Les fondamentaux de la gestion des accès

La formation Etat de l’art de la gestion des accès présente les concepts d’authentification et d’habilitations des applications, ainsi que les normes actuelles (OpenID Connect et OAuth 2) et les bonnes pratiques en vigueur.

  • Besoins de contrôle des accès
  • Réponses aux besoin de contrôle des accès
  • Principes de fédération des identités
  • Architecture et déploiement
  • Authentification des applications par Open ID Connect
  • Demo
  • Autorisation des API par OAuth2
  • Cas limites
  • Perspectives d’avenir

Cours conçu et animé par Aduneo

  • Le cours s’adresse à des responsables informatiques devant encadrer des projets ou gérer des équipes mettant en œuvre des projets de gestion des accès. Par exemple les personnes en charge de l’infrastructure, de la sécurité, de la gestion des identités, de la transformation digitale ou des études informatiques.
  • Compréhension du fonctionnement des applications (web ou natives).

Besoins de contrôle des accès 

  • répondre à des problématiques de sécurité
  • protection périmétrique
  • limite de la protection périmétrique
  • cas d’usage protection par les identités
  • besoins primaires du contrôle des accès
  • besoins différents entreprise / services en ligne

Réponses aux besoin de contrôle des accès

  • réponses attendues
  • transmission de l’identité
  • authentification
  • besoins spécifiques à l’authentification
  • réponse au besoin d’authentification
  • délégation de l’authentification
  • facteurs d’authentification
  • vérifier les droits d’accès
  • délégation des autorisations OAuth
  • synthèse différence OIDC / OAuth

Principes de fédération des identités

  • principe de délégation
  • délégation par redirection
  • transport de l’identité ou de l’autorisation
  • architecture : centralisation des authentifications
  • centralisation des authentifications : annuaire d’authentification
  • centralisation des authentifications : contrainte UX
  • chainage des IdP
  • authentification au plus près
  • authentification au plus près, fédération pour l’accès des partenaires
  • login social
  • généralisation : fédération des IdP
  • délégation de l’identité : la nécessaire confiance
  • clients confidentiels / clients publics
  • adaptation de l’authentification
  • niveaux d’authentification
  • MFA authentification multi facteurs
  • MFA et passwordless
  • authentification à l’acte, l’exemple 3D-Secure
  • bonnes pratiques MFA
  • contraintes du SSO
  • déconnexion en SSO
  • jetons
  • jetons d’accès lisibles / opaques
  • jetons et revendications
  • consentement
  • IdP Discovery
  • IdP Discovery Solutions

Architecture et déploiement 

  • architecture d’authentification
  • architecture standard
  • cinématiques d’authentification
  • authentification en 2 étapes identifier first
  • autres cinématiques
  • cinématiques Personnalisation IdP
  • notification
  • espace de gestion des comptes « Mon profil »
  • Just-In-Time provisioning
  • haute disponibilité
  • hébergement de l’IdP
  • offre ligicielle
  • projet de mise en œuvre
  • points d’attention projet d’authentification

Authentification des applications par Open ID Connect

  • cas d’usage OpenID Connect
  • OIDC et les clients publics
  • concepts OpenID Connect
  • authentification OpenID Connect
  • jeton d’identité / fiche d’identité
  • représentation de l’identité
  • jeton de l’identité
  • claims : données sur l’utilisateur
  • claims : ID Token et Userinfo
  • claims : demande dans le scope
  • claims : demandes dans le périmètre claims
  • claims : fonctions prévues par la norme mais non utilisées
  • claims et consentement
  • cinématique OpenID Connect
  • cinématique authentification web app : Principes
  • cinématique authentification web app
  • validation du jeton d’identité
  • validation du jeton d’identité : Signature
  • validation du jeton d’identité : Signature par algorithme asymétrique
  • validation du jeton d’identité : Signature HMAC (HS256)
  • validation HMAC
  • validation du jeton d’identité
  • récupération des données utilisateur par UserInfo
  • cinématique UserInfo
  • considérations sur le jeton d’accès UserInfo

