La gestion de l'Identité en ligne
Enjeux et état de l'art
Yves LIONS
Qu'est ce que l'identité?
➨ Une notion de plus en plus utilisée, qui est intuitive,mais qui à l'usage n'est pas simple à définir
➨ Souvent ramenée à un problème d'authentification
(process par lequel l'usager prouve qu'il est celui qu'il prétend être) et de reconnaissance:
Soit d'objet (carte à puce..) ou de code
Soit de particularité d'un individu ( empreintes..)
➨ Une définition non réductible à l'authentification:
ensemble de données mise en ligne par le propriétaire, qui le caractérise et sur lequel il possède des droits:
"
n° de sécu + n° de carte visa+ n° de compte Orange + n° de compte hertzLes enjeux de sa gestion
➨ Pour les fournisseurs de service : la simplification de l'accès et l’amélioration de la sécurité, conditions du développement
Du e-commerce
Mais aussi de l’e-administration
➨ Pour les internautes:
L’amélioration de l’ergonomie, la fluidite dans la navigation
➨ Elle donne aux acteurs qui la maîtrise un levier efficace pour se positionner dans la chaîne de valeur ( pour contrôler les flux)
Elle peut être gérée de manière centralisée ou pas
➨ Elle soulève des questions importantes de sécurité, de confiance et de protection de la vie privée
Garder la confiance du client/consommateur/citoyen
Le quotidien à améliorer:
Crise d'identité !
Joe’s Fish Market.Com
Tropical, Fresh Water, Shell Fish, Lobster,Frogs, Whales, Seals, Clams
Les services qu'elle apporte vus du client
➨ Le SSO (Single Sign on… ou Simplified Sign-On)
C'est la facilité offerte à un utilisateur de ne pas se re-identifier ( login) re-authentifier ( password) en changeant de site.
C'est à l'évidence un élément ergonomique qui facilite:
le commerce en ligne en permettant d'enchaîner des transactions
l'activité en permettant d'enchaîner l'accès aux
applications dans un contexte d'entreprise
SSO : Single Sign On ou… Simplified Sign on
Login ? Password ?
Login ? Password ? Login ?
Password ? Login ?
Password ?
Login ? Password ?
Les services qu'elle apporte vus du marchand
➨ Le corollaire vu du marchand:
il accepte un client authentifié par un autre acteur - donc il prend un risque- et lui rend l'accès plus facile
Ce modèle est analogue au Roaming du GSM: c'est le
"roaming d'Identité"
Mais en échange les marchands ont le moyen de relier (de fédérer) les comptes que le client possède chez chacun d'entre eux
Sous réserve d'autorisation du client
➨ C'est "la mise en commun du client" par les marchands
Qui permet d'offrir des services personnalisés et
complémentaires sans querelle sur la propriété du fichier client
Qui permet des programmes de fidélisation multi sites
Des comptes fedéres
Orange
Orange France Telecom France Telecom Wanadoo
Wanadoo
La gestion fédérée de l'identité
➨ L'identité peut être gérée (fonctionnellement) de manière centralisée. Dans ce cas le gestionnaire de l'identité est un point de passage obligé des transactions qui peut entraîner:
le risque de prises de positions "monopolistes" ou dominantes
l'utilisation de l'identité dans des "domaines limités ",
des duplications, un risque de rejet et … l'échec!
➨ D’où l'idée de la gérer de manière fédérée:
le client laisse ses données à l'endroit qui lui convient le mieux en permettant qu'elles soient échangées entre fournisseurs de services
Ce qui laisse le jeu plus ouvert sur les positionnements des fournisseurs
Respecte les systèmes existants
Les échanges d'attributs
➨ Quand l'identité est répartie et fédérée, les marchands partagent (sous le contrôle de l'utilisateur) les éléments dont ils ont besoin:
Je me suis identifié chez Wanadoo
Alapage fait confiance à Wanadoo, et ne me demande pas de m' identifier à nouveau
Je commande un disque
Pour me servir, Alapage a besoin de mon n° de carte
Il va le chercher chez mon banquier
Pour me livrer, Alapage a besoin de mon adresse
Il va la chercher chez FT car mon adresse de livraison est
mon adresse de facturation téléphonique
Quelques concepts:
➨ Cercle de Confiance (COT, Circle of Trust):
Ensemble des sites ayant signé un accord entre eux pour accepter les clients sans re-authentification
Modèle inspiré des accords de la GSM association
Permet le roaming d'Identité
➨ Fournisseur d'Identité (IdP, Identity Provider)
Site que le client a déclaré comme étant celui qui est sa référence d'identification/authentification dans le COT
➨ Fournisseur de services (SP, service provider)
Site offrant des services ayant besoin de l'identité du client.
