Les limites d'une fédération d'identités

La problématique du contrôle d'accès aux applications est vaste et parfois complexe, la fédération d'identités n'en résout pas tous les problèmes. Voici ses principales limites :

  • on ne peut pas utiliser la fédération pour l'accès à des applications non web. La fédération repose en effet sur la norme SAML qui n'est implémentée pratiquement que via le protocole HTTP[S]. Une exception est le domaine des grilles de calcul où l'extension GridShib sur le site de Globus permet un accès via la fédération à Globus Toolkit.
  • la fédération ne permet pas le transfert automatique d'informations depuis un annuaire vers une application pour un ensemble d'usagers. Ce n'est pas un système permettant la synchronisation de données entre référentiels et applications. C'est une limite mais aussi un intérêt car il permet de garder une maîtrise fine des données échangées, et respecte les principes du respect de la vie privée.
  • la norme SAML sur laquelle repose la fédération d'identités est complexe, et cette complexité est répercutée dans la plupart des produits de fédération d'identités. L'installation et la configuration d'une brique logicielle de fédération n'est donc pas triviale.
  • peu d'applications sont pour le moment compatibles avec la fédération d'identités. Il faut faire un travail d'adaptation pour les applications qui ne sont pas compatibles. Cependant, de plus en plus d'applications utilisées dans le secteur Éducation-Recherche sont compatibles (voir par exemple la liste des applications compatibles avec Shibboleth).