Principe de fonctionnement


Agent FSI (IDV Broker)

L’agent FSI est un service suisse de fédération des identités et des accès électroniques conforme au standard STIAM régissant la cyberadministration. Il relaie vers les services web (RP) des confirmations d’identité et d’accès émanant de prestataires de connexion (IdP) et de bases d’enregistrement (AA).  IdP (Identity Provider), AA (attribute authority) et RP (relying party) sont des désignations officielles issues des normes pertinentes concernant la cyberadministration (eCH) et OASIS .

Le projet FSI s’appuie sur l’agent FSI (IDV Broker).



Mode opératoire

AVANT: chaque service web exploite son propre fournisseur d’identité. Les clients s’enregistrent pour chaque service et reçoivent du fournisseur d’identité les moyens et données d’accès. Les utilisateurs accumulent au fil du temps les comptes et les mots de passe, qu’ils n’utilisent que rarement.


Illustration: AVANT

APRES: l’agent FSI relaie les données d’authentification des fournisseurs d’identité vers les services web. Ceux-ci considèrent l’agent FSI comme un fournisseur d’identité universel représentant tous les autres fournisseurs d’identité, lesquels, de leur côté, identifient et authentifient les utilisateurs de manière effective. Il faut préciser que l’agent FSI ne compte lui-même aucun utilisateur et ne procède à aucune identification ou authentification.


Illustration: APRES

Les clients d’IdP red, IdP blue et IdP three accèdent aux services web. Le site three.ch raccorde son fournisseur d’identité à la communauté, les autres sites web ont cessé d’utiliser leurs fournisseurs d’identité au profit du seul agent FSI (IDV Broker) pour authentifier leurs utilisateurs.



Domaines IDV

Les exigences des participants envers l’agent FSI sont multiples. C’est la raison pour laquelle celui-ci prévoit des sous-agents indépendants, appelés domaines FSI. Un domaine est un agent d’identité dédié à un groupe de participants (IdP, AA et RP) soumis à des règles ou des lois spécifiques. Les domaines FSI sont cloisonnés les uns par rapport aux autres. L’appartenance à un domaine implique de répondre à des règles, des protocoles, des profils techniques, etc. propres au domaine.

 

Exemple: (à suivre)


Avantages

  • Les IdP (fournisseurs d’identité) élargissent leur rayon d’action. Les utilisateurs peuvent se connecter à des services inaccessibles auparavant.
  • Les parties de confiance ne s’appuient désormais plus que sur un seul fournisseur d’identité et sur une seule technologie, l'agent FSI (IDV Broker).
  • Les utilisateurs n’utilisent plus que les informations de connexion de leur choix, finie la jungle des mots de passe.