J’ai souvent parlé sur ce site de la fédération d’identité et d’OpenID (voir en particulier ce billet, celui ci, et celui là).
La fédération d’identité permet la mutualisation de l’identité numérique entre plusieurs applications en ligne, grâce à un système de délégation d’authentification. A mon sens, c’est un élément essentiel pour la montée en puissance des SaaS dans de bonnes conditions de sécurité.
Dans un contexte professionnel, c’est l’identité d’entreprise qui va être fédérée. La DSI pourra contrôler les SaaS accédant à l’annuaire d’entreprise au travers des protocoles Liberty et WS-Federation.
Dans un contexte personnel, la technologie de fédération d’identité qui semble faire consensus est OpenID. Mais le choix du service d’identité est beaucoup moins trivial. Plusieurs typologies d’acteurs peuvent être candidats à l’hébergement de notre identité personnelle.
Les grands acteurs des services en ligne personnels sont sur les rangs : Yahoo avec Yahoo ID, Microsoft avec Live ID, Google avec Google Accounts. Cependant, ces services utilisent des technologies propriétaires encore incompatibles avec OpenID. De plus, ils ne proposent pas de système d’authentification fort, permettant de lutter contre le phishing (ou hameçonnage en Français).
D’autres typologies d’acteurs sont plus à même de fournir une identité digne de confiance, comme :
- les opérateurs télécom : ils sont sûrs de notre identité pour des besoins de facturation. Ils sont capables de mener une authentification forte grâce aux cartes SIM des téléphones cellulaire ou aux Box des forfaits ADSL. Dans cette catégorie, je vous conseille de tester le service Orange OpenID, tout à fait pertinent pour les abonnés de cet opérateur.
- les autorités de certifications : elles vérifient notre identité afin de jouer leur rôle de tiers de confiance. Elles sont capables de mener une authentification forte grâce aux certificats qu’elles délivrent. Dans cette catégorie, je vous conseille de tester le service Personal IDentity Provider de Verisign
- l’état : des rumeurs circulent sur l’ouverture d’un service d’identité dans le cadre de mon.service-public.fr
Je vous engage à tester ces outils pour vous familiariser avec les concepts (pas toujours triviaux) de la fédération d’identité. Vous aurez besoin de ces services d’identité très prochainement…
