Blog GlobalSign

30 juin 2015

OAuth - Mieux que l’authentification via Facebook

Nous venons de fêter les dix ans du SAML (Security Assertion Markup Language), l’un des principaux standards dans le monde de la gestion des identités et des accès (IAM, Identity and Access Management). Utilisé depuis quelque temps maintenant, le SAML permet aux services en ligne d’accepter les informations d’identité et d’attribut qui proviennent de tiers (« fournisseurs d’identités ») et de transférer ces identités entre plusieurs domaines ou services connectés. Le but : offrir aux utilisateurs une expérience d’authentification SSO fluide.

L’usage du standard ouvert OAuth (Open standard for Authorization) s’est d’autre part largement répandu par le biais de Facebook. La prise en charge des identités Facebook par des milliers de sites en ligne permet aux utilisateurs d’accéder facilement à d’autres services avec leur identité sociale. Mais le standard OAuth ne saurait être exclusivement associé à Facebook. Les cas d’utilisation de ce protocole d’autorisation à part entière ne se limitent pas uniquement à la simple connexion sociale.

De nombreuses applications mobiles utilisent Facebook pour identifier de façon exclusive un utilisateur au moment de se connecter aux serveurs, et de récupérer des données. Simple et pratique pour l’utilisateur final, Facebook permet également aux développeurs d’applications de suivre son activité et, éventuellement, de stocker plusieurs types de données sur les serveurs, dont des données liées à l’usage. Mais, les identités sociales n’étant pas suffisamment sécurisées, leur utilisation pour protéger des données confidentielles, comme les données de santé ou les données financières serait tout à fait déplacée.

L’intégration d’OAuth pour identifier les utilisateurs n’est pas uniquement réservée aux applications mobiles ; les applications de bureau, et notamment les objets connectés (Internet de Tout, IoE), peuvent également l’intégrer facilement. Mais attention : tous les appareils et toutes les applications ne sont pas logés à la même enseigne. Pour les applications qui génèrent, gèrent et communiquent des données confidentielles, on utilisera plutôt des méthodes renforcées de vérification des identités utilisateur. Quant aux appareils connectés qui ne disposent d’aucune interface de saisie, il sera difficile d’appliquer des méthodes directes avec saisie utilisateur.

GlobalSign SSO, l’un des composants de notre suite de solutions IAM, intègre la prise en charge d’OAuth 2.0 et peut faire office de serveur d’autorisation. GlobalSign SSO prend également instantanément en charge plus d’une vingtaine de méthodes d’authentification différentes. Les développeurs d’applications mobiles et de bureau, mais également les fabricants d’équipements, peuvent ainsi ajouter quelques lignes de code à leurs applications/équipements pour implémenter facilement la méthode de vérification des identités utilisateur adéquate.

Une application mobile peut se connecter à GlobalSign SSO à l’aide du composant de navigation intégré. Le composant Web (comme webview sous iOS) reçoit le contenu de GlobalSign SSO où les mécanismes d’authentification appropriés peuvent être configurés (Facebook, Google+, PKI mobile, mots de passe uniques par SMS, carte d’identité électronique dans certains pays, identifiants bancaires, etc.) Cela permet au développeur d’applications de limiter les modifications ou les ajouts à apporter à son application tout en bénéficiant de plusieurs méthodes d’authentification (de l’authentification via les identités sociales à l’authentification multi-facteurs hors bande). Autre avantage : l’ajout ou la suppression d’une méthode d’authentification est possible à tout moment, sans modifications du code de l’application.

La fédération centrée sur l’utilisateur constitue l’une des fonctionnalités propres à GlobalSign SSO. Elle permet aux utilisateurs finaux d’associer plusieurs identités et d’utiliser la plus pratique pour s’authentifier. Les cartes à puce PKI ne peuvent être utilisées qu’avec des équipements équipés d’un lecteur de carte à puce. Mais avec la fédération centrée sur l’utilisateur, l’utilisateur final peut combiner ses identifiants PKI avec un dispositif utilisable dans un scénario « mobile ». Ainsi, même sans utiliser de carte à puce PKI pour s’authentifier, il pourrait parfaitement utiliser une autre identité qui a été reconnue par l’identité de la carte à puce.

GlobalSign SSO vous permet de dépasser facilement le cadre de l’authentification via Facebook. Pour authentifier un utilisateur sur une application mobile à l’aide de méthodes plus sécurisées que les identités sociales, il suffit d’intégrer quelques lignes de code supplémentaires...

Curieux d’en savoir plus ? Visionnez notre webinaire en anglais « Optimizing Authentication for Your Apps and Devices and Using Social Identities to Boost Your Business ».

Partager ce blog