Javascript is actually
a good thing!
Make sure it's turned on
so that pingidentity.com can work properly.
Gestion des identités fédérées | Ping Identity
Fondamentaux de la Gestion des Identités
Expand All | Collapse All
Orchestration des Identités
Gestion des Identités et des Accès
Fournisseurs d’identité et fournisseurs de service
Gestion Centralisée et Décentralisée des Identités
Sécurité Zero Trust
Authentification
Autorisation
Méthodes d’autorisation
Provisioning des utilisateurs et des comptes
Comment le single sign-on fonctionne avec un annuaire
l’Autorisation Dynamique
Standards d’authentification et d’autorisation
SAML
OAuth
OpenID Connect (OIDC)
Protocoles d’authentification et d’autorisation
LDAP
SCIM
WebAuthn
Kerberos
WS-Trust

Gestion des identités fédérées

 

La gestion des identités fédérées (FIM) est un système qui permet à des utilisateurs dans des organisations distinctes d’accéder aux mêmes réseaux, applications et ressources en utilisant une seule paire d’identifiants. Chaque organisation conserve ses propres systèmes de gestion des identités, qui sont liés à un fournisseur d’identités (IdP) tiers qui stocke les identifiants des utilisateurs et authentifie les utilisateurs dans les diverses organisations.

 

Lorsque les domaines des organisations sont fédérés, les utilisateurs peuvent s’authentifier sur un domaine et accéder aux ressources d’un autre domaine sans devoir se reconnecter. Par exemple, si une organisation veut fournir aux utilisateurs un accès en un clic à des applications tierces, telles que Salesforce, Workday ou Zoom, une solution FIM est nécessaire. En résumé, la gestion des identités fédérées active le single sign-on (SSO) quel que soit le secteur de l’entreprise.

 

Différence entre SSO et FIM


Le SSO est différent de la FIM, car :

 

  • Le SSO fournit un accès en un clic aux applications et aux ressources au sein d’une seule organisation.

  • La FIM fournit un accès en un clic à des applications dans plusieurs organisations.


Examinons l’expérience SSO des utilisateurs pour Acme Bank. Dans cet exemple, les clients de la banque peuvent se connecter sur le site de la banque et réaliser plusieurs tâches différentes, comme vérifier le solde de leur compte et transférer de l’argent entre des comptes. Même si ces services sont en réalité des applications distinctes gérées par la banque en back office, le SSO fournit aux clients une expérience transparente.

Un diagramme décrit un flux depuis l’utilisateur vers le SSO puis vers les fonctionnalités d’Acme Bank, notamment la vérification du solde des placements, le virement d’argent et la vérification du solde des comptes.

Avec la FIM, les clients de la banque peuvent toujours se connecter sur le site de la banque et réaliser plusieurs tâches différentes, mais ils peuvent aussi accéder à des services gérés de façon externe. Les utilisateurs peuvent commander des chèques, envoyer de l’argent à d’autres par le biais de Zelle, et faire une demande de prêt sans devoir se réauthentifier.

 

Un diagramme décrit un flux depuis l’utilisateur vers la FIM, vers Acme Bank puis vers les fonctionnalités, notamment la commande de chéquiers, l’envoi d’argent et les demandes de prêts.

Comment fonctionne la FIM ?

 

À l’instar de la plupart des solutions de gestion des identités et des accès, il existe plusieurs manière de mettre en œuvre la FIM. Il est fréquent qu’une organisation fasse office de fournisseur d’identité (IdP) qui stocke les informations sur l’identité des utilisateurs, comme le montre ce diagramme. Dans ce scénario, l’IdP établit également des relations de confiance avec des fournisseurs de service (SP) qui résident en dehors de l’organisation afin que les utilisateurs aient un accès transparent aux applications et aux ressources des SP.

 

Voici comment cela fonctionne :

Un diagramme décrit le « SSO fédéré initié par l’IdP », avec une séquence en six étapes illustrant un cas d’usage typique de SSO fédéré. Les étapes sont les suivantes : 1) L’utilisateur demande à accéder à une appli par le biais de l’IdP, 2) Lors de la première connexion, l’IdP demande les identifiants, 3) L’IdP vérifie les identifiants en consultant l’annuaire des identités, 4) Une assertion chiffrée authentifiant l’utilisateur est transmise au SP, 5) Le SP accepte l’assertion et dirige l’utilisateur vers l’appli et 6) Avec l’assertion, l’utilisateur peut désormais accéder à n’importe quel SP du groupe de confiance sans se connecter.

 

  1. Un utilisateur clique pour accéder à une application tierce qui réside en dehors du domaine de l’organisation.

     

  2. La première fois qu’il se connecte à son système, l’IdP lui demande ses identifiants.

     

  3. L’IdP vérifie que les identifiants fournis correspondent aux identifiants contenus dans l’annuaire des identités.

     

  4. L’IdP envoie une assertion chiffrée au SP en indiquant que l’utilisateur est bien celui qu’il prétend être.

     

  5. Le SP accepte l’assertion et dirige l’utilisateur vers l’application ou le service.

     

  6. L’utilisateur peut désormais accéder à n’importe application ou service du groupe de confiance sans devoir s’authentifier à nouveau.

Ressources annexes

Fonctionnalité

Solution de Single sign-on

   

Lancez-vous dès Aujourd'hui

Contactez-Nous

sales@pingidentity.com

+1 877-898-2905

Découvrez comment Ping peut vous aider à protéger vos employés et améliorer l'expérience de vos clients dans un monde digital en constante évolution.