Demo

  • cinématique client lourd
  • CIBA OpenID Connect sans redirections
  • options d’authentification
  • IdP Discovery et login_hint
  • déconnexion OpenID Connect
  • déconnexion de l’OP
  • fin de connexion de l’OP
  • diffusion de la déconnexion OIDC
  • méthode de la diffusion de la déconnexion
  • points d’entrées OpenID Connect
  • documentation de configuration
  • interfaçage d’une application compatible
  • rendre une application compatible OIDC
  • limites et interprétations de la norme
  • OpenID Connect et la sécurité

Autorisation des API par OAuth2

  • cas d’application OAuth2
  • cas d’usage OAuth2
  • concept OAuth2
  • authentification OAuth2
  • schéma de principe OAuth2
  • jeton d’accès
  • format du jeton d’accès
  • cinématique OAuth2
  • cinématique application web classique
  • cinématique authorization
  • cinématique app mobile native
  • cinématique app mobile native en PKCE
  • cinématique client lourd
  • cinématique application web SPA
  • protection du jeton OAuth2 dans une application type client public
  • cinématique SPA en authorization code PKCE
  • cinématique implicit
  • authentification des applications
  • transmission du jeton d’accès à l’API
  • validation du jeton d’accès
  • cinématique d’introspection
  • OAuth2 : de l’autorisation à la transmission d’information
  • limites d’OAuth2 en transmission
  • renouvellement de jeton d’accès
  • déconnexion OAuth2
  • points d’attention
  • OAuth2 et la sécurité
  • Modèle de sécurité OAuth2 version simplifiée

Cas limite 

  • différence OIDC / OAuth2
  • application OIDC + OAuth2
  • appel à plusieurs API du même domaine
  • appel à des API indépendantes
  • authentification des applications Cloud

Perspectives d’avenir 

  • échange de jetons

• Formation sur place ou à distance
• Sessions inter / intra-entreprises
• 2 jours
• 2 000 €

• Sessions sur demande

Les fondamentaux de la gestion des accès

La formation Etat de l’art de la gestion des accès présente les concepts d’authentification et d’habilitations des applications, ainsi que les normes actuelles (OpenID Connect et OAuth 2) et les bonnes pratiques en vigueur.

  • Besoins de contrôle des accès
  • Réponses aux besoin de contrôle des accès
  • Principes de fédération des identités
  • Architecture et déploiement
  • Authentification des applications par Open ID Connect
  • Demo
  • Autorisation des API par OAuth2
  • Cas limites
  • Perspectives d’avenir

Cours conçu et animé par Aduneo

  • Le cours s’adresse à des responsables informatiques devant encadrer des projets ou gérer des équipes mettant en œuvre des projets de gestion des accès. Par exemple les personnes en charge de l’infrastructure, de la sécurité, de la gestion des identités, de la transformation digitale ou des études informatiques.
  • Compréhension du fonctionnement des applications (web ou natives).

Besoins de contrôle des accès 

  • répondre à des problématiques de sécurité
  • protection périmétrique
  • limite de la protection périmétrique
  • cas d’usage protection par les identités
  • besoins primaires du contrôle des accès
  • besoins différents entreprise / services en ligne

Réponses aux besoin de contrôle des accès

  • réponses attendues
  • transmission de l’identité
  • authentification
  • besoins spécifiques à l’authentification
  • réponse au besoin d’authentification
  • délégation de l’authentification
  • facteurs d’authentification
  • vérifier les droits d’accès
  • délégation des autorisations OAuth
  • synthèse différence OIDC / OAuth

