Qu’est-ce qu’un fournisseur de services IAM ?

Un fournisseur de services IAM est un prestataire qui propose des services de gestion des identités et des accès. Ces services incluent la gestion des identités des utilisateurs, l’authentification, l’autorisation et les droits d’accès aux systèmes et aux applications.

Qu’est-ce qu’un fournisseur de services managés ?

Un fournisseur de services managés est une entreprise externe qui gère et maintient des services informatiques pour d’autres organisations, souvent sur la base d’un abonnement. Il peut s’agir de la gestion réseau, de la sécurité, de l’hébergement cloud et du service d’assistance. Le MSP prend en charge les tâches opérationnelles quotidiennes, ce qui permet au client de se concentrer sur son cœur d’activité et de bénéficier de coûts informatiques prévisibles.

Fournisseur de services

Q: Qu’est-ce qu’un fournisseur de services ?

Dans une relation de confiance, un fournisseur de services est la partie qui propose une application ou un service, mais confie l’authentification des utilisateurs à un Identity Provider de confiance, IdP. Cette plateforme centrale vérifie les informations d’authentification des utilisateurs et, sur cette base, le fournisseur de services accorde l’accès aux utilisateurs.

Le terme fournisseur de services peut avoir plusieurs significations. Le plus souvent, le terme renvoie à des prestataires en ligne tels que les fournisseurs de services managés, les prestataires de services de paiement ou les fournisseurs d’accès à Internet. HelloID est par ailleurs un exemple de fournisseur de services IAM.

Dans cet article de connaissances, nous nous concentrons toutefois spécifiquement sur les fournisseurs de services (SP) qui collaborent avec des Identity Providers (IdP) au sein d’une relation de confiance afin de centraliser, d’améliorer et de simplifier l’authentification des utilisateurs.

Qu’est-ce qu’un fournisseur de services ?

Dans ce contexte, un fournisseur de services est une application cloud ou un site web qui n’exécute pas lui-même l’authentification des utilisateurs, mais la délègue à un Identity Provider. Il s’agit d’une plateforme centrale d’authentification qui gère toutes les données d’identification et d’authentification nécessaires. Les deux systèmes doivent se faire mutuellement confiance, ils forment donc une relation de confiance.

Une telle relation de confiance est principalement utilisée dans les organisations qui comptent de nombreux utilisateurs et plusieurs applications cloud. La gestion décentralisée des identifiants devient alors complexe, chronophage et sujette aux erreurs, ce que l’on résout avec une plateforme centrale d’authentification. Pour les utilisateurs, un avantage supplémentaire est la possibilité de proposer le Single Sign-On (SSO). Lorsqu’un utilisateur a été authentifié à la demande du Fournisseur de services 1, il n’est pas nécessaire de répéter l’opération pour le Fournisseur de services 2. L’utilisateur ne doit donc se connecter qu’une seule fois.

Que fait un fournisseur de services ?

Comment une telle relation de confiance fonctionne-t-elle pour le fournisseur de services ? Nous l’expliquons au moyen de deux scénarios. Dans le premier, nous décrivons la procédure de connexion traditionnelle et autonome. Ensuite, nous décrivons le processus d’authentification au sein d’un partenariat où l’application fonctionne comme fournisseur de services au sein d’une telle relation de confiance.

Authentification directe

Un utilisateur tente d’accéder à l’application.
L’application constate que l’utilisateur n’est pas connecté. Elle le redirige donc vers l’écran de connexion.
L’utilisateur saisit alors ses identifiants, par exemple un nom d’utilisateur et un mot de passe.
L’application vérifie l’identité de l’utilisateur. En cas de succès, l’utilisateur obtient l’accès.

Authentification via l’IdP (l’application fonctionne comme SP au sein de la relation de confiance)

Un utilisateur tente d’accéder à l’application.
Constatant que l’utilisateur n’est pas connecté, l’application envoie, dans son rôle de Service Provider, une demande d’authentification à l’IdP.
L’utilisateur est redirigé vers la page de connexion de l’IdP. Il y saisit ses identifiants, par exemple un nom d’utilisateur et un mot de passe.
L’IdP vérifie l’identité. En cas de vérification réussie, le système génère un jeton d’authentification. Il s’agit d’une preuve d’accès numérique chiffrée.
L’utilisateur est redirigé vers le Service Provider avec ce jeton.
Le Service Provider valide le jeton et l’utilisateur obtient l’accès.

L’accès a donc eu lieu de manière indirecte. Il existe une relation de confiance entre l’Identity Provider et le Service Provider, c’est pourquoi l’application accorde l’accès sur la base du jeton d’authentification reçu.

SSO avec plusieurs fournisseurs de services

Avec le Single Sign-On (SSO), les utilisateurs n’ont pas besoin de se connecter de nouveau pour chaque application. Si un utilisateur a déjà été authentifié via l’Identity Provider pour le Fournisseur de services 1, l’authentification pour le Fournisseur de services 2 peut se faire automatiquement. Le scénario est décrit ci-dessous.

Accès au Fournisseur de services 2 avec SSO

L’authentification de l’utilisateur pour le Fournisseur de services 1 a déjà été réalisée avec succès, voir le paragraphe précédent.
Le même utilisateur tente ensuite d’accéder au Fournisseur de services 2.
Ce dernier détecte que l’utilisateur n’est pas connecté et envoie donc une demande d’authentification à l’IdP.
L’IdP voit que l’utilisateur dispose déjà d’une session active avec le Fournisseur de services 1. Il n’est donc pas nécessaire de vérifier à nouveau l’identité de l’utilisateur.
Un jeton d’authentification est alors généré immédiatement et envoyé au Fournisseur de services 2.
Ce dernier valide le jeton et accorde l’accès à l’utilisateur.

L’utilisateur est donc connecté auprès du Fournisseur de services 2 sans devoir repasser par une étape d’authentification. Cette fonctionnalité est optionnelle. Il est également possible de demander aux utilisateurs de se connecter séparément auprès de chaque fournisseur de services. Cependant, une relation de confiance avec un Identity Provider central se prête particulièrement bien au SSO.

Intégrations IAM avec des fournisseurs de services

De nombreuses organisations utilisent donc un Identity Provider pour assurer l’authentification centrale et le Single Sign-On de leurs utilisateurs. Entra ID est par exemple une solution largement utilisée.

Vous pouvez ensuite utiliser une solution IAM telle que HelloID pour alimenter cette plateforme d’authentification avec les données d’identification et d’authentification nécessaires, les informations d’identification. Vous pouvez aussi provisionner des attributs utilisateurs supplémentaires, tels que la fonction ou le service. Pendant l’authentification, ces informations peuvent être transmises au Fournisseur de services, qui les utilise localement pour déterminer les droits de l’utilisateur.

Avec ce mécanisme, les droits utilisateurs ne peuvent généralement être définis qu’à un niveau global. Pour les dossiers patients électroniques ou les systèmes de gestion des dossiers par exemple, les organisations souhaitent souvent définir les droits de manière beaucoup plus fine en s’appuyant sur plusieurs attributs et d’autres données. Cela n’est souvent possible que si la gestion des droits est assurée directement depuis la plateforme IAM via un raccordement direct avec le Fournisseur de services. Pour connecter ce type de fournisseurs de services à la plateforme IAM, HelloID propose un ensemble complet de connecteurs.

En savoir plus sur le raccordement de fournisseurs de services ?

Vous souhaitez en savoir plus sur la manière dont différents systèmes peuvent être raccordés à votre environnement HelloID IAM à l’aide de connecteurs ? Plus d’informations sont disponibles dans notre catalogue des connecteurs.