurs. Par exemple s'il lui transmet une adresse email, il fait confiance au gestionnaire de la ressource pour que ce dernier ne l'utilise pas pour envoyer du spam.
5. La fédération permet de mutualiser l'établissement des relations de confiance
Pour se faire mutuellement confiance un fournisseur d'identité et une ressource peuvent s'engager à chacun respecter des règles (par exemple le fournisseur d'identité peut s'engager à maintenir des informations à jour sur ses utilisateurs). Mais si chaque paire de fournisseur d'identité-ressource doit le faire, le nombre d'engagements à maintenir ainsi entre les multiples acteurs d'une communauté sera énorme.
Une fédération d'identité évite ce problème en regroupant des fournisseurs d'identité et des ressources qui s'engagent, au moment de leur inscription, à respecter un ensemble minimal de règles qui permettent d'assurer la confiance. Ainsi un fournisseur d'identité ou une ressource qui s'inscrit dans une fédération n'a pas à formaliser avec chacun des autres participants des relations de confiance, car il sait que ces autres participants se sont également engagés à respecter ces règles.
Outre la définition des règles permettant la mutualisation de la confiance, une fédération peut définir un cadre technique qui permet de faciliter l'interopérabilité entre les différents logiciels de fédération utilisés par les fournisseurs d'identité et de service.
6. Les méta-données
L'opérateur de la fédération maintient la liste des ressources et des fournisseurs d'identité inscrits dans la fédération ainsi que les informations techniques sur chacun. Ces informations sont distribuées publiquement sous forme de fichiers de méta-données et permettent de faire fonctionner les briques logicielles les une avec les autres.
7. Le WAYF ou Discovery Service
Lors de l'accès à une ressource de la fédération, un utilisateur doit pouvoir indiquer l'organisme qui est capable de l'authentifier. A cet effet la ressource lui présente un menu déroulant (appelé “Where Are You From” ou “Discovery Service”) qui répertorie tous les fournisseurs d'identité de la fédération, ou dans certains cas le sous-ensemble de ces fournisseurs d'identité qui permettent l'accès à cette ressource. Le WAYF est donc la face visible de la fédération pour les utilisateurs.