Présentation de Trusted.ID Service — Système d'authentification unique (SSO)#
Trusted.ID Service est un système d'authentification unique (SSO) pour l'authentification centralisée des utilisateurs et la gestion des accès aux applications d'entreprise.
Le système fournit une authentification centralisée sécurisée avec prise en charge du SSO, d'OAuth 2.0, d'OpenID Connect et de l'authentification à deux facteurs.
Cas d'utilisation de Trusted.ID Service#
Trusted.ID Service est un système conçu pour organiser la connexion centralisée des utilisateurs aux ressources d'information de l'entreprise à l'aide d'un compte unique.
Trusted.ID Service s'adresse aux entreprises qui nécessitent :
- Une fenêtre de connexion unique pour les services internes et externes
- Une gestion centralisée des accès pour différentes catégories d'utilisateurs (employés, prestataires, clients)
- Une sécurité renforcée avec la prise en charge de l'authentification multi-facteurs
- Un contrôle et un audit stricts des actions des utilisateurs
- Une intégration sécurisée de plusieurs applications avec différents systèmes d'authentification
Caractéristiques clés de Trusted.ID Service#
1. Authentification et connexion#
Le système fournit une authentification centralisée et prend en charge plusieurs protocoles et méthodes d'authentification.
Protocoles pris en charge#
- OpenID Connect (OIDC) — authentification de l'utilisateur et transfert des données d'identité
- OAuth 2.0 — autorisation et gestion de l'accès aux ressources
Méthodes d'authentification#
- Méthodes de base : identifiant et mot de passe, e-mail
- Fournisseurs d'identité externes : réseaux sociaux, systèmes d'entreprise de confiance et autres services
- Méthodes améliorées et sans mot de passe : authentification cryptographique via mTLS (certificats clients) et WebAuthn (biométrie, clés matérielles), ainsi que les mots de passe à usage unique TOTP/HOTP
Authentification à deux facteurs (2FA / MFA)#
Trusted.ID Service prend en charge l'authentification multi-facteurs (MFA), où l'accès n'est accordé qu'après une vérification d'identité réussie à l'aide de plusieurs facteurs indépendants (connaissance, possession, biométrie).
2. Gestion des applications et des utilisateurs#
- Création et configuration d'applications : applications web, applications mobiles natives
- Personnalisation du widget : adaptation du widget d'authentification externe à l'image de marque de l'entreprise
- Gestion des utilisateurs : inscription, modification, blocage, changement de mot de passe
3. Sécurité et audit#
- Différenciation des droits d'accès
- Journalisation détaillée de tous les événements et actions
4. Mini-widget#
Un composant JavaScript léger qui offre un accès rapide aux fonctions d'authentification et aux informations utilisateur. Il s'intègre facilement dans n'importe quel site web ou interface, permettant des transitions vers le profil, le tableau de bord de l'organisation et les applications.
Niveaux d'accès#
Le système propose un modèle d'accès flexible basé sur les rôles :
| Rôle | Autorisations | Destiné à |
|---|---|---|
| Gestionnaire | Gestion des applications et des méthodes de connexion pour leur organisation/unité | Chefs de département, chefs de projet |
| Administrateur de l'application | Gestion d'applications spécifiques et de leurs utilisateurs | Développeurs, administrateurs d'applications |
| Membre | Gestion du profil personnel et des autorisations d'accès aux données personnelles | Utilisateurs réguliers, employés |
Modules du système Trusted.ID Service#
1. Profil#
Le module "Profil" permet de gérer les données personnelles de l'utilisateur et les paramètres d'accès. Il comprend des fonctions de modification des informations personnelles, des paramètres de confidentialité, de gestion des autorisations d'application et de consultation des journaux d'activité. Le module donne également accès au catalogue public des applications.
2. Tableau de bord de l'organisation#
Le module "Tableau de bord de l'organisation" permet de gérer les applications, les méthodes d'authentification et les politiques d'accès au sein de l'organisation. Il comprend le paramétrage de l'organisation, la configuration des méthodes de connexion, la gestion des applications de l'organisation et la surveillance de l'activité des utilisateurs.
