This is the Trace Id: 1d79c8100f993527b364780960fb7e1c
Passer directement au contenu principal
Sécurité Microsoft

Qu’est-ce qu’OIDC ?

Découvrez OpenID Connect (OIDC), un protocole d'authentification qui vérifie l'identité des utilisateurs lorsqu'ils se connectent pour accéder aux ressources numériques.

Définition d'OpenID Connect (OIDC)

OpenID Connect (OIDC) est un protocole d'authentification d'identité qui est une extension de l'autorisation ouverte (OAuth) 2.0 pour normaliser le processus d'authentification et d'autorisation des utilisateurs lorsqu'ils se connectent pour accéder aux services numériques. OIDC fournit une authentification, ce qui signifie vérifier que les utilisateurs sont bien ceux qu'ils prétendent être. OAuth 2.0 autorise les systèmes auxquels ces utilisateurs sont autorisés à accéder. OAuth 2.0 est généralement utilisé pour permettre à deux applications indépendantes de partager des informations sans compromettre les données utilisateur. Par exemple, de nombreuses personnes utilisent leur messagerie électronique ou leurs comptes de réseaux sociaux pour se connecter à un site tiers plutôt que de créer un nouveau nom d'utilisateur et un nouveau mot de passe. OIDC est également utilisé pour fournir une authentification unique. Les organisations peuvent utiliser un système sécurisé de gestion des identités et des accès (IAM) tel que Microsoft Entra ID (anciennement Azure Active Directory) comme authentificateur principal des identités, puis utiliser OIDC pour transmettre cette authentification à d'autres applications. De cette façon, les utilisateurs n'ont besoin de se connecter qu'une seule fois avec un seul nom d'utilisateur et un seul mot de passe pour accéder à plusieurs applications.

 

 

Composants clés de l'OIDC

Il existe six composants principaux dans OIDC :

  • L'authentification est le processus permettant de vérifier que l'utilisateur est bien celui qu'il prétend être.

  • Un client est un logiciel, tel qu'un site Web ou une application, qui demande des jetons utilisés pour authentifier un utilisateur ou accéder à une ressource.

  • Les parties utilisatrices sont les applications qui utilisent les fournisseurs OpenID pour authentifier les utilisateurs.  

  • Les jetons d'identité contiennent des données d'identité, notamment le résultat du processus d'authentification, un identifiant pour l'utilisateur et des informations sur la manière et le moment où l'utilisateur est authentifié. 

  • Les fournisseurs OpenID sont les applications pour lesquelles un utilisateur possède déjà un compte. Leur rôle dans OIDC est d'authentifier l'utilisateur et de transmettre ces informations à la partie utilisatrice.

  • Les utilisateurs sont des personnes ou des services qui cherchent à accéder à une application sans créer de nouveau compte ni fournir de nom d'utilisateur et de mot de passe. 

 

Comment fonctionne l’authentification OIDC ?

L'authentification OIDC fonctionne en permettant aux utilisateurs de se connecter à une application et d'accéder à une autre. Par exemple, si un utilisateur souhaite créer un compte sur un site d'actualités, il peut avoir la possibilité d'utiliser Facebook pour créer son compte plutôt que de créer un nouveau compte. S'ils choisissent Facebook, ils utilisent l'authentification OIDC. Facebook, appelé fournisseur OpenID, gère le processus d'authentification et obtient le consentement de l'utilisateur pour fournir des informations spécifiques, telles qu'un profil utilisateur, au site d'actualités, qui est la partie utilisatrice. 

Jetons d'identification 

Le fournisseur OpenID utilise des jetons d'identification pour transmettre les résultats d'authentification et toute information pertinente à la partie utilisatrice. Des exemples du type de données envoyées incluent un identifiant, une adresse e-mail et un nom.

Scopes

Les étendues définissent ce que l'utilisateur peut faire avec son accès. OIDC fournit des étendues standard, qui définissent des éléments tels que la partie utilisatrice pour laquelle le jeton a été généré, la date à laquelle le jeton a été généré, la date d'expiration du jeton et la force de cryptage utilisée pour authentifier l'utilisateur. 

