Enregistrez-vous sur www.info-utiles.fr    Connexion
    
Menu principal
Navigation dans les sujets
Arlo

Sécurité : L’identité est désormais la clé de voûte de la sécurité informatique
Posté par JPilo le 8/1/2014 13:00:00 Articles du même auteur

Nul ne serait surpris d’apprendre que les frontières traditionnelles de la sécurité informatique n’existent plus. La migration des applications vers le cloud, la mobilité universelle et l’essor de l’accès tiers à des ressources sensibles sont des tendances sources de défis pour les DSI du monde entier.

Les applications cloud et les appareils mobiles ont effacé les contours de la sécurité sur lesquels l’entreprise se fondait depuis longtemps. Ces tendances émergent alors que les DSI sont censées gagner en efficacité et générer de la valeur ajoutée avec des réductions d’effectifs et une explosion du nombre d’utilisateurs et d’applications.

Que faut-il pour faire face à cette évolution de la sécurité ?

Il faut un ensemble de protocoles modernes pour la gestion des identités adaptés à de nouveaux modèles de développement Web. Cet ensemble moderne de protocoles repose sur des normes et des infrastructures orientées développeur comme REST et JSON (JavaScript Object Notation).

Ces normes comprennent SCIM (System for Cross-Domain Identity Management), OAuth, OpenID Connect et l’incontournable SAML (Security Assertion Markup Language). Ce jeu de protocoles s’avère nécessaire à une gestion évolutive des utilisateurs et donc crucial pour tout mandat de conformité.

Approfondissons un peu le rôle de chaque norme :

SCIM (System for Cross-Domain Identity Management)

L’accès des utilisateurs aux applications est impossible sans créer une identité utilisateur.

L’entreprise se débat avec des systèmes d’attribution exclusifs friables car ils ne gèrent pas l’évolution des applications ou systèmes d’exploitation.

Les premiers projets axés sur SPML (Service Provisioning Markup Language) ayant échoué à cause de la complexité, SCIM offre un jeu de commandes simple pour créer, lire, actualiser et supprimer.

SCIM est une norme orientée développeur qui exploite REST et JSON, remplaçant des mécanismes d’attribution propriétaires ou manuels coûteux.

 

Les fournisseurs de services utilisent déjà SCIM 1.0, ainsi que des produits IAM. L’organisme de normalisation IETF a presque achevé la définition de la version 2.0 du protocole SCIM.

SAML (Security Assertion Markup Language)

Créée il y plus de 10 ans, SAML est la norme d’identité la plus utilisée en entreprise. Il s’agit de la méthode de fait pour l’authentification Web et SSO des applications SaaS. Les entreprises l’utilisent également pour la connexion à diverses applications, comme celles intégrées suite à une fusion ou acquisition.

La norme SAML s’avère pérenne et offre une solution privilégiée pour l’authentification SSO Web, car un très grand nombre d’applications et de systèmes d’identification la gèrent.

En outre, elle permet l’authentification SSO sans dépendre de noms d’utilisateur et mots de passe, que l’on peut facilement dérober et utiliser pour des transactions illicites et des atteintes à la sécurité des données.

Enfin, elle permet l’accès à grande échelle en éliminant les réinitialisations de mot de passe dans l’application cible. SAML demeure la norme référence pour l’authentification utilisateur Web et SSO.

OAuth 2.0

Quid des applications mobiles natives, souvent dénuées de fonctionnalité Web ? C’est là qu’OAuth 2.0 entre en scène.
OAuth 2.0 est une norme permettant à des applications mobiles natives d’accéder à des ressources au nom de l’utilisateur. Il s’agit d’un protocole orienté API qui exploite REST et JSON.

Il est intégré à de nombreuses applications SaaS comme Facebook, Google, Yahoo, à des infrastructures de cloud comme Windows Azure Active Directory et à des logiciels IAM modernes, notamment ceux qu’offre ma société Ping Identity.

