OpenID connect
Introduction
OpenID Connect (OIDC) fournit un moyen standardisé et sécurisé pour fédérer des systèmes avec un fournisseur d’identité commun (IdP) afin de gérer l’authentification et l’autorisation des utilisateurs à travers les applications. La configuration d’OIDC permet donc d’offrir aux utilisateurs une expérience SSO.
Outre les avantages d’OpenIDConnect, il s’agit d’une méthode permettant de satisfaire aux conditions fixées pour un accès sécurisé dans le cadre de l’initiative Titan BelRAI. Une autre méthode consiste à utiliser la nouvelle fonctionnalité incorporé d’authentification multifactorielle.
Utilisateurs, rôles et groupes d’utilisateurs dans OIDC
La gestion des utilisateurs, qu’il s’agisse de la gestion de l’identité ou de la gestion des rôles, peut être effectuée dans votre IdP.
Dans le système IAM de WZS, il est possible d’attribuer différents rôles aux utilisateurs par dossier ou par contexte spécifique. Cela permet un contrôle détaillé et précis des droits d’accès au sein du système, où chaque rôle peut avoir des droits spécifiques adaptés aux besoins de ce dossier particulier.
Toutefois, dans un système fédéré, où différents systèmes et applications collaborent et partagent des données, il est souvent nécessaire de réduire la complexité et d’améliorer l’interopérabilité. Cela permet de n’attribuer qu’un seul rôle à un utilisateur, quel que soit le contexte ou le dossier dans lequel il opère.
Ce passage d’une gestion des accès plus détaillée à une approche plus standardisée est un compromis entre la sécurité, la facilité d’utilisation et l’efficacité. L’attribution d’un seul rôle à un utilisateur dans un système fédéré simplifie la gestion et minimise les erreurs. Toutefois, cela signifie également que certaines nuances et certains droits spécifiques qui étaient auparavant gérés fichier par fichier peuvent être perdus.
Cependant, dans la plupart des IdP, les groupes d’utilisateurs (ou répertoires) peuvent également être utilisés pour restreindre l’accès à certains fichiers. En organisant les utilisateurs en groupes sur la base de leur lieu de travail, de leur région ou autre, les accès peuvent être limités aux dossier auxquels le groupe d’utilisateurs a besoin d’accéder.
Une fois les rôles et les groupes définis, le mappage entre l’IdP et WAS IAM de ces rôles et groupes devra être configuré. En effet, WAS IAM doit savoir quels groupes IdP ont accès à quels dossiers, d’une part, et quels rôles doivent se voir accorder quels droits d’accès, d’autre part. Cela permet de garantir que l’accès approprié est automatiquement accordé aux utilisateurs en fonction de leur appartenance à des groupes spécifiques.
Prerequis
Le nouveau système d’identité unifié (WZS IAM) peut être intégré à votre propre fournisseur d’identité via OpenID Connect, à condition que :
- vous disposiez d’un IdP prenant en charge OpenID connect
- Le WZS IAM est configuré avec un ClientID et un Secret qui peuvent être utilisés par le WZS IAM.
- Votre IdP doit être configuré pour faire confiance à WZS IAM.
- Une correspondance doit être établie entre les groupes et les permissions dans l’IdP et dans le WZS IAM
- Methode pour satisfaire au conditions fixées pour un accès sécurisé dans le cadre de l’initiative Titan BelRAI
Intéressé(e) ? Plus d’informations ? Contactez l’équipe Sales via le formulaire de contact en bas de page.