Un processus d’authentification OIDC classique comprend les étapes suivantes :

  1. Un utilisateur accède à l’application à laquelle il souhaite accéder (la partie de confiance).
  2. L’utilisateur tape son nom d’utilisateur et son mot de passe.
  3. La partie de confiance envoie une demande au fournisseur OpenID.
  4. Le fournisseur OpenID valide les informations d’identification de l’utilisateur et obtient l’autorisation.
  5. Le fournisseur OpenID envoie un jeton d’identité et souvent un jeton d’accès à la partie de confiance.
  6. La partie de confiance envoie le jeton d’accès à l’appareil de l’utilisateur’.
  7. L’utilisateur bénéficie d’un accès en fonction des informations fournies dans le jeton d’accès et la partie de confiance. 

Que sont les flux OIDC ?

Les flux OIDC définissent la manière dont les jetons sont demandés et livrés à la partie utilisatrice. Quelques exemples :

  • Flux d’autorisation OIDC : le fournisseur OpenID envoie un code unique à la partie de confiance. La partie utilisatrice renvoie ensuite le code unique au fournisseur OpenID en échange du jeton. Cette méthode est utilisée pour que le fournisseur OpenID puisse vérifier la partie utilisatrice avant d'envoyer le jeton. Le navigateur ne peut pas voir le jeton avec cette méthode, ce qui contribue à le sécuriser.

  • Flux d’autorisation OIDC avec l’extension PKCE : Ce flux est identique au flux d’autorisation OIDC, sauf qu’il utilise une clé publique pour l’extension d’échange de code (PKCE) pour envoyer des communications sous forme de hachage. Cela réduit les chances que le jeton soit intercepté.

  • Informations d’identification du client : Ce flux permet d’accéder aux API web à l’aide de l’identité de l’application elle-même. Il est généralement utilisé pour la communication de serveur à serveur et pour les scripts automatisés ne nécessitant aucune interaction de l’utilisateur.

  • Code de l’appareil : Ce flux permet aux utilisateurs de se connecter et d’accéder aux API web sur les appareils connectés à Internet qui n’ont pas de navigateurs ou dont l’expérience clavier est médiocre, par exemple une TV intelligente. 

Les flux supplémentaires, tels que le flux implicite OIDC, conçu pour les applications basées sur un navigateur, ne sont pas recommandés car ils constituent un risque pour la sécurité.

OIDC contre OAuth 2.0

OIDC a été construit sur OAuth 2.0 pour ajouter l'authentification. Le protocole OAuth 2.0 a d'abord été développé, puis OIDC a été ajouté pour améliorer ses capacités. La différence entre les deux est que OAuth 2.0 fournit une autorisation, tandis qu'OIDC fournit une authentification. OAuth 2.0 est ce qui permet aux utilisateurs d'accéder à une partie de confiance, en utilisant leur compte auprès d'un fournisseur OpenID, et OIDC est ce qui permet au fournisseur OpenID de transmettre un profil utilisateur à la partie de confiance. OIDC permet également aux organisations de proposer à leurs utilisateurs une authentification unique.

 

 

Avantages de l’authentification OIDC

En réduisant le nombre de comptes dont les utilisateurs ont besoin pour accéder aux applications, OIDC offre plusieurs avantages aux particuliers et aux organisations :

Réduit le risque de mots de passe volés

Lorsque les gens doivent utiliser plusieurs mots de passe pour accéder aux applications dont ils ont besoin pour leur travail et leur vie personnelle, ils choisissent souvent des mots de passe faciles à mémoriser, tels que Mot de passe1234 !, et utilisent le même sur plusieurs comptes. Cela augmente le risque qu’un mauvais acteur devine un mot de passe. Et une fois qu’ils connaissent le mot de passe d’un compte, ils pourront également accéder à d’autres comptes. En réduisant le nombre de mots de passe qu’une personne doit mémoriser, cela augmente les chances qu’elle utilise un mot de passe plus fort et plus sécurisé.

Améliore les contrôles de sécurité

En centralisant l'authentification dans une seule application, les organisations peuvent également protéger l'accès à plusieurs applications avec des contrôles d'accès stricts.. OIDC prend en charge l'authentification à deux facteurs et multifacteur, qui oblige les personnes à vérifier leur identité en utilisant au moins deux des éléments suivants :

  • Quelque chose que l'utilisateur connaît, généralement un mot de passe.

