documentation_publique:concepts:gestion_des_utilisateurs

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision		 Révision précédente
documentation_publique:concepts:gestion_des_utilisateurs [2019/10/26 13:03] – ↷ Page name changed from documentation_publique:concepts:authentification to documentation_publique:concepts:gestion_des_utilisateurs jdoreldocumentation_publique:concepts:gestion_des_utilisateurs [2019/10/26 13:32] (Version actuelle) jdorel
Ligne 1: Ligne 1:
-Authentification+Gestion des utilisateurs
  
-L'authentification consiste à prouver qui vous êtes. Cela ne concerne pas la gestion des droits (authorisation / permission).+Nous considérons ici la gestion d'utilisateurs dans le cadre d'un infrastructure disposant de multiples services. Il est dans ce cas souhaitable d'utiliser une base de données des utilisateurs centralisée
  
-Dans une infrastructure disposant de nombreux servicesil est souhaitable de centraliser le mécanisme d'authentificationainsi que la base de données des utilisateurs.+Pour les utilisateurscela permet de ne pas avoir à se créer un compte sur chaque service. Pour les administrateurscela permet de ne pas avoir à gérer les utilisateurs à plusieurs endroits.
  
-Du point de vue utilisateur, cela permet: +On peut alors s'assurer qu'une fois un utilisateur suppriméil n'existe plus dans l'infrastructure.
-  * de ne pas avoir à se créer un compte sur chaque service +
-  * d'avoir un seul mécanisme d'authentification, plutôt que de gérer son authentification par service (par exemple un seul mot de passe)+
  
-Du point de vue administrateur, cela permet: +### Gestion des données Délégation d'authorisation
-  * de faciliter la gestion des utilisateurs +
- +
-Pour les administrateurs, cela permet de faciliter la gestion des permissions et le dépannage des utilisateurs (oubli de mot de passe). En particulier, lors de la suppression des droits de certains utilisateurs, on peut être assuré de ne pas avoir oublié des points d'accès. +
- +
-De façon général, cela permet d'améliorer la sécurité. +
- +
-## Sécurité +
- +
-D'un point de vue sécurité, la façon la plus sécurisé pour s'authentifier consiste à utiliser un mécanisme de clé publique/privé permettant de résoudre un challenge. +
- +
-Le problème principal des mots de passe vient du fait qu'il est nécessaire de les envoyer (soit directement, soit au travers d'un hash) au système auprès duquel on souhaite s'authentifier (on considère une connexion chiffrée). Dans le cas d'une authentification centralisée, on peut en plus distinguer deux types de systèmes. Dans le premier cas le mot de passe est envoyé au système, qui vérifie ensuite le mot de passe auprès de l'IDP. Dans le second cas, plus sécurisé, le système nous renvoi vers l'IDP, auquel nous envoyons le mot de passe, et qui nous retourne un jeton d'authentification à donner au système. +
- +
-TLDR: Clé assymétrique > Mot de passe envoyé à l'IDP > Mot de passe envoyé au système +
- +
-NB: Un mot de passe peut être utilisé pour dériver la clé privé d'un chiffrement assymétrique. +
- +
-## Authentification unique +
- +
-Single Sign On (SSO) consiste à ne s'identifier qu'une seule fois au cours de la session (journée / lock de l'ordinateur). Une fois authentifié, tous les services auxquels on a accès sont disponibles sans avoir à s'authentifier de nouveau. +
- +
-Directory Server Authentication +
- +
-Single Sign On (SSO): Nom implémenté +
- +
-Reduce Sign On (RSO): SSO + accès à certains services (par exemple une banque) nécessite une authentification supplémentaire. Autre exemple: un administrateur utilise des services à la fois comme utilisateur et comme administrateurs, utilisant un mécanisme d'authentification plus sécurisé (MFA) lorsqu'il se connecte en tant qu'administrateur. +
- +
-https://stackoverflow.com/questions/16661931/single-sign-on-vs-reduced-sign-on +
- +
-## Accès d'urgence +
- +
-Synchronisation local. En cas de perte d'accès, utilisation de la base de donnée des utilisateurs locale. +
- +
-## Gestion des données+
  
 Avec OpenID, un service A peut authoriser son accès avec une identité provenant d'un service B sans pour autant avoir accès aux données de l'utilisateur stockées par le service B. (Ce n'est pas le cas avec Kerberos). Avec OpenID, un service A peut authoriser son accès avec une identité provenant d'un service B sans pour autant avoir accès aux données de l'utilisateur stockées par le service B. (Ce n'est pas le cas avec Kerberos).
Ligne 53: Ligne 18:
 ``` ```
  
-## Authentification: +## Gestion des permissions 
-  * Local + 
-  * Remote (credentials never sent to server, directly sent to IDP+Attribué au niveau du service à un groupe (voir gestion des groupesou à un utilisateur 
-  * Asymetric (either local or remote) + 
-   +Permissions de services:
-## Gestion des utilisateurs +
-  * Local +
-  * Remote +
-   +
-## Authorisation+
   * Temporaire   * Temporaire
     * sans révocation immédiate     * sans révocation immédiate
     * avec révocation immédiate     * avec révocation immédiate
-  *   Indéfinie+  * Indéfinie 
 + 
 +## Gestion des groupes
  
-Service authentication vs Remote authentication (credentials never sent to server)+Nested groupes
  • documentation_publique/concepts/gestion_des_utilisateurs.1572095039.txt.gz
  • Dernière modification : il y a 5 ans
  • de jdorel