Le service SSI

Les sites Web participants affichent
un lien .NET Passport Sign In officiel,
que montre la figure 2. Quand un utilisateur
clique sur le lien, le site Web
utilise la méthode de redirection
HTTP pour rediriger le navigateur de l’utilisateur vers le serveur .NET
Passport Login. La redirection inclut
une URL serveur Login (http://login.
passport. com/login.srf, par exemple)
suivie d’une chaîne de requête. La
chaîne de requête commence par un
point d’interrogation (?) et contient le
code de langage du site Web, l’ID,
l’URL de retour, et d’autres données dont le serveur Login a besoin. Le serveur
Login utilise l’ID et l’URL de retour
pour vérifier que le site Web est
enregistré auprès de .NET Passport,
puis affiche une page sign-in .NET
Passport standard. Le site Web peut associer
sa marque à  cette page, comme
le montre la figure 3. Une page sign-in
co-marquée inclut le logo du site Web
participant, le dessin de page personnalisé,
et d’autres informations. (Les
sites Web peuvent aussi intégrer la
boîte de dialogue sign-in dans leurs
sites, une méthode que Microsoft appelle
inline sign-in.)

L’utilisateur entre son accréditation
.NET Passport (c’est-à -dire,
adresse e-mail et mot de passe) dans la
boîte de dialogue .NET Passport Signin.
Si l’utilisateur a signé auprès de
.NET Passport avant cette session
Internet particulière, le navigateur s’en
souvient et entre automatiquement
l’adresse e-mail de l’utilisateur sauf si
celui-ci a coché la case I’m using a public
computer dans la boîte de dialogue
Sign-in, auquel cas le navigateur
n’a pas enregistré l’adresse e-mail. Si
l’utilisateur coche la case Sign me in
automatically, le navigateur se souvient
de l’accréditation de l’utilisateur de sorte que celui-ci n’aura pas besoin
d’entrer un mot de passe manuellement
à  sa prochaine connexion.

Après avoir entré l’accréditation,
l’utilisateur clique sur Sign in dans la
boîte de dialogue Sign-in. Cette action
crée une requête d’authentification de
l’utilisateur, utilise la méthode HTTP
POST pour imputer l’information d’accréditation
à  la requête, établit une
connexion SSL avec le serveur .NET
Passport Login, puis soumet la requête
d’authentification de l’utilisateur et
l’accréditation cryptée au serveur
Login. La page Sign-in communique
toujours avec le serveur Login par l’intermédiaire
de SSL, et le site Web participant
ne reçoit pas l’accréditation –
seul le serveur Login la reçoit.

Le serveur Login authentifie ensuite
l’accréditation par rapport à  la
base de données des comptes de .NET
Passport et détermine si une entrée de
la base de données correspond à  l’accréditation.
Si un utilisateur entre un
mot de passe incorrect cinq fois consécutives,
le serveur Login verrouille le
compte pendant 5 minutes. Après une
authentification réussie, le serveur
Login extrait le PUID et l’information
de profil utilisateur appropriée (selon ce que l’utilisateur a accepté de dévoiler
aux sites Web participants) à  partir
de la base de données. Le serveur
Login crée cinq cookies .NET Passport
puis les écrit dans le navigateur de l’utilisateur
afin que, pendant la session
Internet, le serveur puisse identifier le
PUID de l’utilisateur, la dernière heure
de sign-in, une liste des sites pour lesquels
l’utilisateur a signé, l’information
de profil utilisateur, et d’autres informations
fournies par l’utilisateur. Le
serveur Login crypte le PUID, la dernière
heure de sign-in, et l’information
de profil utilisateur dans les cookies. Le
serveur Login réachemine alors le navigateur
de l’utilisateur vers l’URL de retour.
Le serveur Login crypte le PUID et
l’information de profil utilisateur partageable
au moyen de la clé de cryptage
du site attribuée par .NET Passport du
site Web, puis ajoute le PUID crypté et
l’information à  la chaîne de requête
qu’il renvoie à  l’URL de retour.

Le site Web extrait le PUID crypté
et l’information de profil utilisateur de
la chaîne de requête puis décrypte l’information
à  l’aide de la clé du site.
Ensuite, le site Web crée et crypte deux
cookies .NET Passport propres au site
contenant le PUID de l’utilisateur,
l’heure de sign-in et l’information de
profil, et écrit les cookies dans le navigateur
de l’utilisateur. Le site Web utilise
ces deux cookies pendant la session
courante.

Après que l’utilisateur se soit
connecté correctement à  un site Web
participant, le site affiche le lien .NET
Passport Sign Out officiel, illustré figure
4. Le site Web participant, et non
.NET Passport, met en oeuvre l’autorisation
ou l’accès utilisateur aux ressources
ou services du site. Pour des
raisons de sécurité, un sign-in authentifié
à  un site Web participant a une durée
de vie limitée – 4 heures par défaut.
Quand la durée de vie expire, l’utilisateur
doit signer à  nouveau.

Après que l’utilisateur ait signé
dans .NET Passport à  un site Web participant,
l’utilisateur n’a pas besoin de
réentrer l’accréditation sur les autres sites participants qu’il visite pendant la
session Internet courante, sauf si les
autres sites Web demandent aux utilisateurs
de réentrer l’information de
sign-in comme mesure de sécurité
supplémentaire. Le serveur Login vérifie
en silence les sites supplémentaires,
détermine à  partir des cookies dans le
navigateur de l’utilisateur que l’utilisateur
a déjà  signé, met à  jour les
cookies, puis envoie le PUID crypté et
l’information de profil utilisateur partageable
aux sites supplémentaires
comme je l’ai décrit précédemment.

Pour se déconnecter, l’utilisateur
clique sur le lien Sign Out. La fonction
sign-out ordonne au serveur Login de
supprimer les cookies de .NET
Passport et déclenche un script qui demande
à  chaque site visité de supprimer
les cookies propres au site. Tous
les cookies de .NET Passport sont temporaires.
Par conséquent, même si
l’utilisateur ne s’est pas déconnecté,
son navigateur supprimera les cookies
quand l’utilisateur fermera le navigateur.
Toutefois, si l’utilisateur a activé le
sign-in automatique, il doit cliquer sur
le lien Sign Out pour supprimer les
cookies.

Il n’y a aucune communication directe
entre un site Web participant et le
serveur Login. Toute la communication
s’effectue par l’intermédiaire du navigateur
de l’utilisateur (c’est-à -dire par
les redirections HTTP, les chaînes de
requêtes, et HTTP POST).