Concept fondamentaux de la gestion des identités et des accès (IAM)

  • Article

Cet article fournit des concepts et une terminologie fondamentaux pour vous aider à comprendre la gestion des identités et des accès (IAM).

Qu’est-ce que la gestion des identités et des accès (IAM) ?

La gestion des identités et des accès garantit que les personnes, machines et composants logiciels appropriés ont accès aux ressources appropriées au bon moment. Tout d’abord, la personne, la machine ou le composant logiciel prouve qu’il est celui qu’il prétend être. Ensuite, la personne, la machine ou le composant logiciel est autorisé ou non à accéder à certaines ressources ou à les utiliser.

Voici quelques concepts fondamentaux pour vous aider à comprendre la gestion des identités et des accès :

Identité

Une identité numérique est une collection d’identificateurs ou d’attributs uniques qui représentent un humain, un composant logiciel, une machine, une ressource ou une ressource dans un système informatique. Un identificateur peut être :

  • Une adresse e-mail
  • Informations d’identification de connexion (nom d’utilisateur/mot de passe)
  • Numéro de compte bancaire
  • ID émis par le gouvernement
  • Adresse MAC ou adresse IP

Les identités sont utilisées pour authentifier et autoriser l’accès aux ressources, communiquer avec d’autres personnes, effectuer des transactions et d’autres fins.

À un niveau élevé, il existe trois types d’identités :

  • Les identités humaines représentent des personnes telles que des employés (travailleurs internes et travailleurs frontaux) et des utilisateurs externes (clients, consultants, fournisseurs et partenaires).
  • Les identités de charge de travail représentent des charges de travail logicielles telles qu’une application, un service, un script ou un conteneur.
  • Les identités des appareils représentent des appareils tels que des ordinateurs de bureau, des appareils mobiles, IoT et IoT. Les identités d’appareil sont distinctes des identités humaines.

Authentication

L’authentification est le processus qui consiste à demander des informations d’identification à une personne, à un composant logiciel ou à un appareil matériel afin de vérifier son identité ou de prouver qui elle est bien celle qu’elle prétend être. L’authentification nécessite généralement l’utilisation d’informations d’identification (comme le nom d’utilisateur et le mot de passe, les empreintes digitales, les certificats ou les codes secrets à usage unique). L'authentification est parfois abrégée en AuthN.

L’authentification multifacteur (MFA) est une mesure de sécurité qui oblige les utilisateurs à fournir plusieurs éléments de preuve pour vérifier leur identité, par exemple :

  • Quelque chose qu’ils connaissent, par exemple un mot de passe.
  • Quelque chose qu’ils ont, comme un badge ou un jeton de sécurité.
  • Quelque chose qu’ils sont, comme une biométrie (empreinte digitale ou visage).

L’authentification unique (SSO) permet aux utilisateurs d’authentifier leur identité une fois et plus tard en mode silencieux lors de l’accès à différentes ressources qui reposent sur la même identité. Une fois authentifié, le système IAM sert de source de vérité d’identité pour les autres ressources disponibles pour l’utilisateur. Il supprime la nécessité de se connecter à plusieurs systèmes cibles distincts.

Autorisation

L’autorisation valide que l’utilisateur, l’ordinateur ou le composant logiciel a reçu l’accès à certaines ressources. En anglais, elle est parfois abrégée en AuthZ.

Authentification ou autorisation

Les termes d’authentification et d’autorisation sont parfois utilisés de manière interchangeable, car ils semblent souvent être une expérience unique pour les utilisateurs. Il s’agit en fait de deux processus distincts :

  • L’authentification prouve l’identité d’un utilisateur, d’une machine ou d’un composant logiciel.
  • L’autorisation accorde ou refuse à l’utilisateur, à la machine ou au composant logiciel l’accès à certaines ressources.

Diagram that shows authentication and authorization side by side.