➨ Ces deux derniers concepts correspondent à des rôles
définis pour la formalisation des protocoles. En pratique
F onctionnement du SSO: partager l'identification/authentification
monportail.com
identity provider
xyz.com
service provider
2. Le Service Provider demande à L'identity Provider
d'authentifier l'utilisateur. 1. L'utilisateur demande l'accès à un service.
3. l'Identity Provider confirme 4. L'utilisateur peut consommer le
service.
Fournisseur d'Identité (IDP)
"annuaire
"
Liberty : partage d’attributs
1 2
3 4 5
Requête de demande d’attributs + Déclaration d’usage
Attributs demandés + Directives d’usage
Fournisseur de Service
Fournisseur d'attribut Fournisseur d'attribut
Fournisseur d'attribut
(4) Réponse du DS :
- L’adresse de l’AP fournisseur pour ce service et cet utilisateur
- Identifiant à fournir à l’AP - Jetons de « sécurité »
6
Le paysage normatif et industriel:
➨ Un précurseur
en gestion centralisée: Passport de Microsoft
➨ Liberty Alliance : un standard ouvert pour une gestion fédérée
150 membres parmi lesquels des constructeurs et des utilisateurs
Produit des spécifications à partir de "use –cases"
A établit des "liaisons formelles" avec les les organismes de standardisation du monde mobile(Open Mobile Association)
Des protocoles communs avec OASIS (Organization for the Advancement of Structured Information Standards)
➨ WS* :
Axée sur l'utilisation des Web services, rencontre Liberty sur le terrain des Identity Web services
Une démarche technique d' IBM rejoint par Microsoft
Orientée B2B
En partie propriétaire
Une alliance diversifiée fondée en decembre 2001
Management Board
Sponsors
Les premieres réalisations de Liberty, 3 ensembles de spécifications :
➨ ID-FF: IDentity Federation Framework:
système de base permettant de "fédérer des identités" ou de relier des comptes relatifs à une même Identité et d'assurer au titulaire de ces comptes le "SSO" entre les services correspondants
Al'interieur d'un COT:janvier 2003
De manière " transitive":Novembre 2003
➨ ID-WSF, IDentity Web Service Framework:
spécification des services d'infrastructures (entre autres
"l'annuaire", sécurité, gestion des droits…) nécessaires à un
fournisseur de service (SP) pour demander les attributs dont il ne dispose pas
Novembre 2003
➨ ID-SIS, IDentity Service Interface Specification:
La protection du consommateur et du citoyen 1/2
➨ Au plan européen le "Working Party art 29" (ensemble des CNIL) a établit de premières recommandations pour les services en ligne:
" Both those who design and those who actually implement on-line authentication systems (authentication providers) bear responsibility for the data protection aspects, although at different levels.
- - The use of identifiers, whatever form they take, entails data protection risks. Full consideration should be given to all possible alternatives. If user identifiers are indispensable, the possibility of allowing the user to refresh the identifier should be considered.
- The adoption of software architecture that minimises the centralisation of personal data of the Internet users would be appreciated and encouraged as a means of increasing the fault-
tolerance properties of the authentication system, and of avoiding the creation of high added-value databases owned and managed by a single company or by a small set of companies and organisations.
- Users should have an easy means to exercise their rights (including their right to opt-out) and to have all their data deleted if they decide to stop using an on-line authentication system. They should also be adequately informed about the procedure they should follow if they have enquiries or complaints."