En quoi la gestion des identités décentralisée diffère-t-elle de la gestion des identités centralisée ?

Les SSO, FIM et DCI répondent à des besoins et des environnements variés, démontrant la sophistication croissante de la gestion d'identités. La connexion unique offre une solution centralisée et simple pour réduire la complexité de la gestion des mots de passe au sein d'une même organisation. La gestion fédérée d'identités étend le modèle centralisé aux domaines inter-organisationnels, ce qui améliore la collaboration et le partage des ressources. L'identité décentralisée favorise le contrôle individuel et le respect de la confidentialité et est conçue pour les interactions omnicanales modernes.

La différence la plus fondamentale entre la gestion d'identité décentralisée et la gestion d'identité centralisée réside dans les relations de confiance. Ce qui est largement déployé aujourd'hui avec SAML et OAuth, c'est la confiance bidirectionnelle, où deux parties se connaissant ont conclu un accord pour établir une connexion. Cette connexion est ensuite utilisée pour partager des informations sur l'utilisateur, telles que l'authentification, les attributs d'identité et les autorisations.

Avec l'identité décentralisée, le modèle de confiance est fondamentalement unidirectionnel, où un vérificateur fait confiance à l'émetteur, mais l'émetteur peut ne pas connaître le vérificateur. Il est important de noter que le rôle du portefeuille est un élément essentiel pour réaliser cette opération en toute sécurité et garantir une confidentialité fondamentale à sens unique. Il s'agit d'une partie distincte ayant sa propre relation indépendante avec l'émetteur et le vérificateur, et il doit fournir de solides capacités cryptographiques pour remplir ce rôle.

Les solutions existantes peuvent prendre en charge ces relations de confiance unidirectionnelles. Il existe de nombreux mécanismes permettant d’approcher ces types de relations avec les plateformes actuelles. La divergence s'accentue avec l'adoption d'une cryptographie plus avancée dans le cadre de l'identité décentralisée, de sorte que la cryptographie garantit les limites de la confiance grâce à des preuves sans divulgation d'informations ("Zero-Knowledge") et à des techniques de signature anonyme. 

Une autre différence significative entre la DCI et les autres approches est qu'elle transfère le contrôle à l'individu, lui permettant de gérer le partage de ses données d'identité. La DCI est fréquemment associée à la technologie des registres distribués (par exemple, la blockchain) ; toutefois, il ne s'agit que d'un type de mise en œuvre.

La DCI commence par une différence architecturale très distincte par rapport aux autres approches. Les informations d'identité sont décentralisées, ce qui signifie qu'elles ne sont pas stockées de manière centralisée. Dans les déploiements SSO classiques, chaque application qui accepte le jeton d'authentification doit rechercher les informations de l'utilisateur dans une base de données. Dans le cas de la FIM, chaque application fait confiance au fournisseur de services d'identité pour lui fournir des informations. En revanche, dans le monde de la DCI, chaque service demande les données directement à l'utilisateur. Ils ne procèdent pas à une recherche via un autre service. Ils choisissent ensuite de faire confiance à ces informations en fonction de la personne qui les a délivrées à l'utilisateur, après en avoir vérifié l'authenticité.