Voici une vue d’ensemble rapide de l’authentification et de l’autorisation :

Authentification Autorisation
Peut être considéré comme un gardien, autorisant l’accès uniquement à ceux qui fournissent des informations d’identification valides. Peut être considéré comme un garde, s’assurant que seuls ceux qui ont l’autorisation appropriée peuvent entrer dans certaines zones.
Vérifie si un utilisateur, un ordinateur ou un logiciel est bien celui qu’il prétend être. Détermine si l’utilisateur, l’ordinateur ou le logiciel est autorisé à accéder à une ressource particulière.
Défie l’utilisateur, la machine ou le logiciel pour obtenir des informations d’identification vérifiables (par exemple, des mots de passe, des identificateurs biométriques ou des certificats). Détermine le niveau d’accès d’un utilisateur, d’une machine ou d’un logiciel.
Effectué avant l’autorisation. Effectué après une authentification réussie.
Les informations sont transférées dans un jeton d’ID. Les informations sont transférées dans un jeton d’accès.
Utilise souvent openID Connect (OIDC) (qui repose sur le protocole OAuth 2.0) ou les protocoles SAML. Utilise souvent le protocole OAuth 2.0.

Pour plus d’informations, consultez Authentification et autorisation.

Exemple

Supposons que vous souhaitiez passer la nuit dans un hôtel. Vous pouvez considérer l’authentification et l’autorisation comme le système de sécurité pour le bâtiment de l’hôtel. Les utilisateurs sont des personnes qui veulent rester à l’hôtel, les ressources sont les chambres ou les zones que les gens veulent utiliser. Le personnel de l’hôtel est un autre type d’utilisateur.

Si vous restez à l’hôtel, vous devez d’abord vous rendre à la réception pour commencer le « processus d’authentification ». Vous devrez présenter une pièce d’identité carte et une carte de crédit. Le réceptionniste vérifiera que votre pièce d’identité correspond à la réservation en ligne. Une fois que le réceptionniste aura vérifié votre identité, il vous donnera l’autorisation d’accéder à la salle qui vous a été attribuée. Vous recevrez une carte d'accès et pourrez vous rendre dans votre chambre.

Diagram that shows a person showing identification to get a hotel keycard.

Les portes des chambres d’hôtel et d’autres zones ont des capteurs de carte d’accès. Le balayage de la carte d’accès devant un capteur est le « processus d’autorisation ». La carte d’accès vous permet uniquement d’ouvrir les portes des chambres auxquelles vous êtes autorisé à accéder, telles que votre chambre d’hôtel et la salle de sport de l’hôtel. Si vous passez votre carte d’accès pour entrer dans une autre chambre d'hôtel, l'accès vous sera refusé.

Les autorisations individuelles, telles que l’accès à la salle de sport et à une salle d’invités spécifique, sont collectées dans des rôles qui peuvent être accordés à des utilisateurs individuels. Lorsque vous restez à l’hôtel, vous avez le rôle de patron de l’hôtel. Le personnel du service de chambre de l’hôtel aurait le rôle de service de chambre d’hôtel. Ce rôle permet d’accéder à toutes les chambres de l’hôtel (mais seulement entre 11h00 et 16h), à la laverie et aux armoires de fournitures à chaque étage.

Diagram that shows a user getting access to a room with a keycard.

Fournisseur d’identité

Un fournisseur d’identité crée, entretient et gère les informations d’identité tout en offrant des services d’authentification, d’autorisation et d’audit.

Diagram that shows an identity icon surrounded by cloud, workstation, mobile, and database icons.

Avec l’authentification moderne, tous les services, y compris tous les services d’authentification, sont fournis par un fournisseur d’identité central. Les informations utilisées pour authentifier l’utilisateur auprès du serveur sont stockées et gérées de manière centralisée par le fournisseur d’identité.

Avec un fournisseur d’identité central, les organisations peuvent établir des stratégies d’authentification et d’autorisation, surveiller le comportement des utilisateurs, identifier les activités suspectes et réduire les attaques malveillantes.

Microsoft Entra ID est un exemple de fournisseur d’identité basé sur le cloud. Voici d’autres exemples : Twitter, Google, Amazon, LinkedIn et GitHub.

Étapes suivantes