Quels constats faites-vous sur les nouveaux usages qui doivent être pris en compte dans un projet de fédération des identités ?

Fabrice Vazquez : Il y a 5 grandes tendances à souligner :

1. L’adoption de services web « dans le nuage » entraine une multiplication des comptes et des étapes d’authentification.

2. Certains groupes/sociétés utilisent différents « domaines de sécurité » ne permettant pas l’échange transparent et sécurisé d’identité.

3. L’éclatement de la chaine de valeur avec les partenaires/fournisseurs/distributeurs entraine une augmentation du nombre d’authentification nécessaire.

4. Dans le B2C, l’authentification par un réseau social a démontré qu’elle favorise les actes d’inscription et de connexion.

5. Les modalités d’accès explosent (multi-devices + BYOD) et remettent en cause les modes d’authentification actuels.

Quelles sont les différences entre OAUTH et SAML ?

Fabrice Vazquez : OAUTH 2.0 se retrouve en contexte B2C, notamment avec l’utilisation du Facebook-connect. Sa philosophie est d’accéder à des données de manière sécurisée et l’autorisation d’accès aux données (dont l’identité) est fournie par l’utilisateur.
En revanche, SAML 2.0 se retrouve en contexte B2B, notamment avec des applications de type SAAS. Sa philosophie consiste à ce qu’un fournisseur de services délègue l’authentification à un fournisseur d’identité. L’autorisation d’accès à l’entreprise est gérée au niveau entreprise.

Quels sont les exemples de cas d’usage où SAML & OAUTH sont associés ?

Fabrice Vazquez : Nous allons voir 3 types d’association :

1 - Associons d’abord SAML & FACEBOOK (OAUTH)
Cette association va permettre à votre utilisateur de s’authentifier avec une identité personnelle et accéder à un service externe sans réauthentification.
Dans ce contexte il faudra utiliser Oauth pour obtenir un identifiant Facebook et utiliser SAML pour véhiculer l’identité vers le service externe.

2 - Puis OAUTH & SAML pour des usages B2B
Cette association va permettre à votre utilisateur de s’authentifier sur une application partenaire avec l’identité de votre entreprise afin qu’il puisse ainsi retrouver son planning, ses contacts,…
Dans ce contexte, la réponse technique sera d’utiliser SAML pour déléguer l’authentification au partenaire. La réponse SAML contient un token Oauth permettant l’accès aux informations sur l’utilisateur.

3 - Et pour finir prenons OAUTH & SAML dans le cloud
Comme dans le cas ci-dessus, cette association permettra à votre utilisateur de s’authentifier sur une application partenaire avec l’identité de son entreprise et retrouver son planning, ses contacts, cette fois stockés dans le cloud.
Cependant, dans ce contexte la réponse technique sera d’utiliser SAML pour déléguer l’authentification et la réponse SAML sera utilisée pour obtenir un token Oauth permettant ainsi l’accès aux informations stockées dans le cloud.

Comment faire si les cas d’usages envisagés nécessitent l’emploi de plusieurs protocoles sur N applications ?

Fabrice Vazquez : La passerelle de fédération permet de présenter un unique point d’accès aux applications tout en fournissant du SSO, que l’application soit interne, dans le cloud ou chez un partenaire (« dépérimétrisation »).Elle adresse différents protocoles afin de fournir une authentification unique malgré l’hétérogénéité des méthodes d’authentification applicatives.
La passerelle de fédération dans le cloud est appelée Identity as a service. Dans le B2C, Facebook s’impose comme l’identité en ligne grâce au Facebook Connect.

L’IAM dans le Cloud ? Comment gérer les identités dans les applications Cloud afin de mettre en place l’authentification unique ?

Fabrice Vazquez : Le SCIM (Simple Cloud Identity Management) définit un moyen de gérer plus simplement les identités dans le cloud via l’usage d’un standard. Il présente un modèle de représentation des utilisateurs/groupes au format JSON/XML et un moyen d’échange sur des protocoles standards (HTTP, SAML, REST API) :

• GET : obtenir une ressource

• POST : créer une ressource

• PUT : Modifier une ressource dans son ensemble

• PATCH : Modifier une ressource de manière partielle

• DELETE : Supprimer une ressource

Le portage possible sur SAML permet de provisionner dynamiquement lors du premier accès tout en garantissant du SSO.

Quelle est la vision d’Harmonie sur l’évolution de la fédération ?

Fabrice Vazquez : Nous constatons que jusqu’à présent ces protocoles, malgré leur existence depuis plusieurs années (7 ans pour SAML), sont peu d’adoptés. Il y a un manque de cas d’usages réellement attendus et qui nécessitent de manière indispensable la fédération.
Cependant, les tendances de fond comme les usages sociaux du web, le développement des usages mobiles ou distants via l’usage de différents terminaux et l’éclatement du SI (Cloud) vont favoriser l’adoption de la fédération des identités.