Accueil > OpenID Connect OAuth Serveur dédié > Développer > Identity by DnC

Identity by DnC

Identity by DnC (Identity) est un système d’authentification permettant au propriétaire d’une application d’obtenir une confiance raisonnablement élevée dans l’identité des internautes qui se connectent à cette application et tentent d’accéder à des données protégées à travers celle-ci.

Identity utilise OAuth Server by DnC dont il étend les capacités d’identification.
Identity est 100% compatible avec OpenID Connect. Le propriétaire d’une application dont l’authentification est fondée sur OpenID Connect peut bénéficier du service d’évaluation de la confiance offert par Identity sans modification de l’application ni des serveurs de données protégées.

Nous avons profité de l’implémentation d’Identity pour étendre l’usage d’OpenID Connect à la protection des données sur l’utilisateur final situées sur un serveur de ressources étranger au serveur d’autorisation. Rien ne s’y oppose, et on obtient un système plus simple et plus sûr que si on avait recours à OAuth 2.0 pour ce faire.

Identity est un système réservé aux entreprises collaborant avec DnC.

Identity by DnC s’intègre de façon transparente dans vos applications

Identity by DnC (Identity) incorpore OAuth Server by DnC (OAuthSD). Le système est totalement transparent pour les utilisateurs, et ne demande aux développeurs aucune modification des applications clientes ou des serveurs de données protégées, pourvus que ces éléments mettent en œuvre les protocoles OAuth offerts par OAuthSD, parmi lesquels se trouve OpenID Connect.

Identity by DnC fait donc partie de la grande famille des applications déléguant leur authentification à des systèmes ouverts et répondant aux standards d’Internet.

Le principe d’Identity

Le principe d’Identity est le suivant :
- lors de la demande d’authentification d’un utilisateur final, Identity est appelé par le contrôleur Authorize d’OAuthSD ; les éléments communiqués comportent en particulier les scopes revendiqués ;
- Identity évalue la confiance à accorder à l’identité de l’utilisateur final, en fonction des informations que le véritable utilisateur a enregistrées lors de son inscription sur le serveur ; Identity examine également les données d’environnement de la requête pour en vérifier l’origine ;
- selon la note de confiance, Identity retourne à OAuthSD une liste de scopes inchangée, réduite ou nulle.

Les serveurs de données protégées qui valident des jetons d’accès pourront voir ceux-ci refusés ou leur portée de validité réduite par l’intermédiaire des scopes, transmis et évalués de la façon habituelle. Ils n’ont pas à se soucier d’Identity.

Les fonctionnalités d’Identity ne s’appliquent donc qu’au serveur d’autorisation OAuthSD. Le protocole d’authentification n’est en rien modifié, les serveurs de ressources protégées et les applications clientes ignorent tout d’Identity.

Communiquant localement avec OAuthSD, Identity n’ajoute pas de transaction au protocole, et n’affaiblit donc en rien la sécurité des données.

Cependant, les développeurs désireux d’accéder à la note de confiance et aux critères d’identification, afin d’en tenir compte dans un filtrage réalisé au niveau de leurs applications, pourront trouver ces informations sur un point d’extrémité.

Fonctionnalités d’Identity pour les administrateurs d’applications clientes

Identity offre de nouvelles fonctionnalités aux administrateurs des applications clientes inscrites sur OAuth Server by DnC.

Une fois configuré par l’administrateur d’une application cliente, Identity assure automatiquement l’évaluation de la confiance à accorder à l’identité d’un utilisateur.

Identity met à disposition de l’administrateur des UI pour les fonctionnalités suivantes :

- complément d’évaluation humaine des éléments d’identité fournis par l’utilisateur et réglage manuel de la note de confiance,
- édition et suivi de l’application des règles d’évaluation automatique et de la notation en résultant,
- édition et contrôle des scopes transmis avec les jetons d’autorisation. Chaque scope considéré est associé à une note de confiance en-dessous de laquelle le scope n’est pas mentionné dans la réponse à la demande d’introspection.

Toutes ces opérations étant facultatives, Identity comprend des réglages par défaut lui permettant d’opérer des contrôles élémentaires dès son affectation à une application cliente.