Comme beaucoup d’autres entreprises, la vôtre souhaite peut-être partager des données sur le Web avec des utilisateurs externes autorisés. Vous aimeriez que ces fournisseurs ou clients puissent, très facilement, se connecter à vos ressources à l’aide de leur compte utilisateur présent, sans être obligés d’établir un compte sur votre système. Mais, bien sûr, vous voulez limiter l’accès aux seuls utilisateurs autorisés.Il existe plusieurs solutions pour exaucer ce désir. L’une d’elles est la fédération d’identités. Windows Server 2003 release 2 (R2) – présenté par Microsoft à la fin de l’année dernière – inclut une solution de fédération d’identités appelée ADFS (Active Directory Federation Services). La fédération d’identités est une technologie complexe dont vous ne connaissez pas forcément les composantes et la terminologie. J’expliquerai brièvement la fédération d’identités et la manière dont votre entreprise pourrait en bénéficier, avant d’introduire ADFS et d’en décrire un exemple simple. Dans un article suivant, je fournirai d’autres informations sur les composantes ADFS, leur mode de fonctionnement et leur mise en place.
Fédération d’identités avec ADFS

La fédération d’identités facilite le partage de données avec des utilisateurs autorisés externes à l’entreprise. Il peut s’agir d’organisations partenaires ou de clients. Ainsi, un fabricant peut vouloir rendre sa base de données de suivi de livraisons accessible aux fournisseurs ; ou une société d’analyse de l’industrie peut souhaiter mettre son référentiel de publications à la disposition des entreprises clientes.
Il existe deux solutions courantes pour offrir ces services : les systèmes de gestion d’accès Web et les courtiers d’identité. La fédération d’identités procure un troisième choix, peut-être le meilleur. Pour construire un système de gestion d’accès au Web, les entreprises se servent généralement de logiciels du commerce. Ce sont, par exemple, eTrust SiteMinder de CA et Oracle Access Manager. Les systèmes de gestion d’accès Classical Web contrôlent l’accès aux ressources d’une organisation en définissant des comptes individuels pour les utilisateurs externes.
Cette méthode présente plusieurs inconvénients : elle n’est pas très évolutive, elle peut alourdir le fardeau administratif et elle n’est pas facile à utiliser par les utilisateurs externes. Ce dernier point vaut surtout si les utilisateurs sont confrontés aux systèmes de gestion d’accès Web de multiples entreprises. Les utilisateurs sont alors obligés de maintenir un compte et des référentiels séparés pour chaque entreprise : cassetête garanti. Il vaut bien mieux donner aux utilisateurs un compte donnant accès aux ressources de différentes entreprises.
C’est l’objectif d’une autre catégorie de solutions à notre problème: les courtiers d’identité. Un exemple bien connu de courtier d’identité Microsoft est Windows Live ID (précédemment connu sous le nom de Microsoft Passport). A dire vrai, les courtiers d’identité ne sont pas non plus une solution parfaite. En effet, peu d’entreprises sous-traitent leur gestion de comptes à une entité externe. Le stockage de comptes dans un référentiel central fait de celui-ci un point d’attaque tout aussi central et un point de défaillance unique.
La troisième solution à notre problème d’accès aux données est la fédération d’identités, qui ne souffre d’aucune des faiblesses des solutions précédentes. La fédération d’identités fournit le SSO (Single Sign-On) aux utilisateurs et permet aux entreprises de garder la maîtrise de leurs propres comptes. De plus, la fédération d’identités ne crée pas de points centraux d’attaque ou de points uniques de défaillance.
En revanche, les solutions de fédération d’identités actuelles sont dépourvues de certaines des fonctions que l’on trouve, par exemple, dans des solutions de gestion d’accès Web telles que l’intégration d’applications aisée et des moyens d’audit et de reporting avancés.
Téléchargez cette ressource

Percer le brouillard des rançongiciels
Explorez les méandres d’une investigation de ransomware, avec les experts de Palo Alto Networks et Unit 42 pour faire la lumière dans la nébuleuse des rançongiciels. Plongez au cœur de l’enquête pour comprendre les méthodes, les outils et les tactiques utilisés par les acteurs de la menace. Découvrez comment prévenir les attaques, les contrer et minimiser leur impact. Des enseignements indispensables aux équipes cyber.
Les articles les plus consultés
- Cybersécurité Active Directory et les attaques de nouvelle génération
- Une baie de stockage c’est quoi ?
- Et si les clients n’avaient plus le choix ?
- Partager vos images, vidéos, musique et imprimante avec le Groupe résidentiel
- N° 2 : Il faut supporter des langues multiples dans SharePoint Portal Server
Les plus consultés sur iTPro.fr
- La cybersécurité, c’est le rôle de tous !
- DORA : quels impacts après les six premiers mois de mise en conformité sur le terrain ?
- Cybersécurité : le secteur de la santé toujours au défi de la sécurité des e-mails
- Attaque Microsoft SharePoint, analyse et recommandations
- Devenir RSSI : quels parcours et de quelles qualités faire preuve ?
