Parfois confondu avec un « standard » d’authentification, un protocole d’authentification est un ensemble de règles et de procédures spécifiques que toutes les entités doivent accepter d’utiliser avant de communiquer. Le langage du protocole doit être respecté à chaque étape par chaque partie pour que l’entité demandeuse puisse authentifier en toute sécurité l’entité réceptrice et inversement. Aujourd’hui, de nombreux protocoles d’authentification sont à la disposition des entreprises. Cet article explore Kerberos, Lightweight Directory Application Protocol (LDAP) et WS-Trust.
Kerberos a été conçu pour supporter à la fois l’authentification et l’autorisation afin que, une fois qu’un utilisateur est authentifié, il soit aussi autorisé. Utilisé pour le single-sign on (SSO) par de nombreuses entreprises, le protocole Kerberos n’envoie pas de mots de passe sur le réseau pour l’authentification. Au lieu de cela, il utilise un chiffrement symétrique durée limitée qui repose sur un mécanisme de clés secrètes, ainsi qu’un service tiers pour authentifier les applications client-serveur et les identités des utilisateurs.
Kerberos peut avoir un fonctionnement complexe en arrière-plan, mais il offre une expérience quasi transparente pour l’utilisateur. Les utilisateurs se connectent simplement sur un terminal et il sont automatiquement authentifiés pour accéder aux ressources du réseau et à de nombreuses applications tierces qu’ils ont été précédemment autorisés à utiliser. Kerberos simplifie le travail quotidien afin que les employés puissent se concentrer sur les tâches en cours, plutôt qu’avoir à se connecter en permanence aux systèmes et aux ressources dont ils ont besoin.
À l’origine, LDAP a été créé pour fournir des sessions d’authentification sécurisées aux employés des entreprises. Il utilise des règles de codage fortes qui empêchent les utilisateurs de créer des mots de passe faibles. Une session d’authentification LDAP commence lorsqu’un utilisateur (client) se connecte à un serveur LDAP qui héberge des données utilisateur qui ont été précédemment transmises par des administrateurs. Une fois connecté, les deux entités peuvent échanger des données.
LDAP est utilisé dans un active directory du réseau pour stocker des données de façon hiérarchique afin que les utilisateurs puissent trouver rapidement les informations dont ils ont besoin. Lorsqu’un utilisateur sollicite une base de données LDAP pour un objet spécifique, le LDAP explore l’arborescence du directory pour trouver l’objet demandé. Toutes les permissions sont contenues dans des domaines séparés dans la hiérarchie, afin que l’authentification puisse être autorisée ou refusée à ce stade sans devoir revenir vers l’administrateur principal du réseau.
Le protocole WS-Trust est utilisé pour établir et gérer des relations de confiance entre au moins deux applications ou terminaux. Les organisations peuvent utiliser le protocole WS-Trust pour définir le cadre de base pour une communication sécurisée machine to machine. WS-Trust peut délivrer, renouveler et valider des jetons de sécurité. Spécifiquement, ce protocole utilise un STS (Security Token Service) pour réaliser des opérations sur les jetons de sécurité.
Concernant le service web côté client, WS-Trust permet au STS de convertir un jeton de sécurité local en jeton de sécurité (SAML) Security Assertion Markup Language, qui contient l’identité de l’utilisateur. Concernant le service web côté fournisseur, le STS est utilisé pour valider ces jetons de sécurité entrants et peut aussi générer un nouveau jeton local, pouvant être consommé par d’autres applications. Le rôle principal du WS-Trust est de fonctionner comme une paire de communications demande-réponse avec l’aide du STS.
Lancez-vous dès Aujourd'hui
Contactez-Nous
Découvrez comment Ping peut vous aider à protéger vos employés et améliorer l'expérience de vos clients dans un monde digital en constante évolution.
Démonstration Gratuite