IV.4.3.1.1 Architecture
Shibboleth identifie six modules de base (Figure II.10) qui
interagissent afin de mettre en oeuvre la fédération
d'identité entre des domaines de sécurité
distribués. Du côté FI, Shibboleth définit deux
modules:
y' le service de handles responsable du traitement de la
fonctionnalité SSO y' l'autorité d'attributs responsable du
traitement (affectation et gestion) des attributs des utilisateurs au sein
d'une organisation.
Du côté FS, Shibboleth définit trois
modules:
y' le module SHIRE responsable de l'affectation d'un
identifiant à un utilisateur que l'FI et le FS peuvent utiliser pour
faire référence à lui.
y' le module SHAR responsable de la récupération
des attributs d'un utilisateur. y' le module ShibAuthz responsable de la prise
de décision d'autorisation d'accès à une ressource
demandée.
Finalement, le module WAYF permet d'orienter l'utilisateur
vers son fournisseur d'identités afin de s'authentifier.
44
Figure II.10 : Les composants de Shibboleth.
Chapitre II Les systèmes de gestion
d'identité
45
IV.4.3.2. Liberty Alliance
Connu sous le nom de « Project Liberty », est un
projet qui réunit des acteurs des mondes industriel, informatique,
bancaire et gouvernemental sous la forme d'un consortium. L'objectif est de
définir un ensemble de spécifications de protocoles de
fédération d'identité et de communication entre services
web.
Le projet « Liberty Alliance » a été
initié par la société Sun en septembre 2001 afin de
proposer une alternative au projet Passport de Microsoft. Depuis sa
création, ce projet a été rejoint par plusieurs centaines
d'acteurs des mondes industriel, informatique, bancaire et gouvernemental tel
que : France Telecom, Intel, Nokia, Sony, Vodafone ....
Le but de ce consortium est de fournir une infrastructure de
standards visant à fédérer la gestion d'identités
électroniques entre plusieurs services ou systèmes en respectant
la vie privée de l'utilisateur.
IV.4.3.2.1. Objectifs
Les principaux objectifs de ce consortium sont les suivants :
Laisser la possibilité à chaque client de
contrôler toutes les informations qui le concernent en réseau (son
profil). En effet, toute modification d'attributs d'un utilisateur doit
être précédée par son accord : « Liberty
Alliance » permet de coupler les exigences d'une authentification forte
avec le respect de la vie privée des usagers.
Réduire le coût d'administration pour les
utilisateurs (contrôle de son Profil Personnel) et les entreprises.
Créer une infrastructure de gestion de
l'identité en réseau qui peut supporter, même à long
terme tous les moyens de connexion à Internet.
Fournir un standard ouvert de SSO qui permet à un
utilisateur d'accéder à des services proposés par
différents fournisseurs tout en utilisant un compte unique
[18].
Chapitre II Les systèmes de gestion
d'identité
IV.4.3.3. OpenID
OpenID est un système d'authentification
décentralisé qui permet l'authentification unique, ainsi que le
partage d'attributs. Il permet à un utilisateur de s'authentifier
auprès de plusieurs sites (devant prendre en charge cette technologie)
sans avoir à retenir un identifiant pour chacun d'eux mais en utilisant
à chaque fois un unique identifiant OpenID. Le modèle se base sur
des liens de confiance préalablement établis entre les
fournisseurs de services et les fournisseurs d'identité (OpenID
providers). Il permet aussi d'éviter de remplir à chaque
fois un nouveau formulaire en réutilisant les informations
déjà disponibles. Ce système permet à un
utilisateur d'utiliser un mécanisme d'authentification forte
[19].
On va l'étudier de façon plus spécifique
dans le prochain chapitre.
| 
