Sommaire
|
Concepts relatifs à la gestion des fédérations
Le module Gestion des fédérations intégré à Access Manager est conçu pour être compatible avec les spécifications du groupe Liberty Alliance Project. Un certain nombre de concepts sont issus de ces spécifications. Pour plus de clarté, les définitions de ces concepts sont fournies dans cette section.
Domaine d’authentification (cercle d’approbation)
Un domaine d’authentification, également appelé cercle d’approbation, est une fédération de fournisseurs de services et d’identités ayant des relations commerciales basées sur l’architecture Liberty et des accords d’exploitation et avec lesquels les utilisateurs peuvent traiter dans un environnement sécurisé et apparemment transparent.
Descripteur d'entité
Un descripteur d’entité représente une entité dans les métadonnées Fédération. Dans l'implémentation de fédération d'Access Manager, il existe deux types de descripteur d'entité :
Affiliation
Une affiliation est un ensemble d’entités, décrit par les ID fournisseur, qui peut effectuer une interaction Liberty en tant que membre de l’ensemble. Une affiliation est référencée par un ID d'affiliation et est gérée par une entité. Les membres d’une affiliation peuvent invoquer des services en tant que membre de l’affiliation (à l’aide de l’ID d'affiliation) ou individuellement (à l’aide de l’ID fournisseur).
Fournisseur de services
Un fournisseur de services est une entité qui fournit des services et/ou des biens à des principaux.
Fournisseur d’identités
Un fournisseur d’identités est une entité Liberty qui crée, entretient et gère des informations d’identité et l’authentification de principaux pour d’autres fournisseurs de services au sein d’un cercle d’approbation.
Principal
Un principal est une entité pouvant acquérir une identité fédérée, qui est capable de prendre des décisions en matière de fédération et pour laquelle les actions authentifiées sont effectuées en son nom. Exemples de principaux : un utilisateur individuel, un groupe d’individus, une corporation, d’autres entités légales ou un composant de l’architecture Liberty.
Fournisseur distant
Un fournisseur distant est un fournisseur de services ou d’identités qui n’est pas hébergé par l’installation actuelle d’Access Manager, mais est activé par Liberty, soit par une autre installation (distante) d’Access Manager, soit par une autre implémentation de la spécification Liberty.
Fournisseur central
Un fournisseur central est un fournisseur de services ou d’identités activé par Liberty par l’installation actuelle ou présente d’Access Manager.
Métadonnées
Les métadonnées représentent l’ensemble des données requises pour la configuration des modalités régissant le comportement d’un fournisseur de services ou d’identités. Les spécifications Liberty définissent les attributs de métadonnées pour les fournisseurs de services et d’identités.
Identité fédérée
Une identité fédérée désigne le regroupement des informations de compte de tous les fournisseurs de services auxquels un utilisateur a accès (données personnelles, informations d’authentification, habitudes d’achat et historique, préférences, etc.). Les informations sont administrées par l'utilisateur ; cependant, avec le consentement de l'utilisateur, le droit d'accès aux informations est partagé de manière sécurisée avec les fournisseurs de son choix.
Interruption de la fédération
Les utilisateurs sont en mesure d’interrompre les fédérations. L'interruption de la fédération (ou défédération) annule les affiliations établies entre le fournisseur d'identités de l'utilisateur et les comptes du fournisseur de services fédéré.
Identificateur de nom
Pour préserver l’anonymat, la fédération d'identités fait correspondre les informations de compte à un certain nombre d'organisations de fournisseurs de services et d'identités. L'identité de l'utilisateur est échangée entre les fournisseurs de services et d'identités à l'aide d’un pseudonyme ou d'un identificateur de nom. En aucun cas, le fournisseur de services ou d'identités ne doit avoir connaissance de l'identité réelle de l'utilisateur.
Déconnexion unique
Lorsqu’un utilisateur se déconnecte d’un fournisseur d’identités ou d’un fournisseur de services , il est effectivement déconnecté de tous les fournisseurs de services ou d’identités appartenant à ce domaine d’authentification.
Connexion unique
La connexion unique est établie lorsqu’un utilisateur disposant d’une identité fédérée s’authentifie auprès d’un fournisseur d’identités . Dans la mesure où il a déjà opté pour la fédération, il est à présent en mesure d’accéder à des fournisseurs de services affiliés sans avoir à s’authentifier de nouveau.
Sommaire |