  • Quelque chose dont ils disposent, comme un appareil de confiance ou un jeton difficile à dupliquer. 

  • Quelque chose que l'utilisateur est, comme une empreinte digitale ou un scan du visage.

L'authentification multifacteur est une méthode éprouvée pour réduire la compromission des comptes. Les organisations peuvent également utiliser OIDC pour appliquer d'autres mesures de sécurité, telles que la gestion des accès privilégiés, la protection par mot de passe, la sécurité des connexions ou la protection de l'identité, sur plusieurs applications. 

Simplifie l'expérience utilisateur

Se connecter à plusieurs comptes tout au long de la journée peut prendre du temps et être frustrant pour les gens. De plus, s’ils perdent ou oublient un mot de passe, sa réinitialisation peut perturber davantage la productivité. Les entreprises qui utilisent OIDC pour fournir l’authentification unique à leurs employés contribuent à garantir que leurs employés consacrent plus de temps à un travail productif plutôt qu’à essayer d’accéder aux applications. Les organisations augmentent également la probabilité que les clients s'inscrivent et utilisent leurs services si elles autorisent les individus à utiliser leur compte Microsoft, Facebook ou Google pour se connecter. 

Standardise l'authentification

La Fondation OpenID, qui comprend des marques de premier plan comme Microsoft et Google, a créé OIDC. Il a été conçu pour être interopérable et prend en charge de nombreuses plates-formes et bibliothèques, notamment iOS, Android, Microsoft Windows et les principaux fournisseurs de cloud et d'identité.

Rationalise la gestion des identités

Les organisations qui utilisent OIDC pour fournir une authentification unique à leurs employés et partenaires peuvent réduire le nombre de solutions de gestion des identités qu'elles doivent gérer. Cela facilite le suivi des modifications des autorisations et permet aux administrateurs d'utiliser une seule interface pour appliquer des politiques et des règles d'accès à plusieurs applications. Les entreprises qui utilisent OIDC pour permettre aux utilisateurs de se connecter à leurs applications à l’aide d’un fournisseur OpenID réduisent le nombre d’identités qu’elles doivent gérer. 

Exemples OIDC et cas d’usage

De nombreuses organisations utilisent OIDC pour permettre une authentification sécurisée sur les applications Web et mobiles. Voici quelques exemples :

  • Lorsqu’un utilisateur s’inscrit à un compte Spotify, trois options s’offrent à lui : s’inscrire avec Facebook, s’inscrire avec Google, s’inscrire avec votre adresse e-mail. Les utilisateurs qui choisissent de s'inscrire sur Facebook ou Google utilisent OIDC pour créer un compte. Ils seront redirigés vers le fournisseur OpenID qu'ils ont sélectionné (Google ou Facebook), puis une fois connectés, le fournisseur OpenID enverra les détails de base du profil Spotify. L'utilisateur n'a pas besoin de créer un nouveau compte pour Spotify et ses mots de passe restent protégés.

  • LinkedIn offre également aux utilisateurs un moyen de créer un compte en utilisant leur compte Google plutôt que de créer un compte distinct pour LinkedIn. 

  • Une entreprise souhaite fournir une authentification unique aux employés qui ont besoin d'accéder à Microsoft Office 365, Salesforce, Box et Workday pour faire leur travail. Plutôt que d'exiger que les employés créent un compte distinct pour chacune de ces applications, l'entreprise utilise OIDC pour donner accès aux quatre. Les employés créent un compte et chaque fois qu'ils se connectent, ils ont accès à toutes les applications dont ils ont besoin pour travailler.  

Implémenter OIDC pour une authentification sécurisée

OIDC fournit un protocole d'authentification pour simplifier les expériences de connexion des utilisateurs et améliorer la sécurité. C'est une excellente solution pour les entreprises qui souhaitent encourager leurs clients à s'inscrire à leurs services sans avoir à gérer leurs comptes. Il permet également aux organisations d'offrir à leurs employés et aux autres utilisateurs une authentification unique sécurisée à plusieurs applications. Les organisations peuvent utiliser des solutions d'identité et d'accès prenant en charge OIDC, telles que Microsoft Entra, pour gérer toutes leurs politiques de sécurité d'identité et d'authentification en un seul endroit.

