La gestion de l'identité en ligne Enjeux et état de l'art Yves LIONS - D1 -Mars 2004
Qu'est ce que l'identité? Une notion de plus en plus utilisée, qui est intuitive,mais qui à l'usage n'est pas simple à définir Souvent ramenée à un problème d'authentification (process par lequel l'usager prouve qu'il est celui qu'il prétend être) et de reconnaissance: Soit d'objet (carte à puce..) ou de code Soit de particularité d'un individu ( empreintes..) Une définition non réductible à l'authentification: ensemble de données mise en ligne par le propriétaire, qui le caractérise et sur lequel il possède des droits: "n de sécu + n de carte visa+ n de compte Orange + n de compte hertz gold+ " D2 - Mars 2004
Les enjeux de sa gestion Pour les fournisseurs de service : la simplification de l'accès et l amélioration de la sécurité, conditions du développement Du e-commerce Mais aussi de l e-administration Pour les internautes: L amélioration de l ergonomie, la fluidite dans la navigation Elle donne aux acteurs qui la maîtrise un levier efficace pour se positionner dans la chaîne de valeur ( pour contrôler les flux) Elle peut être gérée de manière centralisée ou pas Elle soulève des questions importantes de sécurité, de confiance et de protection de la vie privée Garder la confiance du client/consommateur/citoyen Lui garantir la protection de ses droits D3 - Mars 2004
Le quotidien à améliorer: D4 - Mars 2004
Crise d'identité! Joe s Fish Market.Com Tropical, Fresh Water, Shell Fish, Lobster,Frogs, Whales, Seals, Clams D5 - Mars 2004
Les services qu'elle apporte vus du client Le SSO (Single Sign on ou Simplified Sign-On) C'est la facilité offerte à un utilisateur de ne pas se re-identifier ( login) re-authentifier ( password) en changeant de site. C'est à l'évidence un élément ergonomique qui facilite: le commerce en ligne en permettant d'enchaîner des transactions l'activité en permettant d'enchaîner l'accès aux applications dans un contexte d'entreprise D6 - Mars 2004
SSO : Single Sign On ou Simplified Sign on Login? Password? Login? Password? Login? Password? Login? Password? Login? Password? D7 - Mars 2004
Les services qu'elle apporte vus du marchand Le corollaire vu du marchand: il accepte un client authentifié par un autre acteur - donc il prend un risque- et lui rend l'accès plus facile Ce modèle est analogue au Roaming du GSM: c'est le "roaming d'identité" Mais en échange les marchands ont le moyen de relier (de fédérer) les comptes que le client possède chez chacun d'entre eux Sous réserve d'autorisation du client C'est "la mise en commun du client" par les marchands Qui permet d'offrir des services personnalisés et complémentaires sans querelle sur la propriété du fichier client Qui permet des programmes de fidélisation multi sites D8 - Mars 2004
Des comptes fedéres Wanadoo Orange France Telecom D9 - Mars 2004
La gestion fédérée de l'identité L'identité peut être gérée (fonctionnellement) de manière centralisée. Dans ce cas le gestionnaire de l'identité est un point de passage obligé des transactions qui peut entraîner: le risque de prises de positions "monopolistes" ou dominantes l'utilisation de l'identité dans des "domaines limités ", des duplications, un risque de rejet et l'échec! D où l'idée de la gérer de manière fédérée: le client laisse ses données à l'endroit qui lui convient le mieux en permettant qu'elles soient échangées entre fournisseurs de services Ce qui laisse le jeu plus ouvert sur les positionnements des fournisseurs Respecte les systèmes existants Mais impose d'avoir un standard D10 - Mars 2004
Les échanges d'attributs Quand l'identité est répartie et fédérée, les marchands partagent (sous le contrôle de l'utilisateur) les éléments dont ils ont besoin: Je me suis identifié chez Wanadoo Alapage fait confiance à Wanadoo, et ne me demande pas de m' identifier à nouveau Je commande un disque Pour me servir, Alapage a besoin de mon n de carte Il va le chercher chez mon banquier Pour me livrer, Alapage a besoin de mon adresse Il va la chercher chez FT car mon adresse de livraison est mon adresse de facturation téléphonique D11 - Mars 2004
