La fédération d identité Contexte, normes, exemples Le 10 mai 2011 Communication, reproduction ou utilisation interdites sauf autorisation préalable d Arismore. No communication, reproduction or use without prior approval from Arismore
Plan de la présentation Tour d horizon des moteurs de la fédération Pour les entreprises Pour le grand public Aperçu des différentes normes SAML, WS-Fed/Microsoft, OpenID, OAuth/Facebook, X.509 Exemples Grand public : Facebook, impôts, commentaires B2C : Un cas d école B2B : La vraie vie Du côté des gouvernements 2
Les moteurs 3
Moteur n 1 Le Web SSO face au Cloud Computing 1er épisode : multiplication des noms de domaine périmètre Enterprise : mpe.fr App App res.saas.fr App App Pourquoi? Marketing Filiales jalouses Externalisation de service App Auth Contexte de confiance? 4
Moteur n 2 L identité en profondeur L utilisateur comme client du Web Service (ce n est pas encore ça ) périmètre Enterprise : mpe.fr App App res.fourn.fr App App App Auth App Pourquoi? Audit Mutualisation Contexte de confiance? 5
Moteur n 3 Réseaux sociaux Apparition de nombreux sites ou une identification est nécessaire Constitution de réseaux sociaux et des écosystèmes Voyage SNCF Flickr Facebook MySpace blogs News Navigation peu aisée... Accumulation d informations personnelles 6
Et aujourd hui? En synthèse, pourquoi la fédération? Sécurité $ Confort efficacité Coûts d administration Simplification Architecture 7
Les normes 8
SAML Le standard de facto de fédération Protocole 1 4 3 Service SP 2 identité Données IdP Fournisseur d identité confiance 9
WS-Federation Le standard de Microsoft Protocole 1 4 3 Service RP 2 identité Données IP/STS Fournisseur d identité confiance 10
OpenID La solution à la recherche d un problème Protocole 1? url 4 3 Service RP 2 confiance identité Données Données OP Fournisseur d identité 11
Facebook / OAuth De la sécurisation des API à un protocole de fédération Protocole 1? 4 3 Service 2 identité Données Facebook confiance 12
X.509 (Carte à puce) L authentification mais pas les attributs 2 1 Service Vérification certificat confiance Fournisseur d identité 13
Exemples d implémentation 14
Dans le grand public commentaires, enregistrement, déclarations, journal Pour les élections locales de l'etat d'australie du Sud du 20 mars 2010, les commentaires sur les sites d'actualité parlant de l'élection devaient être signés du vrai nom de leur auteur (avec le code postal). 15
Flickr et Facebook Un exemple de navigation et les questions afférentes 16
Dans le monde telco Architecture logique d un exemple presque parfait SiteMinder Federation Security Services SiteMinder WAM Portail Opérateur LASSO OpenSAML SP 1 (PHP) SP 2 (Java) Module de fédération SiteMinder WAM PingFederate SP 5 (java) Portail Opérateur «Service Provider» «Identity Provider» Briques de fédération SAML 2.0 pour Service Provider OpenSAML PingFederate LASSO 17
Dans l industrie La dure vie Clients Clients Clients A IdP pep portail pep service pep service pep service pep portail IdP B Joint venture IM IM 18
Initiatives gouvernementales 19
INES, IDéNum, CNIe Les arlésiennes, filles de Roland Moreno 1999-2008 : INES, un parcours chaotique 2010/01 : Lancement d IDéNum 2010/05 : Publication du RGS 2010/06 : RdV d étape... 2010/12 : L ANTS et le GIXEL publient des documents techniques autour de l accès anonyme 2010/07 : Proposition de loi relative à la protection de l'identité 2011/04 : Débat sur la loi reporté Une constante : la carte à puce 20
Les projets d identité un long fleuve tranquille 2003 : L OMB publie les niveaux de confiance LoA 1 à 4 Level 1: Little or no confidence in the asserted identity s validity. Level 2: Some confidence in the asserted identity s validity. Level 3: High confidence in the asserted identity s validity. Level 4: Very high confidence in the asserted identity s validity. 2006 : NIST publie SP 800-63 (v1.0.2) 2009 : L ICAM sollicite les fondations InfoCard et OpenID 2010 : Le résultat est l Open Identity Trust Framework et OIX : le premier OITF trust framework provider 21
Alors, comment ça marche? Exemple: le profil GSA 22
Conclusion 23
Une situation contrastée La maturité de SAML, le reste en devenir Sur le front inter-entreprises, des solutions existent, matures, mais les déploiements sont finalement peu nombreux et pas toujours simples. Sur le front des réseaux sociaux, Facebook Connect est bien installé. Sur le front gouvernemental, des cheminements différents en France et aux US. Les US ont adopté une démarche ouverte, prudente, logique La France est partie directement sur un niveau d assurance fort 24
Dans les années qui viennent «La prédiction est difficile, surtout lorsqu'il s'agit de l'avenir»* SAML est là pour durer. Dans le contexte entreprise, il est bien installé et c est une valeur sure pleinement reconnue par le marché. De nombreux projets devraient démarrer en 2011/2012. Côté grand public, le marché pourrait se transformer profondément avec l entrée des navigateurs dans la fête, avec en tête Firefox, dans le cas improbable ou Facebook perdrait de son attrait. Côté gouvernements, reste à voir qui sera équipé et à quelle échéance. La carte à puce ne devrait pas bouleverser le paysage dans les années à venir. *Niels Bohr 25