   

 

En savoir plus sur la Sécurité Microsoft

Forum aux questions

  • OIDC est un protocole d'authentification d'identité qui fonctionne avec OAuth 2.0 pour standardiser le processus d'authentification et d'autorisation des utilisateurs lorsqu'ils se connectent pour accéder aux services numériques. OIDC fournit l'authentification, ce qui signifie vérifier que les utilisateurs sont bien ceux qu'ils prétendent être. OAuth 2.0 autorise les systèmes auxquels ces utilisateurs sont autorisés à accéder. OIDC et OAuth 2.0 sont généralement utilisés pour permettre à deux applications indépendantes de partager des informations sans compromettre les données utilisateur. 

  • OIDC et SAML (Security Assertion Markup Language) sont des protocoles d'authentification d'identité qui permettent aux utilisateurs de se connecter en toute sécurité une seule fois et d'accéder à plusieurs applications. SAML est un protocole plus ancien qui a été largement adopté pour l'authentification unique. Il transmet les données au format XML. OIDC est un protocole plus récent qui utilise le format JSON pour transmettre les données utilisateur. OIDC gagne en popularité car il est plus facile à mettre en œuvre que SAML et fonctionne mieux avec les applications mobiles.

  • OIDC signifie OpenID Connect protocol, qui est un protocole d'authentification d'identité utilisé pour permettre à deux applications indépendantes de partager des informations de profil utilisateur sans compromettre les informations d'identification de l'utilisateur.

  • OIDC a été construit sur OAuth 2.0 pour ajouter l'authentification. Le protocole OAuth 2.0 a d'abord été développé, puis OIDC a été ajouté pour améliorer ses capacités. La différence entre les deux est que OAuth 2.0 fournit une autorisation, tandis qu'OIDC fournit une authentification. OAuth 2.0 est ce qui permet aux utilisateurs d'accéder à une partie de confiance, en utilisant leur compte auprès d'un fournisseur OpenID, et OIDC est ce qui permet au fournisseur OpenID de transmettre un profil utilisateur à la partie de confiance. Cette fonctionnalité permet également aux organisations de proposer à leurs utilisateurs une authentification unique. Les flux OAuth 2.0 et OIDC sont similaires, sauf qu'ils utilisent une terminologie légèrement différente. 

    Un flux OAuth 2.0 classique présente les étapes suivantes :

    1. Un utilisateur accède à l’application à laquelle il souhaite accéder (le serveur de ressources).
    2. Le serveur de ressources redirige l’utilisateur vers l’application où il dispose d’un compte (le client).
    3. L’utilisateur se connecte à l’aide de ses informations d’identification pour le client.
    4. Le client valide l’accès de l’utilisateur.
    5. Le client envoie un jeton d’accès au serveur de ressources.
    6. Le serveur de ressources accorde à l’utilisateur l’accès.

    Un flux OIDC classique comporte les étapes suivantes :

    1. Un utilisateur accède à l’application à laquelle il souhaite accéder (la partie de confiance).
    2. L’utilisateur tape son nom d’utilisateur et son mot de passe.
    3. La partie de confiance envoie une demande au fournisseur OpenID.
    4. Le fournisseur OpenID valide les informations d’identification de l’utilisateur et obtient l’autorisation.
    5. Le fournisseur OpenID envoie un jeton d’identité et souvent un jeton d’accès à la partie de confiance.
    6. La partie de confiance envoie le jeton d’accès à l’appareil de l’utilisateur’.
    7. L’utilisateur bénéficie d’un accès en fonction des informations fournies dans le jeton d’accès et la partie de confiance. 

  • Le fournisseur OpenID utilise des jetons d'identification pour transmettre les résultats d'authentification et toute information pertinente à l'application de la partie de confiance. Des exemples du type de données envoyées incluent un identifiant, une adresse e-mail et un nom.

Suivez la Sécurité Microsoft