Principes de fédération des identités

  • principe de délégation
  • délégation par redirection
  • transport de l’identité ou de l’autorisation
  • architecture : centralisation des authentifications
  • centralisation des authentifications : annuaire d’authentification
  • centralisation des authentifications : contrainte UX
  • chainage des IdP
  • authentification au plus près
  • authentification au plus près, fédération pour l’accès des partenaires
  • login social
  • généralisation : fédération des IdP
  • délégation de l’identité : la nécessaire confiance
  • clients confidentiels / clients publics
  • adaptation de l’authentification
  • niveaux d’authentification
  • MFA authentification multi facteurs
  • MFA et passwordless
  • authentification à l’acte, l’exemple 3D-Secure
  • bonnes pratiques MFA
  • contraintes du SSO
  • déconnexion en SSO
  • jetons
  • jetons d’accès lisibles / opaques
  • jetons et revendications
  • consentement
  • IdP Discovery
  • IdP Discovery Solutions

Architecture et déploiement 

  • architecture d’authentification
  • architecture standard
  • cinématiques d’authentification
  • authentification en 2 étapes identifier first
  • autres cinématiques
  • cinématiques Personnalisation IdP
  • notification
  • espace de gestion des comptes « Mon profil »
  • Just-In-Time provisioning
  • haute disponibilité
  • hébergement de l’IdP
  • offre ligicielle
  • projet de mise en œuvre
  • points d’attention projet d’authentification

Authentification des applications par Open ID Connect

  • cas d’usage OpenID Connect
  • OIDC et les clients publics
  • concepts OpenID Connect
  • authentification OpenID Connect
  • jeton d’identité / fiche d’identité
  • représentation de l’identité
  • jeton de l’identité
  • claims : données sur l’utilisateur
  • claims : ID Token et Userinfo
  • claims : demande dans le scope
  • claims : demandes dans le périmètre claims
  • claims : fonctions prévues par la norme mais non utilisées
  • claims et consentement
  • cinématique OpenID Connect
  • cinématique authentification web app : Principes
  • cinématique authentification web app
  • validation du jeton d’identité
  • validation du jeton d’identité : Signature
  • validation du jeton d’identité : Signature par algorithme asymétrique
  • validation du jeton d’identité : Signature HMAC (HS256)
  • validation HMAC
  • validation du jeton d’identité
  • récupération des données utilisateur par UserInfo
  • cinématique UserInfo
  • considérations sur le jeton d’accès UserInfo

Demo

  • cinématique client lourd
  • CIBA OpenID Connect sans redirections
  • options d’authentification
  • IdP Discovery et login_hint
  • déconnexion OpenID Connect
  • déconnexion de l’OP
  • fin de connexion de l’OP
  • diffusion de la déconnexion OIDC
  • méthode de la diffusion de la déconnexion
  • points d’entrées OpenID Connect
  • documentation de configuration
  • interfaçage d’une application compatible
  • rendre une application compatible OIDC
  • limites et interprétations de la norme
  • OpenID Connect et la sécurité

Autorisation des API par OAuth2

  • cas d’application OAuth2
  • cas d’usage OAuth2
  • concept OAuth2
  • authentification OAuth2
  • schéma de principe OAuth2
  • jeton d’accès
  • format du jeton d’accès
  • cinématique OAuth2
  • cinématique application web classique
  • cinématique authorization
  • cinématique app mobile native
  • cinématique app mobile native en PKCE
  • cinématique client lourd
  • cinématique application web SPA
  • protection du jeton OAuth2 dans une application type client public
  • cinématique SPA en authorization code PKCE
  • cinématique implicit
  • authentification des applications
  • transmission du jeton d’accès à l’API
  • validation du jeton d’accès
  • cinématique d’introspection
  • OAuth2 : de l’autorisation à la transmission d’information
  • limites d’OAuth2 en transmission
  • renouvellement de jeton d’accès
  • déconnexion OAuth2
  • points d’attention
  • OAuth2 et la sécurité
  • Modèle de sécurité OAuth2 version simplifiée

Cas limite 

  • différence OIDC / OAuth2
  • application OIDC + OAuth2
  • appel à plusieurs API du même domaine
  • appel à des API indépendantes
  • authentification des applications Cloud

Perspectives d’avenir 

  • échange de jetons

• Formation sur place ou à distance
• Sessions inter / intra-entreprises
• 2 jours
• 2 000 €

• Sessions sur demande

Plus de formations

Plus de formations