Qu'est-ce que la Fédération ?
La fédération, dans un sens général, fait référence à la collaboration ou à l’union. Cependant, dans le contexte d’Internet, la fédération décrit spécifiquement l’intégration de l’authentification des utilisateurs sur plusieurs services Internet. En partageant les informations d’authentification entre différents services, les utilisateurs peuvent accéder à plusieurs applications ou plates-formes avec un seul événement d’authentification.
Une méthode d’implémentation populaire pour la fédération est SAML (Security Assertion Markup Language), un protocole standard permettant d’effectuer l’authentification des utilisateurs sur plusieurs domaines. SAML permet aux utilisateurs d'exploiter la fonctionnalité d'authentification unique (SSO) pour accéder à plusieurs services hébergés sur différents domaines Internet. Par exemple, en utilisant SAML entre un système interne et un service cloud, les utilisateurs peuvent se connecter au système interne et accéder simultanément au service cloud sans avoir besoin de s'authentifier une deuxième fois. SAML, basé sur XML, a été créé en 2002, avec la version 2.0 introduite en 2005.
Pour activer l’authentification unique entre différents domaines, les informations d’authentification doivent être échangées entre ces domaines. Dans la terminologie SAML :
Lorsqu'un utilisateur tente d'accéder à un SP, le SP redirige la demande avec une demande d'authentification SAML vers l'IdP. L'IdP traite l'authentification de l'utilisateur en fonction de la demande reçue. Une fois l’authentification terminée, l’IdP émet une assertion contenant des détails tels que l’état d’authentification, les attributs utilisateur et les autorisations d’accès. Le SP utilise cette assertion pour appliquer le contrôle d’accès et accorder les autorisations appropriées.
F5 BIG-IP Access Policy Manager (APM) est une solution fournie par F5 qui prend en charge SAML 2.0 et inclut des fonctionnalités SSO. Il peut fonctionner comme un IdP pour gérer l'authentification des utilisateurs et émettre des assertions ou comme un SP pour recevoir des assertions et contrôler l'accès aux applications.