Shibboleth (fédération d'identité)

Cet article est une ébauche concernant la sécurité informatique.

Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

Pour les articles homonymes, voir Shibboleth (homonymie).

Shibboleth est un mécanisme de fédération d'identités, développé au début des années 2000 par le consortium Internet2, qui regroupe 207 universités et centres de recherches.

Origine du mot[modifier | modifier le code]

Ce mot est d'origine hébraïque et signifie « épi », « branche ».

Un shibboleth était utilisé par les Guiléadites pour démasquer les Éphraïmites, leurs ennemis. Ces derniers prononçaient ce mot « sibboleth ». Des mécanismes similaires, fondés sur des différences de prononciation, ont été utilisés dans l'histoire.

Objectif de la propagation d'identités[modifier | modifier le code]

L'objectif de la propagation d'identités est double : déléguer l'authentification à l'établissement d'origine de l'utilisateur et obtenir certains attributs de l'utilisateur (pour gérer le contrôle d'accès ou personnaliser les contenus).

La délégation de l'authentification réutilise les techniques de Single Sign-On web (redirection, cookies…). Lors de l'accès initial à une ressource numérique, l'utilisateur est redirigé vers le service de découverte de la fédération, d'où il sélectionne son établissement d'origine ; il est ensuite renvoyé vers son fournisseur d'identités. Le prérequis pour le fournisseur d'identités est de disposer d'un service d'authentification global tel que Central Authentication Service (CAS) (pas forcément d'un SSO).

À l'issue de la phase d'authentification, le fournisseur de services prend connaissance de l'identifiant de l'utilisateur qui lui permettra, lors d'une deuxième phase, d'obtenir ses attributs. Le fournisseur d'identités a la possibilité de définir, de façon différenciée pour chaque interlocuteur, quels attributs utilisateur pourront être dévoilés.

De façon concrète, pour accéder à une ressource électronique, un étudiant pourra se connecter sur le site d'un éditeur au moyen des codes personnels attribués par son université pour les autres services usuels (sans avoir à se connecter au préalable sur le site de sa bibliothèque universitaire, qui redirigeait ensuite sur le site de l'éditeur).

Socle organisationnel[modifier | modifier le code]

Le principe utilise un socle organisationnel : une fédération d'autorités d'authentification. Cette fédération pourrait regrouper des universités, commissions scolaires et autres organismes publics qui auraient comme rôle de définir et normaliser les attributs d'authentification et aussi de s'assurer que les membres respectent des normes rigoureuses en matière d'authentification.

Voir aussi[modifier | modifier le code]

Articles connexes[modifier | modifier le code]

• Authentification unique

Liens externes[modifier | modifier le code]

• Site officiel de Shibboleth

Fédérations d'identifications

• Fédération Éducation-Recherche (France)
• Incommon Federation (Universités USA)
• SDSS Development Federation (Royaume-Uni)
• Switch : Authentication and Authorization Infrastructure (AAI) (Suisse)
• Haka Federation / CSC (Finlande)

Fournisseurs de contenus

• Online Computer Library Center

Divers

• Project Shibboleth: Issues and Answers (Article dans un blog)

• Portail de la sécurité informatique