Identité & Politique

Identity Provider (IdP)

Source d’autorité des identités humaines : il authentifie les personnes et fédère l’accès aux systèmes d’IA (OIDC, SAML, MFA).

Plan

Identité & Politique

Étapes du flux

2 · 3

Référentiels

NIST 800-53 · 800-207 · OWASP LLM06 · Anthropic ZTA

Technologie

Pourquoi l’utiliser

Centraliser l’authentification des utilisateurs et fédérer l’accès, au lieu de gérer des comptes et des mots de passe dans chaque application.

Pourquoi c’est important pour la sécurité

Réduit la surface d’attaque d’authentification à un point durci unique : MFA, accès conditionnel et révocation s’y appliquent une fois pour toutes.

Implémentations OktaMicrosoft Entra IDPing IdentityKeycloakDuende IdentityServer

L’identité est le nouveau périmètre : aucune ressource d’IA n’est atteinte sans une identité authentifiée et vérifiée.

Recommandations par palier de maturité

Survolez une recommandation pour l’explication · chaque recommandation porte son numéro de contrôle

Foundation

Socle minimal viable

Authentification centralisée via un IdP unique ; suppression des comptes locaux.
NIST 800-53 IA-2 · IA-8 · AC-2

Un point d’authentification unique élimine les identités fantômes et les secrets dispersés, et donne un seul endroit où couper l’accès.
MFA obligatoire pour tout accès aux systèmes d’IA.
NIST 800-53 IA-2(1)

Le mot de passe seul ne résiste ni au phishing ni au bourrage d’identifiants ; la MFA casse la réutilisation d’un secret volé.
Protocoles d’authentification standards (OIDC / OAuth 2.0 / SAML).
NIST 800-53 IA-8

La fédération standardisée évite les intégrations maison, sources classiques de failles d’authentification.

Enterprise

Standard d’entreprise

Accès conditionnel fondé sur la posture de l’appareil et le risque de connexion.
NIST 800-53 AC-2(12) · SI-4 · IA-2

Un même utilisateur n’a pas les mêmes droits depuis un poste géré sain et depuis un appareil inconnu à risque.
MFA résistante au phishing (FIDO2 / passkeys).
NIST 800-53 IA-2(1) · IA-2(2)

Les codes à usage unique restent hameçonnables ; les clés liées à l’origine (WebAuthn) ne le sont pas.
Cycle de vie des identités automatisé (provisioning / deprovisioning SCIM).
NIST 800-53 AC-2

Le deprovisioning automatique ferme immédiatement la fenêtre des comptes orphelins après un départ.

Advanced

Haute exigence / régulé

Évaluation d’accès continue (CAE) avec révocation quasi temps réel.
NIST 800-53 AC-12NIST 800-207 §3.3

Une session valide cesse de l’être dès qu’un signal de risque apparaît, sans attendre l’expiration du jeton.
Détection de compromission d’identité reliée au SIEM / SOAR.
NIST 800-53 SI-4 · AC-2(12)

Les connexions impossibles ou anormales déclenchent une réponse automatisée plutôt qu’une alerte ignorée.
Politiques d’accès en code, testées et versionnées.
NIST 800-53 CM-3

Traiter l’accès comme du code rend les changements revus, traçables et réversibles.

Notes d’architecture

Reliez l’IdP au PDP, ne le laissez pas décider seul.détails ▸

L’IdP authentifie ; c’est le PDP qui autorise.

Faire transiter la posture et le risque de l’IdP vers le PDP permet une décision d’autorisation contextuelle, au lieu d’un simple « connecté = autorisé ».

Références

NIST SP 800-53 Rev5

IA-2 (Identification & Authentication), IA-8 (Non-org users), AC-2 (Account Management), AC-12 (Session Termination), SI-4 (System Monitoring).

NIST SP 800-207

§3.3 — diagnostics continus et évaluation d’accès continue.

Anthropic ZTA

Authentification forte des identités humaines comme socle du Zero-Trust pour l’IA.

Abréviations

PDP

Policy Decision Point · point de décision d’autorisation

PEP

Policy Enforcement Point · point d’application des politiques

PIP

Policy Information Point · point d’information de politique

PAP

Policy Administration Point · point d’administration des politiques

IdP

Identity Provider · fournisseur d’identité

TSS

Token Service · service de jetons

NHI

Non-Human Identity · identité non-humaine

RBAC

Role-Based Access Control · contrôle d’accès basé sur les rôles

ABAC

Attribute-Based Access Control · contrôle d’accès basé sur les attributs

MFA

Multi-Factor Authentication · authentification multifacteur

HITL

Human-in-the-loop · validation humaine dans la boucle

JIT

Just-In-Time · juste-à-temps

CAE

Continuous Access Evaluation · évaluation continue de l’accès

CAEP

Continuous Access Evaluation Profile

DPoP

Demonstrating Proof-of-Possession · preuve de possession du jeton

mTLS

mutual TLS · TLS mutuel

PII

Personally Identifiable Information · données à caractère personnel

KMS

Key Management Service · service de gestion des clés

CI/CD

Continuous Integration / Continuous Delivery

SIEM

Security Information and Event Management

SOAR

Security Orchestration, Automation and Response

SCIM

System for Cross-domain Identity Management

XACML

eXtensible Access Control Markup Language

OPA

Open Policy Agent

OWASP

Open Worldwide Application Security Project

NIST

National Institute of Standards and Technology

ATLAS

Adversarial Threat Landscape for Artificial-Intelligence Systems

LLM

Large Language Model · grand modèle de langage

WAF

Web Application Firewall · pare-feu applicatif web

CDN

Content Delivery Network · réseau de diffusion de contenu

DDoS

Distributed Denial of Service · déni de service distribué

DLP

Data Loss Prevention · prévention des fuites de données

JWT

JSON Web Token

API

Application Programming Interface · interface de programmation

CRS

Core Rule Set (OWASP) · jeu de règles de base

RAG

Retrieval-Augmented Generation · génération augmentée par récupération

MCP

Model Context Protocol · protocole de contexte pour les modèles

PBAC

Permission-Based Access Control · contrôle d’accès par permissions

HSM

Hardware Security Module · module matériel de sécurité

UEBA

User and Entity Behavior Analytics · analyse comportementale

SBOM

Software Bill of Materials · nomenclature logicielle

SLSA

Supply-chain Levels for Software Artifacts

WORM

Write Once, Read Many · écriture unique

SPIFFE

Secure Production Identity Framework For Everyone