3. 3#mpclinid2014
Pourquoi la fédération des identités ?
● Le SSO est un moyen d'unifier l'authentification au sein d'une
organisation
● L'utilisateur ne choisit pas sur quelles applications il souhaite avoir du
SSO
● L'utilisateur a la même identité sur chaque application
● Vie privée ? Anonymat ?
● L'utilisateur doit pouvoir :
– Posséder des identités différentes sur des services différents (Clément OUDOT
chez Google, Mon Petit Chou sur Meetic)
– Choisir de relier une identité à une autre pour faire du SSO sur un service
– Briser le lien a posteriori
6. 6#mpclinid2014
Fédération et protocoles
● La fédération d'identité permet de créer des cercles de confiance entre
fournisseurs de service et fournisseurs d'identités
● Les comptes des différents fournisseurs de services peuvent être fédérés
avec le compte du fournisseur d'identité (ce compte est appelé principal)
● Chaque fournisseur de service dialogue alors avec le fournisseur
d'identité pour s'assurer que l'utilisateur est bien reconnu sur le cercle
de confiance
● Les standards d'origine SAML1, Liberty Alliance et Shibboleth convergent
aujourd'hui vers SAML2
● SAML gère également la déconnexion (Single Logout), l'échange
d'attributs, l'autorisation...
9. 9#mpclinid2014
Cinématique SAML 2.0
1. Premier accès à l'application
IDP SAML
SP SAML
2. Authentification sur le serveur
SAML choisi par l'utilisateur et
autorisé dans le cercle de
confiance
3. Réponse SAML
IDP SAML IDP SAML