Mettre en place un système d’authentification pouvant répondre aux problèmes sus cités tout en garantissant l’identité des utilisateurs au sein d’une entreprise, d’une instance (à l’exemple du ministère des forêts et du ministère des finances) et même d’une fédération universitaire en particulier l’université de Dschang et ses différents établissements affiliés ( à l’exemple de l’iut-fv de bandjoun) tout en garantissant la confiance dans le réseau.
Cela passe par :
1.4.1 CENTRALISER L’AUTHENTIFICATION
C’est pour mettre en place un système central de gestion des identités pour l’accès à toutes les applications de l’intranet. Elle nous permet de partager une base commune. Le principe est de disposer d’une base de données globale pour centraliser toutes les demandes d’authentification des utilisateurs. Elle unifie la gestion des authentifications et des autorisations. Cela permet également de centraliser la gestion de la politique de sécurité. Un annuaire (LDAP) est un type particulier de base de données pour ce genre d’authentification.
Figure 4 : centralisation de l’authentification
Figure 5 : authentification centralisée à l’annuaire LDAP
1.4.2 AUTHENTIFICATION UNIQUE
Le Single Sign-On est une technique qui consiste à soumettre l’utilisateur à une procédure d’authentification unique et une seule fois par rapport aux différents services accessibles : applications web ou fonctions protégées du système. Il peut aussi prononcer les autorisations ou interdictions d’accès de l’utilisateur à l’ensemble des services, suivre l’activité et tracer les opérations effectuées. Son architecture est en général basée sur un serveur d’authentification (certificat X509, Kerberos). Il est composé :
D’un serveur d’authentification
C’est l’élément central du SSO puisqu’il assure :
– L’authentification.
– La persistance de la connexion.
– La propagation de l’identité de l’utilisateur auprès des applications
Il a la charge de vérifier le mot de passe de l’utilisateur auprès d’une base de référence (NIS, LDAP, /etc/passwd …).
Figure 6 : principe d’authentification unique
De l’agent d’authentification
L’agent d’authentification est la brique SSO intégrée aux applications (librairie, module apache). L’agent vérifie que l’utilisateur est authentifié. S’il n’est pas authentifié, il le redirige vers le serveur d’authentification.
1.4.3 LA DELEGATION D’IDENTITES
Le fournisseur d’identités permettra de déléguer l’identification des utilisateurs au sein d’un fournisseur de services externe. L’utilisateur peut se connecter de n’ importe où et pourquoi pas profiter d’un SSO.
Mais le gain ne porte pas uniquement sur une plus grande simplicité d’utilisation des applications. Du point de vue de la sécurité, le fait de fédérer des applications autour d’une architecture Web unique permet de profiter d’une sécurité accrue grâce au chiffrement SSL.
Figure 7 : principe de la fédération d’identités
– Lorsqu’un utilisateur A accède à un service A1, l’authentification est basée sur le fournisseur d’identité A interne.
– Lorsqu’ un utilisateur B externe à l’entreprise A accède à un service A2 l’authentification est basée sur le fournisseur d’identité B de son entreprise
– Lorsqu’un utilisateur B accède à un service A2 externe à son entreprise et un service B1 interne à son entreprise, les deux services s’appuient sur le fournisseur d’identité de son entreprise. L’utilisateur B peut bénéficier ainsi d’un SS0 entre deux services.
Tous les mécanismes de fédération d’identités se basent sur le principe fondamental d’existence d’une relation de confiance entre les partenaires qui ont décidé de collaborer.
Page suivante : CHAPITRE 2 : CHOIX DE LA SOLUTION, CONCEPTION ET MISE OEUVRE