Intérêts et limites de la fédération d'identité
1. Intérêts de la fédération d'identité
La fédération d'identité permet de simplifier et sécuriser l'accès à des sites web dont l'accès est contrôlé : plate-forme d'enseignement à distance, portail documentaire, application métier…
Elle répond bien aux besoins de mutualisation entre organismes, aux problématiques d'utilisateurs nomades et facilite le respect de la loi “Informatique et libertés”.
Elle est particulièrement adaptée pour certains types de sites :
- ceux dont les usagers sont rattachés à des organismes différents, par exemple une plate-forme d'enseignement à distance ou une application métier mutualisée entre les différents organismes d'une Université Numérique en Région ;
- ceux qui doivent contrôler l'accès d'un très grand nombre d'utilisateurs, par exemple une Université Numérique Thématique qui souhaite limiter l'accès à tous les étudiants français d'une certaine discipline ;
- ceux qui doivent contrôler l'accès des utilisateurs sans nécessairement devoir connaitre leur identité, par exemple le portail documentaire d'un éditeur privé de revues scientifiques.
1.1 Intérêts pour les utilisateurs de votre service
Un utilisateur n'a rien à installer ou configurer sur son poste de travail ou son portable, n'importe quel navigateur web et n'importe quel système d'exploitation sont utilisables pour accéder à un site. À vrai dire, l'utilisateur ne se rend même pas compte qu'il utilise la technologie de fédération d'identités pour accéder à un site.
L'accès au site est nomade, il peut se faire depuis n'importe poste ayant un accès internet, c'est-à-dire depuis son domicile, un cyber café, à l'étranger comme depuis le réseau de son organisme.
L'utilisateur n'a pas besoin d'un nouvel identifiant et d'un mot de passe pour chaque site. Il se connecte auprès du site via la page d'authentification habituelle de son organisme.
Respect de la vie privée : le minimun d'informations concernant l'utilisateur est transmis au site auquel l'utilisateur se connecte. Son organisme de rattachement limite les informations qu'il transmet au site au strict nécessaire, et peut également donner la possibilité à l'utilisateur de visualiser et contrôler lui-même la transmission de ces informations.
1.2 Intérêts pour les gestionnaires de service
Avec la fédération d'identités, le gestionnaire d'un service (web) n'a plus besoin de gérer de comptes utilisateur avec mot de passe. C'est un gain significatif car le support lié aux pertes et oublis de mots de passe est souvent très important.
Les utilisateurs n'ont plus besoin d'un identifiant et mot de passe spécifiques pour accéder au service. Pour certains services cette simplification suffit à augmenter la fréquentation.
Le service est assuré de l'authentification des utilisateurs qui se connectent, mais peut également éventuellement obtenir des informations sur les utilisateurs, en accord avec les organismes de rattachement de ces derniers. Ces informations sont extraites des référentiels utilisateurs de ces organismes qui servent déjà pour leurs propres besoins en interne. Ce sont donc des informations qui ont plus de chances d'être exactes et à jour que des informations que les utilisateurs saisiraient eux-mêmes sur le service lors de leur première connexion.
Avec ces informations le service peut personnaliser les contenus en fonction du profil de l'utilisateur (langue de préférence par exemple), obtenir des informations nécessaires au fonctionnement de l'application (une adresse email par exemple) mais a également des possibilités de contrôle d'accès riches (par exemple restreindre l'accès du service à tous les chercheurs rattachés à un groupe donné d'universités et d'EPST).
1.3 Intérêts pour les organismes gérant des utilisateurs
Pour un organisme, s'inscrire dans la fédération Éducation-Recherche en tant que fournisseur d'identités lui permet de s'appuyer sur une technologie standard pour sécuriser et simplifier l'accès à des ressources situées en dehors du périmètre de son système d'information.
L'accès à ces ressources peut être rendu transparent dans le portail de l'organisme, et permet d'étendre la fonction de Single Sign-On interne, pour des ressources extérieures.
Le logiciel Shibboleth Identity Provider s'intègre de façon non intrusive dans un système d'information et ne remplace pas les briques existantes de services d'authentification et d'annuaire, mais au contraire s'appuie sur eux.
Un organisme garde également la maîtrise des attributs utilisateurs diffusés hors de son système d'information via les mécanismes de fédération d'identités.
2. Limites d'une fédération d'identité
La problématique du contrôle d'accès aux applications/services est vaste et parfois complexe, la fédération d'identités n'en résout pas tous les problèmes. Voici ses principales limites :
- On ne peut pas utiliser la fédération pour l'accès à des applications/services non web. La fédération repose en effet sur la norme SAML qui n'est implémentée pratiquement que via le protocole HTTP[S]. Une exception est le domaine des grilles de calcul où l'extension GridShib sur le site de Globus permet un accès via la fédération à Globus Toolkit.
- La fédération ne permet pas le transfert automatique d'informations depuis un annuaire vers une application/service pour un ensemble d'usagers. Ce n'est pas un système permettant la synchronisation de données entre référentiels et applications. C'est une limite mais aussi un intérêt car il permet de garder une maîtrise fine des données échangées, et respecte les principes du respect de la vie privée.
- La norme SAML sur laquelle repose la fédération d'identités est complexe, et cette complexité est répercutée dans la plupart des produits de fédération d'identités. L'installation et la configuration d'une brique logicielle de fédération n'est donc pas triviale.
- Peu d'applications sont pour le moment compatibles avec la fédération d'identités. Il faut faire un travail d'adaptation pour les applications qui ne sont pas compatibles. Cependant, de plus en plus d'applications utilisées dans le secteur Éducation-Recherche sont compatibles (voir par exemple la liste des applications compatibles avec Shibboleth).