Qu'est-ce que la fédération d'identités, et quel rôle joue un fournisseur d'identité ?
Réponse courte
La fédération d'identités établit une relation de confiance entre un fournisseur d'identité (IdP) qui authentifie les utilisateurs et des fournisseurs de services (parties de confiance) qui consomment cette authentification. L'IdP vérifie l'utilisateur et émet une assertion ou un jeton signé ; le fournisseur de services lui fait confiance au lieu de gérer ses propres identifiants. Cela permet le SSO inter-domaines et un contrôle centralisé, mais concentre le risque : compromettez l'IdP et vous compromettez tout ce qui lui fait confiance.
Quand un utilisateur se connecte à une application SaaS tierce « avec son compte d'entreprise », c'est la fédération d'identités à l'œuvre. Elle permet aux organisations de centraliser l'authentification tout en utilisant de nombreuses applications indépendantes.
Les acteurs
- Fournisseur d'identité (IdP). L'autorité qui authentifie l'utilisateur et émet une preuve d'identité — Entra ID, Okta, Google, etc. Il détient les identifiants et exécute la connexion.
- Fournisseur de services (SP) / partie de confiance. L'application que l'utilisateur veut atteindre. Il ne vérifie pas les identifiants lui-même ; il fait confiance aux assertions de l'IdP.
- La relation de confiance. Établie à l'avance par l'échange de métadonnées et de clés de signature, afin que le SP puisse vérifier cryptographiquement qu'une assertion provient bien de l'IdP et n'a pas été falsifiée.
Comment se déroule une connexion fédérée
L'utilisateur arrive sur le SP, qui le redirige vers l'IdP. L'IdP l'authentifie (mot de passe + MFA, etc.) et renvoie une assertion ou un jeton signé (une assertion SAML ou un jeton d'ID OIDC) décrivant qui il est. Le SP valide la signature, lit les revendications et accorde une session — sans jamais voir le mot de passe de l'utilisateur.
Pourquoi centraliser — et ce que cela coûte
L'avantage est réel : un seul endroit pour imposer la MFA et l'accès conditionnel, un seul endroit pour désactiver un employé partant, une identité cohérente sur des dizaines d'applications, et aucune prolifération de mots de passe. L'inconvénient est la concentration du risque — l'IdP devient un point unique de défaillance catastrophique. Compromettez-le (ou ses clés de signature) et un attaquant peut forger des assertions valides pour chaque application connectée. C'est pourquoi les IdP exigent les protections les plus fortes : MFA résistante au hameçonnage pour les administrateurs, protection des clés et surveillance étroite.
Fédération vs. un seul grand annuaire
Un annuaire unique signifie qu'un seul système possède tous les comptes. La fédération permet à des domaines administrés séparément de se faire confiance mutuellement — utile pour les partenaires, les fusions et le SaaS où vous ne contrôlez pas le magasin d'utilisateurs de l'autre côté.
Ce que recherchent les recruteurs : vous séparez clairement l'IdP de la partie de confiance, vous décrivez le modèle de confiance par assertion signée, et vous signalez l'IdP comme le risque concentré qui doit être protégé le plus fortement.
Questions de suivi probables
- Quelle est la différence entre l'IdP et le fournisseur de services / la partie de confiance ?
- Pourquoi la fédération concentre-t-elle le risque sur l'IdP, et comment l'atténuer ?
- En quoi la fédération diffère-t-elle du simple fait d'avoir un seul grand annuaire ?