Javascript is actually
a good thing!
Make sure it's turned on
so that pingidentity.com can work properly.
Kerberos, c’est quoi ? | Ping Identity
Fondamentaux de la Gestion des Identités
Orchestration des Identités
Gestion des Identités et des Accès
Fournisseurs d’identité et fournisseurs de service
Gestion Centralisée et Décentralisée des Identités
Sécurité Zero Trust
Authentification
Authentification à facteur simple, à double facteur et multifacteur
L’authentification passwordless
FIDO (Fast Identity Online)
Authentification basée sur le niveau de risque
Authentification basée sur un certificat
Authentification basée sur des jetons
Single Sign-On (SSO)
Gestion des identités fédérées
Authentification CHAP
Qu’est-ce que l’authentification continue ?
Autorisation
Méthodes d’autorisation
Provisioning des utilisateurs et des comptes
Comment le single sign-on fonctionne avec un annuaire
l’Autorisation Dynamique
Standards d’authentification et d’autorisation
SAML
OAuth
OpenID Connect (OIDC)
Protocoles d’authentification et d’autorisation
Expand All | Collapse All

Kerberos, c’est quoi ?


Kerberos est un protocole d’authentification réseau sans mot de passe, créé par le MIT pour aider à résoudre des problèmes de sécurité. Utilisé pour le single-sign on (SSO) par de nombreuses organisations, il transmet en toute sécurité les données d’identité de l’utilisateur à des applications et inclut deux fonctions importantes : l’authentification et la sécurité.

 

Au lieu d’utiliser des mots de passe traditionnels, Kerberos utilise un chiffrement robuste et à durée limitée, de multiples clés secrètes et un service tiers pour authentifier des applications client-serveur et des identités utilisateur. En créant Kerberos, les développeurs du MIT désiraient associer à la fois authentification et autorisation afin qu’une fois qu’un utilisateur a été authentifié, il soit aussi autorisé.  

 

Kerberos est un processus complexe en arrière-plan mais offre une expérience quasi transparente côté utilisateur. Dans cet article, nous aborderons comment se présente Kerberos pour l’utilisateur, décrirons pourquoi ce protocole est important et examinerons en détail son fonctionnement.

 

Comment se présente Kerberos pour l’utilisateur

Aujourd’hui, les employés d’aujourd’hui utilisent de multiples terminaux (ordinateurs portables, smartphones, tablettes) et veulent pouvoir accéder à tout moment et depuis n’importe où aux systèmes de leur organisation et à des applis tierces. Étant donné que chaque ressource demande aux utilisateurs de vérifier leur identité, il pourrait être très chronophage de demander aux employés de se connecter à chacun d’entre eux. Lorsque Kerberos est utilisé, les employés sont automatiquement authentifiés pour accéder à toutes les ressources du réseau et aux nombreux systèmes tiers avec le SSO. Cela signifie qu’une fois qu’ils se connectent à un appareil, ils peuvent accéder à de multiples ressources depuis le même appareil sans devoir s’authentifier une nouvelle fois (sauf si l’emplacement ou un autre facteur a changé).

EXEMPLE

  • Josh s’installe à son bureau à 9 heures précises. Il a peur d’être en retard à son rdv de 9 heures. sur Zoom, donc il se connecte rapidement sur son ordinateur.

     

  • Étant donné que son entreprise utilise Kerberos, il n’a pas besoin de se connecter sur Zoom. Il lui suffit de se connecter sur le lien Zoom, il est alors automatiquement authentifié et peut rejoindre la réunion.

     

  • Pendant la réunion, Josh a besoin d’accéder à son logiciel de gestion de projet pour présenter des informations. Il clique sur l’application et celle-ci s’ouvre instantanément sans devoir faire attendre les autres participants de la réunion pendant qu’il se connecte.

    •  

  • Après la réunion, il doit accéder à des informations sensibles dans une base de données sécurisée. Lorsqu’il clique sur le lien pour entrer, il est immédiatement authentifié par le biais de Kerberos et ne doit pas saisir de nouveaux identifiants.

 

L’expérience de Josh avec Kerberos est semblable à celle d’un interrupteur d’éclairage : Il sait qu’il allume la lumière, mais il n’a pas besoin de savoir comment cela fonctionne pour profiter de cette lumière. Avec Kerberos, Josh n’a pas besoin savoir ce qui se passe en coulisses ; il a juste besoin de savoir que son identité est partagée en toute sécurité sur les différents systèmes de son réseau. Il apprécie le temps qu’il économise en n’ayant pas à se connecter à chaque application.

