Accueil > OpenID Connect OAuth Serveur dédié > Identification de l’utilisateur final

Identification de l’utilisateur final

L’identification est la partie de l’authentification au cours de laquelle l’utilisateur final s’identifie ou est identifié. OAuthSD offre tout ce qu’il faut pour traiter l’identification (login/mot de passe, identification à deux facteurs) ou peut déléguer cette identification à un système pourvoyeur d’identité tiers (Identity Provider).

Systèmes d’identification intégrés à OAuthSD

OAuthSD distingue les fournisseurs d’identité primaire et, si l’identification à deux facteurs (2FA) est activée, les secondaires. Les constantes de configuration IDENTITY_PROVIDER et TFA_PROVIDER permettent de définir quel seront les systèmes utilisés.

OAuthSD offre en standard les systèmes d’identification suivants :

- Identification primaire (constante IDENTITY_PROVIDER) :

  • ’password’ : identification classique par login et mot de passe,
  • ’ghostkeys’ : identification par login et mot de passe entré dans une grille aléatoire.

- Identification secondaire (constante TFA_PROVIDER) :

  • ’checkbysms’ : la classique vérification par SMS,
  • ’gangsta’ : identification de type TOTP (Time-based One-time Password) avec Google Authenticator (DnC développe votre propre TOTP pour plus de sécurité).
    (plus à venir ...)

En savoir plus :
- Systèmes d’identification intégrés à OAuthSD,
- Validation en 2 étapes (Two Factor Authentication, 2FA) .

DnC’s IdentMaster

DnC développe DnC’s IdentMaster, une application de mobile permettant une identification très sécurisée de l’utilisateur final.
DnC’s IdentMaster fonctionne sans mot de passe et impose le login, réduisant ainsi les risques d’intrusion.
Fondé sur les meilleures pratiques cryptographiques, cette méthode est fermée à une utilisation publique et se trouve donc particulièrement adaptée à la sécurisation des accès aux données dans un domaine d’entreprise.

En savoir plus sur DnC’s IdentMaster.

Délégation de l’identification à un Identity Provider

Une facilité consiste à utiliser les services d’identité de Google, Facebook, Twitter etc. Cela procure certainement un grand confort pour l’utilisateur et illustre parfaitement le principe du SSO.
Cependant ce n’est pas le bon moyen d’assurer la confidentialité que l’on souhaite dans une organisation mettant en œuvre des informations protégées qui lui appartiennent. Permettre à un utilisateur de se connecter simultanément à un réseau social et à des applications métiers de l’organisation au moyen du même système d’identification est certainement ce que l’on peut imaginer de pire en matière de protection des données.

Utilisation de systèmes d’identification locaux

OAuthSD permet d’intégrer des systèmes d’identification du réseau local, qu’il s’agisse de standard tels que LADP et Active Directory (Kerberos) ou spécifiques à une organisation : ID card (Aramis) , identification biométrique etc.. Un tel système peut aussi bien se substituer à l’identification primaire que secondaire.

En savoir plus :
- Identification par OpenID Connect des utilisateurs identifiés avec Kerberos,
- Identification OpenID Connect avec ID Card : Aramis,
- Utiliser SPIP comme pourvoyeur d’identité d’OIDC.