3. Tableau de bord de l'application (ADM)#
Le module "Tableau de bord de l'application" est conçu pour l'administration d'applications individuelles. Il contient des fonctions pour gérer les applications assignées et surveiller l'activité des utilisateurs ayant accès à ces applications.
Concept et principes de fonctionnement de Trusted.ID Service#
Schéma général d'interaction#
Séquence d'interaction :
- Demande d'accès — l'utilisateur accède au système d'information (SI).
- Vérification dans la DB du SI — le système vérifie l'existence de l'utilisateur.
- Redirection vers le Widget — l'utilisateur est dirigé vers Trusted.ID Service.
- Authentification — l'utilisateur suit la procédure de connexion.
- Vérification dans la DB Trusted.ID Service — validation des identifiants.
- Fourniture du profil — retour des données utilisateur.
- Mappage dans le SI — recherche de l'utilisateur sur la base des données de Trusted.ID Service.
- Vérification des droits — autorisation dans le système cible.
- Accès accordé — connexion réussie au système.
📌 Exigences d'intégration : Pour connecter un système d'information à Trusted.ID Service, une base de données utilisateurs et un module d'autorisation prenant en charge OpenID Connect ou OAuth 2.0 sont nécessaires.
Schéma d'autorisation OpenID Connect#
Étapes clés de l'OIDC :
- L'utilisateur accède au SI.
- Le SI (client) génère
code_verifieretcode_challenge. - Le SI redirige l'utilisateur vers
/authorizedans Trusted.ID Service. - L'utilisateur est redirigé vers le widget d'autorisation Trusted.ID Service.
- L'utilisateur saisit son identifiant/mot de passe et donne son consentement pour le transfert de données.
- La vérification de l'utilisateur est effectuée dans la DB Trusted.ID Service.
- L'utilisateur est redirigé vers le SI (client) avec un
Authorization code. - Le SI envoie une requête à
/tokendans Trusted.ID Service. - Validation du
code_challengeet ducode_verifierdans Trusted.ID Service. - Fourniture de l'
id tokencontenant le profil utilisateur Trusted.ID Service et de l'access token(éventuellement unrefresh token) au SI. - Authentification de l'utilisateur dans le SI.
- L'utilisateur accède au SI.
Schéma d'autorisation OAuth 2.0#
Caractéristiques du flux OAuth 2.0 :
- L'utilisateur accède au SI.
- Le SI redirige l'utilisateur vers
/authorizedans Trusted.ID Service. - L'utilisateur est redirigé vers le widget d'autorisation Trusted.ID Service.
- L'utilisateur saisit son identifiant/mot de passe et donne son consentement pour le transfert de données.
- La vérification de l'utilisateur est effectuée dans la DB Trusted.ID Service.
- Trusted.ID Service redirige l'utilisateur vers le SI avec un
Authorization codevers l'URLRedirect_URI. - Le SI envoie une demande de
tokenen utilisant l'Authorization code. - Trusted.ID Service valide la requête.
- Trusted.ID Service renvoie l'
id tokenet l'access token(éventuellement unrefresh token). - Le SI demande le profil utilisateur.
- Trusted.ID Service fournit le profil utilisateur.
- Le SI valide les réponses et établit une session utilisateur locale.
- L'utilisateur accède au SI.
Schéma d'authentification unique (SSO)#
Scénario typique :
- Demande d'accès au SI1.
- Authentification de l'utilisateur dans Trusted.ID Service.
- Fourniture du profil utilisateur Trusted.ID Service au SI1.
- Demande d'accès au SI2.
- Fourniture du profil utilisateur Trusted.ID Service au SI2 sans répéter la procédure d'authentification.
Voir aussi#
- Gestion de l'organisation — guide pour travailler avec une organisation dans Trusted.ID Service.
- Gestion des applications — guide pour créer, configurer et gérer des applications OAuth 2.0 et OpenID Connect (OIDC).
- Méthodes de connexion et configuration du widget de connexion — guide pour les méthodes de connexion et la configuration du widget de connexion.