Qu’est-ce que la gestion des identités et des accès (IAM) ?

  • Article

Dans cet article, vous allez découvrir certains des concepts fondamentaux de la gestion des identités et des accès (IAM), pourquoi elle est importante et comment elle fonctionne.

La gestion des identités et des accès garantit que les personnes, machines et composants logiciels appropriés ont accès aux ressources appropriées au bon moment. Tout d’abord, la personne, la machine ou le composant logiciel prouve qu’il est celui qu’il prétend être. Ensuite, la personne, la machine ou le composant logiciel est autorisé ou non à accéder à certaines ressources ou à les utiliser.

Pour en savoir plus sur les termes et concepts de base, consultez Notions de base sur les identités.

Que fait l'IAM ?

Les systèmes IAM fournissent généralement les fonctionnalités de base suivantes :

  • Gestion des identités : processus de création, de stockage et de gestion des informations d’identité. Les fournisseurs d’identité (IdP) sont des solutions logicielles utilisées pour suivre et gérer les identités des utilisateurs, ainsi que les autorisations et les niveaux d’accès associés à ces identités.

  • Fédération des identités : vous pouvez autoriser les utilisateurs qui ont déjà des mots de passe ailleurs (par exemple, dans votre réseau d’entreprise ou avec un fournisseur d’identité Internet ou social) à accéder à votre système.

  • Approvisionnement et déprovisionnement des utilisateurs : processus de création et de gestion des comptes d’utilisateur, qui comprend la spécification des utilisateurs ayant accès aux ressources et l’attribution d’autorisations et de niveaux d’accès.

  • Authentification des utilisateurs : authentifiez un utilisateur, une machine ou un composant logiciel en confirmant qu’il s’agit de la personne que celle-ci prétend être. Vous pouvez ajouter l’authentification multifacteur (MFA) pour des utilisateurs individuels pour plus de sécurité ou l’authentification unique (SSO) afin de permettre aux utilisateurs d’authentifier leur identité avec un seul portail au lieu de nombreuses ressources différentes.

  • Autorisation des utilisateurs : l'autorisation permet de s'assurer qu'un utilisateur se voit accorder le niveau et le type d'accès à un outil auxquels il a droit. Les utilisateurs peuvent également être fractionnés en groupes ou en rôles afin que de grandes cohortes d’utilisateurs puissent se voir accorder les mêmes privilèges.

  • Contrôle d’accès : processus permettant de déterminer qui ou ce qui a accès à quelles ressources. Cela inclut la définition des rôles et des autorisations d’utilisateur, ainsi que la configuration des mécanismes d’authentification et d’autorisation. Les contrôles d’accès régissent l’accès aux systèmes et aux données.

  • Rapports et surveillance : générez des rapports après les actions effectuées sur la plateforme (comme l’heure de connexion, l’accès aux systèmes et le type d’authentification) pour garantir la conformité et évaluer les risques de sécurité. Obtenez des informations sur la sécurité et les modèles d’utilisation de votre environnement.

Fonctionnement d’IAM

Cette section fournit une vue d’ensemble du processus d’authentification et d’autorisation, ainsi que des normes plus courantes.

Authentification, autorisation et accès aux ressources

Supposons que vous ayez une application qui connecte un utilisateur, puis accède à une ressource protégée.

Diagram that shows the user authentication and authorization process for accessing a protected resource using an identity provider.

  1. L’utilisateur (propriétaire de la ressource) lance une requête d’authentification auprès du fournisseur d’identité/serveur d’autorisation à partir de l’application cliente.

  2. Si les informations d’identification sont valides, le fournisseur d’identité/serveur d’autorisation envoie d’abord un jeton d’ID contenant des informations sur l’utilisateur à l’application cliente.

  3. Le fournisseur d’identité/serveur d’autorisation obtient également le consentement de l’utilisateur final et accorde à l’application cliente l’autorisation d’accéder à la ressource protégée. L’autorisation est fournie dans un jeton d’accès, qui est également renvoyé à l’application cliente.

  4. Le jeton d’accès est attaché aux demandes ultérieures adressées au serveur de ressources protégé à partir de l’application cliente.

  5. Le fournisseur d’identité/serveur d’autorisation valide le jeton d’accès. En cas de réussite, la requête de ressources protégées est accordée et une réponse est renvoyée à l’application cliente.

Pour plus d’informations, consultez Authentification et autorisation.

Normes d’authentification et d’autorisation

Il s’agit des normes d’authentification et d’autorisation les plus connues et les plus couramment utilisées :

OAuth 2.0

OAuth est un protocole de gestion des identités aux normes ouvertes qui fournit un accès sécurisé aux sites web, aux applications mobiles, à l’Internet des objets et à d’autres appareils. Il utilise des jetons chiffrés en transit et élimine la nécessité de partager des informations d’identification. OAuth 2.0, la dernière version d’OAuth, est une infrastructure populaire utilisée par les principales plateformes de réseaux sociaux et les services grand public, de Facebook et LinkedIn à Google, PayPal et Netflix. Pour en savoir plus, lisez le protocole OAuth 2.0.

OpenID Connect (OIDC)

Avec la publication d’OpenID Connect (qui utilise le chiffrement à clé publique), OpenID est devenu une couche d’authentification largement adoptée pour OAuth. Comme SAML, OpenID Connect (OIDC) est largement utilisé pour l’authentification unique (SSO), mais OIDC utilise REST/JSON au lieu de XML. OIDC a été conçu pour fonctionner avec des applications natives et mobiles à l’aide de protocoles REST/JSON. Toutefois, le principal cas d’usage de SAML est celui des applications web. Pour en savoir plus, consultez protocole OpenID Connect.

Jetons web JSON (JWT)

Les JWT sont une norme ouverte qui définit un moyen compact et autonome de transmettre de manière sécurisée des informations entre des parties en tant qu’objet JSON. Les JWT sont vérifiables et fiables car ils sont signés numériquement. Ils peuvent être utilisés pour transmettre l’identité des utilisateurs authentifiés entre le fournisseur d’identité et le service qui demande l’authentification. Ils peuvent également être authentifiés et chiffrés. Pour plus d’informations, consultez Jetons web JSON.

SAML (Security Assertion Markup Language)

SAML est une norme ouverte utilisée pour échanger des informations d’authentification et d’autorisation entre, dans ce cas, une solution IAM et une autre application. Cette méthode utilise xml pour transmettre des données et est généralement la méthode utilisée par les plateformes de gestion des identités et des accès pour accorder aux utilisateurs la possibilité de se connecter à des applications qui ont été intégrées à des solutions IAM. Pour plus d’informations, consultez Protocole SAML.

System for Cross-Domain Identity Management (SCIM)

Créé pour simplifier le processus de gestion des identités des utilisateurs, le provisionnement SCIM permet aux organisations d’opérer efficacement dans le cloud et d’ajouter ou de supprimer facilement des utilisateurs, ce qui profite aux budgets, réduit les risques et simplifie les flux de travail. Le SCIM facilite également la communication entre les applications cloud. Pour en savoir plus, lisez Développer et planifier le provisionnement pour un point de terminaison SCIM.

Web Services Federation (WS-Fed)

WS-Fed a été développé par Microsoft et largement utilisé dans leurs applications, cette norme définit la façon dont les jetons de sécurité peuvent être transportés entre différentes entités pour échanger des informations d’identité et d’autorisation. Pour plus d’informations, consultez Web Services Federation Protocol.

Étapes suivantes

Pour en savoir plus, consultez :