L’espace d’application de la solution (3)

système.

Le mappage d’identité utilise un
serveur de mappage d’identité trusted,
qui enregistre les relations entre entités
comme des gens et des serveurs.
Chaque entité n’a qu’un, et un seul, enregistrement
d’identité, dont la clé primaire
est le nom « réel » de l’entité.
Une table de relations d’identité enregistre
la manière dont chaque entité
est connue par les autres entités du
système.

Soit, par exemple, un réseau dans
lequel John Doe est une vraie personne
et Payroll, Orders, et Accounting
sont des serveurs (figure 4). John Doe
a jdoe comme ID utilisateur sur le serveur
Accounting. Il souhaite également
utiliser le serveur Payroll sur lequel il a
johndoe comme ID utilisateur.

Quand John Doe s’identifie auprès
de Payroll avec l’ID utilisateur jdoe (1),
le serveur Payroll authentifie le mot de
passe en utilisant sa propre base de
données de mots de passe interne. Il
indique ensuite au serveur de mappage
d’identité que l’ID utilisateur jdoe
est authentifiée (2). Le serveur de mappage
d’identité enregistre ce fait dans
sa table de relations.

Peu après, John s’identifie auprès
du serveur Accounting avec l’ID utilisateur
johndoe (3). Le serveur
Accounting interroge le serveur de
mappage d’identité à  propos de johndoe
(4) et le serveur de mappage
d’identité examine l’ID utilisateur
johndoe et constate qu’il appartient au
vrai John Doe et que celui-ci a été authentifié
par le serveur Payroll (5). Le
serveur de mappage d’identité répond
avec cette information. Le serveur
Accounting n’a besoin d’aucune autre
authentification, parce qu’il considère
que le serveur Payroll est un système
trusted. Le serveur de mappage d’identité
enregistre le fait que John Doe est
désormais authentifié par le serveur
Accounting.

Si John Doe par la suite se déconnecte du serveur Payroll, puis veut se
connecter à  un serveur différent, le serveur
de mappage d’identité lui accordera
l’accès parce que John est encore
connecté au serveur Accounting. Tant
que John reste authentifié sur un système,
il peut être authentifié sur n’importe
quel autre système faisant
confiance au premier.

Le mappage d’identité présente un
avantage immédiat : le serveur d’identité
ne stocke aucun mot de passe ; il
s’appuie sur le mécanisme de validation
des mots de passe dans les systèmes
existants. Un utilisateur peut
être validé par la base de données de
mots de passe interne d’un système ou
par le serveur de mappage d’identité
se portant garant de l’utilisateur. On
peut ainsi passer graduellement de
l’ancien modèle « mot de passe dans
chaque système » à  un environnement
de mots de passe uniques, plus centralisé
et plus allégé.

Comme les méthodes des serveurs
d’authentification et des registres centralisés,
celle du mappage d’identité demande que les systèmes mettent en
oeuvre les méthodes d’accès du serveur
de mappage d’identité.
Cependant, comme il se concentre sur
le problème de l’authentification, le
mappage d’identité peut mieux convenir
à  SSO que des registres polyvalents
(comme LDAP). Comme le mappage
d’identité traite le problème de l’exposition
des mots de passe posé par les
proxys d’authentification, il est plus intéressant
pour les organismes de standard
qui doivent gagner l’adhésion des
entreprises et des administrations soucieuses
de sécurité.

Il existe un standard de mappage
d’identité prometteur (quoique propriétaire)
: EIM (Enterprise Identity
Mapping) proposé par IBM. Construit
sur un registre LDAP spécial, EIM permet
les deux mappages d’identité :
d’un utilisateur à  plusieurs serveurs et
de plusieurs utilisateurs à  un serveur.
(Ce dernier n’est généralement pas
considéré comme une bonne pratique
de mappage d’identité, mais IBM le
supporte pour aider les systèmes d’authentification
existants sous forme de
migration.)

EIM n’est pas encore proposé
comme produit, et ses détails internes
sont encore confidentiels, mais IBM a
suffisamment décrit le standard proposé
pour montrer que c’est une solution
viable. IBM promet de le rendre
disponible sur sa gamme iServer
(iSeries, pSeries et xSeries) et pourrait
fort bien annoncer une mouture Unix
open-source également.