 

 

Pourquoi c’est important ?

Comme indiqué ci-dessus, le MIT a créé Kerberos pour résoudre le problème éprouvé par les entreprises pour fournir un accès sécurisé 24h/24 et 7j/7 aux ressources des entreprises, depuis n’importe quel appareil approuvé. Kerberos est sécurisé car les mots de passe ne sont jamais partagés sur le réseau. Au lieu de cela, ce sont des clés privées chiffrées qui sont utilisées. En coulisses, tous les appareils et tous les systèmes s’authentifient automatiquement les uns les autres à la demande, en échangeant plusieurs clés privées chiffrées avec le protocole Kerberos. Pendant ce processus, les clés de chiffrement ne sont jamais échangées entre le client et le service, ce qui rend ce processus hautement sécurisé. Les requêtes suivantes sont gérées rapidement car Kerberos répète simplement le précédent processus de connexion, puisque le jeton est conservé dans le cache du navigateur ou dans la mémoire de l’appareil.

 

Fonctionnement

Le jeton à durée limitée utilisé dans Kerberos est comme un ticket de cinéma. Lorsque quelqu’un achète un ticket de cinéma, il l’achète pour un film en particulier, à un moment en particulier et un jour en particulier. Cela vaut également pour un jeton d’authentification : Il ne peut être utilisé que pour une certaine ressource, pour une certaine durée, un jour en particulier. Lorsque le jeton original expire, un jeton de rafraîchissement est envoyé à sa place pour conserver le SSO.

 

Les trois principales parties de Kerberos

  • Utilisateur/client             
  • Centre de distribution de clé (KDC)
    • Serveur d’authentification (AS)
    • Serveur émettant les tickets (TGS)       
  • Service/application 

 

Comment les entités communiquent au sein de Kerberos 

Sur l’illustration ci-dessous, la communication circule entre les entités suivantes : utilisateur/client et AS (flèches vertes) ; utilisateur/client et TGS (flèches jaunes) ; et utilisateur/client et application/serveur (flèches oranges). Quelques messages sont envoyés en texte simple, certains sont chiffrés avec une clé symétrique et certains contiennent les deux. 

A graphic depicts communication flows between the userclient and the authentication server the userclient and the ticketgranting service and the userclient and the applicationserver

 

Client/Utilisateur et Serveur d’authentification (AS)

  1. Requête : Une demande d’accès est envoyée depuis l’utilisateur par le biais d’une clé secrète au serveur d’authentification (AS) dans le centre de distribution de clé (KDC).
  2. Response : L’AS utilise la clé secrète pour authentifier l’utilisateur (en comparant ses identifiants dans la base de données). Une fois authentifié, l’AS renvoie sa propre clé secrète ainsi qu’un jeton à durée limitée à l’utilisateur. L’utilisateur accepte la clé et le jeton à durée limitée depuis l’AS.

    3.  

Client/Utilisateur et Service d’émission de tickets (TGS)

  1. Requête : L’utilisateur prend la clé et le jeton à durée limitée reçu depuis l’AS et les renvoie au TGS avec une demande d’accès à l’application.
  2. Réponse : Lorsque le TGS reçoit la requête, il la décrit à l’aide de la clé secrète ayant été partagée avec l’AS et délivre un jeton au client, il s’agit d’un jeton qui est chiffré avec une autre clé secrète.

    3.  

Client/Utilisateur et Application/Serveur

  1. Requête : Le client prend le jeton reçu du TGS et l’envoie avec une clé secrète à l’application à laquelle il souhaite accéder. (Remarque : Une fois que le client détient le jeton du TGS, les autres services peuvent être sûrs que le client a bien été authentifié.)
  2. Réponse : Lorsque l’application reçoit la demande, elle chiffre le jeton avec une clé secrète et le partage à nouveau avec le client et le TGS.
    • Accès accordé à l’utilisateur : L’application permet à l’utilisateur d’avoir un accès pendant une certaine durée en fonction des limites du jeton.

Ressources annexes

Capacité
PingFederate

  

Capacité
Single Sign-on Solutions

  

Web

Ressources Kerberos du MIT

  

Lancez-vous dès Aujourd'hui

Contactez-Nous

sales@pingidentity.com

Découvrez comment Ping peut vous aider à protéger vos employés et améliorer l'expérience de vos clients dans un monde digital en constante évolution.