Quelques concepts: Cercle de Confiance (COT, Circle of Trust): Ensemble des sites ayant signé un accord entre eux pour accepter les clients sans re-authentification Modèle inspiré des accords de la GSM association Permet le roaming d'identité Fournisseur d'identité (IdP, Identity Provider) Site que le client a déclaré comme étant celui qui est sa référence d'identification/authentification dans le COT Fournisseur de services (SP, service provider) Site offrant des services ayant besoin de l'identité du client. Ces deux derniers concepts correspondent à des rôles définis pour la formalisation des protocoles. En pratique ils peuvent bien sûr être confondus. D12 - Mars 2004
Fonctionnement du SSO: partager l'identification/authentification xyz.com service provider 4. L'utilisateur peut consommer le service. 2. Le Service Provider demande à L'identity Provider d'authentifier l'utilisateur. monportail.com identity provider 1. L'utilisateur demande l'accès à un service. 3. l'identity Provider confirme l'identité de l'utilisateur. D13 - Mars 2004
Liberty : partage d attributs Fournisseur d'attribut Fournisseur d'attribut Fournisseur d'attribut Requête de demande d attributs + Déclaration d usage 5 6 Attributs demandés + Directives d usage Fournisseur d'identité (IDP) "annuaire " 4 3 Fournisseur de Service 1 2 (4) Réponse du DS : - L adresse de l AP fournisseur pour ce service et cet utilisateur - Identifiant à fournir à l AP - Jetons de «sécurité» D14 - Mars 2004
Le paysage normatif et industriel: Un précurseur en gestion centralisée: Passport de Microsoft Liberty Alliance : un standard ouvert pour une gestion fédérée 150 membres parmi lesquels des constructeurs et des utilisateurs Produit des spécifications à partir de "use cases" A établit des "liaisons formelles" avec les les organismes de standardisation du monde mobile(open Mobile Association) Des protocoles communs avec OASIS (Organization for the Advancement of Structured Information Standards) WS* : Axée sur l'utilisation des Web services, rencontre Liberty sur le terrain des Identity Web services Une démarche technique d' IBM rejoint par Microsoft Orientée B2B En partie propriétaire Roadmap produits inconnues D15 - Mars 2004
Une alliance diversifiée fondée en decembre 2001 Management Board Sponsors D16 - Mars 2004
Les premieres réalisations de Liberty, 3 ensembles de spécifications : ID-FF: IDentity Federation Framework: système de base permettant de "fédérer des identités" ou de relier des comptes relatifs à une même Identité et d'assurer au titulaire de ces comptes le "SSO" entre les services correspondants Al'interieur d'un COT:janvier 2003 De manière " transitive":novembre 2003 ID-WSF, IDentity Web Service Framework: spécification des services d'infrastructures (entre autres "l'annuaire", sécurité, gestion des droits ) nécessaires à un fournisseur de service (SP) pour demander les attributs dont il ne dispose pas Novembre 2003 ID-SIS, IDentity Service Interface Specification: spécification des formats des attributs demandés par les fournisseurs de services. En cours D17 - Mars 2004
La protection du consommateur et du citoyen 1/2 Au plan européen le "Working Party art 29" (ensemble des CNIL) a établit de premières recommandations pour les services en ligne: " Both those who design and those who actually implement on-line authentication systems (authentication providers) bear responsibility for the data protection aspects, although at different levels. - - The use of identifiers, whatever form they take, entails data protection risks. Full consideration should be given to all possible alternatives. If user identifiers are indispensable, the possibility of allowing the user to refresh the identifier should be considered. - The adoption of software architecture that minimises the centralisation of personal data of the Internet users would be appreciated and encouraged as a means of increasing the faulttolerance properties of the authentication system, and of avoiding the creation of high added-value databases owned and managed by a single company or by a small set of companies and organisations. - Users should have an easy means to exercise their rights (including their right to opt-out) and to have all their data deleted if they decide to stop using an on-line authentication system. They should also be adequately informed about the procedure they should follow if they have enquiries or complaints." D18 - Mars 2004
La protection du consommateur et du citoyen 2/2 Liberty s'est doté dès sa fondation d'un Public Policy expert group Un domaine crucial mais où les programmes de recherche sont sans doute encore insuffisants sur: L'acceptabilité par les consommateurs les techniques de gestion des droits D19 - Mars 2004