Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
documentation_publique:concepts:gestion_des_utilisateurs [2019/10/26 13:19] – jdorel | documentation_publique:concepts:gestion_des_utilisateurs [2019/10/26 13:32] (Version actuelle) – jdorel | ||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
# Gestion des utilisateurs | # Gestion des utilisateurs | ||
- | Nous considérons ici la gestion d' | + | Nous considérons ici la gestion d' |
- | ## Authentification | + | Pour les utilisateurs, |
- | L'authentification consiste à prouver qui vous êtes. Cela ne concerne pas la gestion des droits (authorisation / permission). | + | On peut alors s'assurer qu'une fois un utilisateur supprimé, il n' |
- | Dans une infrastructure disposant de nombreux services, il est souhaitable de centraliser le mécanisme d' | + | ### Gestion |
- | + | ||
- | Du point de vue utilisateur, | + | |
- | * de ne pas avoir à se créer un compte sur chaque service | + | |
- | * d' | + | |
- | + | ||
- | Du point de vue administrateur, | + | |
- | * de faciliter la gestion des utilisateurs | + | |
- | + | ||
- | Pour les administrateurs, | + | |
- | + | ||
- | De façon général, cela permet d' | + | |
- | + | ||
- | ### Sécurité | + | |
- | + | ||
- | D'un point de vue sécurité, la façon la plus sécurisé pour s' | + | |
- | + | ||
- | Le problème principal | + | |
- | + | ||
- | TLDR: Clé assymétrique > Mot de passe envoyé à l'IDP > Mot de passe envoyé au système | + | |
- | + | ||
- | NB: Un mot de passe peut être utilisé pour dériver la clé privé d'un chiffrement assymétrique. | + | |
- | + | ||
- | ### Authentification unique | Single Sign On (SSO) | + | |
- | + | ||
- | Single Sign On consiste à ne s' | + | |
- | + | ||
- | Directory Server Authentication | + | |
- | + | ||
- | Reduce Sign On (RSO): SSO + accès à certains services (par exemple une banque) nécessite une authentification supplémentaire. Autre exemple: un administrateur utilise des services à la fois comme utilisateur et comme administrateurs, | + | |
- | + | ||
- | https:// | + | |
- | + | ||
- | ### Gestion des données | + | |
Avec OpenID, un service A peut authoriser son accès avec une identité provenant d'un service B sans pour autant avoir accès aux données de l' | Avec OpenID, un service A peut authoriser son accès avec une identité provenant d'un service B sans pour autant avoir accès aux données de l' | ||
Ligne 50: | Ligne 17: | ||
Service C ne doit pas avoir accès aux données des services A ou B. | Service C ne doit pas avoir accès aux données des services A ou B. | ||
``` | ``` | ||
- | |||
- | ### Authentification: | ||
- | * Locale | ||
- | * Remote (through service) | ||
- | * Remote (credentials never sent to server, directly sent to IDP) | ||
- | * Asymetric (either local or remote) | ||
- | | ||
- | ### Gestion des utilisateurs / groupes | ||
- | * Local ([-] requires sync) ([-] leak password hash to service [or use assymetric authentication]) | ||
- | * Push sync | ||
- | * Pull sync ( requires sycn scheduling ) | ||
- | * Remote | ||
- | * [-] Requires additionnal local users when losing remote access (bad network or bad config) or risk losing access completely (requires going in the service configuration files/DB) | ||
## Gestion des permissions | ## Gestion des permissions |