Pour l’entreprise, OAuth est un gage d’accès authentifié aux applications mobiles natives et gagne en adoption chez les développeurs et éditeurs d’applications SaaS. La norme de base OAuth 2.0 est finalisée et approuvée par l’IETF (Internet Engineering Task Force).

Alors qu’OAuth est la norme de fait de l’authentification pour les applications hors Web, il manque un cadre pour l’enregistrement flexible de ces applications, impératif si elles ont accès à des ressources d’entreprise. En outre, OAuth exige une infrastructure élargie de gestion des identités pour assurer une authentification unique des utilisateurs dans de nombreuses applications.

OpenID Connect

OpenID Connect vise à aider à relever les défis que présente OAuth. Reposant sur l’architecture OAuth, ce protocole permet une identification à grande échelle en offrant un processus d’enregistrement automatisé pour les applications et un processus de recherche pour les systèmes d’authentification.

Compte tenu de ses racines, OpenID Connect simplifie le flux d’authentification OAuth comme aucun autre protocole.
La définition de la norme est pratiquement terminée et fait à présent l’objet d’un examen final par l’OpenID Foundation, l’approbation définitive étant attendue vers le début 2014.

L’adoption est déjà en cours. Le 23 octobre, Google a informé ses partenaires du retrait progressif d’OpenID 2.0 et OAuth 1.0 au profit d’OpenID Connect. Ce changement va obliger les sites Web qui acceptent des ID Google pour la connexion à évoluer vers la spécification. Salesforce et Microsoft figurent parmi les autres acteurs à gérer OpenID Connect et les éditeurs de logiciels IAM appuient également ce changement.

L’adoption du protocole le dirige vers le périmètre d’infrastructure des opérateurs mobiles, les projets d’identification soutenus par les pouvoirs publics en Europe et aux États-Unis, ainsi que les déploiements de clouds hybrides en entreprise.

Conclusion Patrick Harding, CTO de Ping Identity

L’adoption de ce jeu de protocoles dépasse largement le cadre des environnements de laboratoire et de bêta test. Les fondations sont posées et le déploiement à grande échelle s’avère omniprésent.
Les fournisseurs de services et les architectes en sécurité d’entreprise peuvent observer le rôle vital de l’identité dans un monde connecté englobant chaque employé, appareil et application.

Le seul moyen d’adapter l’accès et la sécurité à travers ce monde connecté réside dans la normalisation. Le cloud, la mobilité et les réseaux sociaux transformant l’entreprise moderne, l’identité forme une base cruciale pour relever les défis.

Note: 0.00 (0 votes) - Noter cet article -




Autres articles
27/1/2023 15:00:00 - World War Z : Aftermath : Le mode Horde XXL
27/1/2023 14:00:00 - Football Manager 2023 Console : 1er février, PlayStation 5
27/1/2023 13:00:00 - AOC série P3 : Webcam à reconnaissance faciale, station USB-C
25/1/2023 15:00:00 - Transition agroécologique et grandes cultures !
25/1/2023 14:00:00 - Les assurances cyber sont-elles toujours viables en 2023
25/1/2023 13:00:00 - Le Cloud Computing : quels sont ses risques ?
23/1/2023 15:00:00 - Transport Fever 2 : Deluxe Edition, 9 mars sur PC, Mac et Linux/Steam OS
23/1/2023 14:00:00 - Monster Hunter Rise : Xbox et PlayStation.
23/1/2023 13:00:00 - Philips Evnia 27M2C5500W : les règles du jeu
20/1/2023 15:00:00 - Company of Heroes 3 : Britanniques et alliés du Commonwealth, vidéo !

Les commentaires appartiennent à leurs auteurs. Nous ne sommes pas responsables de leur contenu.



Facebook
facebook
Bitdefender



Bitdefender

Pocketalk
Arlo





© 2008 info-utiles.fr - Tous droits réservés  |  hébergé par www.iloclic.com   - règles de confidentialité