En centralisant l’authentification des applications et des utilisateurs, un serveur OpenID Connect permet de contrôler parfaitement l’accès aux informations sensibles.
Intervenant au niveau applicatif, un serveur d’authentification complète dans la profondeur le contrôle d’accès effectué au niveau réseau.

OAuthSD, développé par i-Tego, est au centre de toute notre activité et de nos réalisations, ce qui justifie notre expertise dans le domaine de l’authentification.

La connexion unique

Un serveur d’authentification est généralement connu comme étant le moyen d’assurer la connexion unique (Single Sign On, SSO). Dans cette utilisation, les utilisateurs s’enregistrent une seule fois pour se connecter à différentes applications. Celles-ci délèguent l’identification des utilisateurs au serveur d’authentification. Ainsi, les identifiants de l’utilisateur et ses données personnelles sont détenues par le serveur, ce qui permet de les sanctuariser plutôt que de les voir disséminées.

L’authentification au niveau applicatif : principe

On voit souvent en OpenID Connect un simple système de connexion unique (Single Sign On, SSO), mais c’est passer à côté de toute la puissance du procédé.
Lorsqu’une application a besoin d’authentifier l’utilisateur ( par exemple pour accéder à des données protégées ), elle s’adresse au serveur OpenID Connect. Celui-ci identifie l’application en échangeant avec elle un code d’autorisation.
Le serveur identifie l’utilisateur de l’application et détermine ses droits sur cette application. Dans certaines configurations, l’utilisateur donne son consentement pour autoriser l’application à utiliser tout ou partie de ses données personnelles.

Il en résulte une authentification, liant en un objet infalsifiable et transmissible appelé Jeton d’Identité ( ID Token ) : l’utilisateur et ses données personnelles, l’application et les droits de l’utilisateur sur l’application ( ou vice-et-versa ).

Le Jeton d’identité permet à l’application d’accéder aux ressources protégées, ou à d’autres applications, pour obtenir des données ou les modifier en fonction des droits de l’utilisateur.

Cela permet d’appliquer les principes de l’Accès "zéro-confiance" au réseau (ZTNA) : n’accorder aux utilisateurs que les privilèges justes nécessaires et leur permettre d’accéder aux données dont ils ont besoin.

Un serveur dédié

OAuthSD (OpenID Connect OAuth Serveur Dédié) est conçu pour être installé dans l’infrastructure informatique d’une entreprise. Ceci est essentiel pour assurer une parfaite protection des données personnelles et celle de l’entreprise en évitant de faire appel à des ressources extérieures.

Notre serveur d’authentification présente une structure modulaire permettant d’intégrer toute donnée et de la certifier par une signature cryptographique. Il donne aux applications comme aux ressources protégées le moyen d’en vérifier la validité. Il est alors possible d’appliquer l’approche ZTNA prescrivant de ne donner aux utilisateurs qu’un accès minimum aux données selon leurs autorisations.

Notons que cette modularité permet d’intégrer des données d’identification et de droits que l’entreprise utiliserait déjà au niveau du réseau. Il est ainsi possible d’utiliser un service d’identification existant tel qu’un annuaire LDAP ou un système d’identification par carte de façon transparente, sans rien changer à la gestion des utilisateurs. Nous développons également pour ce serveur des solutions d’identification sans mot de passe.

Pour en savoir plus sur OAuthSD :

– Le site d’OAuthSD
– OAuthSD : Découvrir
– OAuthSD : Développer
– OAuthSD : Utiliser
– OAuthSD : Tests et certification

Aller à l’essentiel :
– Les flux d’autorisation (Grant Type)
– Les points d’entrée (Endpoint)