Identité & Politique

Token Service (TSS)

Émission et échange de jetons à courte durée pour les charges de travail et les agents (mTLS, DPoP).

Plan

Identité & Politique

Étapes du flux

2 · 3

Référentiels

NIST 800-53 · RFC 8693/9449/8705 · 800-207

Technologie

Pourquoi l’utiliser

Délivrer et échanger des jetons d’accès courts pour les services et les agents, sans distribuer de secrets durables.

Pourquoi c’est important pour la sécurité

Supprime les secrets longue durée, lie le jeton à son détenteur (anti-rejeu) et permet une révocation immédiate.

Implémentations HashiCorp VaultSPIFFE / SPIREAWS STSEntra Workload IdentityKeycloak Token Exchange

Un secret qui ne meurt jamais finit toujours par fuir : préférez l’éphémère au permanent.

Recommandations par palier de maturité

Survolez une recommandation pour l’explication · chaque recommandation porte son numéro de contrôle

Foundation

Socle minimal viable

Jetons à courte durée de vie ; interdiction des secrets statiques codés en dur.
NIST 800-53 IA-5 · SC-12

Un jeton court réduit la fenêtre pendant laquelle un vol est exploitable ; un secret codé en dur, lui, est éternel.
Émission centralisée des jetons de service.
NIST 800-53 IA-9

Centraliser l’émission donne un point unique d’observation et de coupure.
Transport chiffré de bout en bout (TLS).
NIST 800-53 SC-8

Un jeton en clair sur le réseau est un jeton déjà compromis.

Enterprise

Standard d’entreprise

Échange de jetons (RFC 8693) pour une délégation contrôlée.
RFC 8693NIST 800-53 AC-3

La délégation explicite évite que des services se partagent un même secret pour agir « au nom de ».
Jetons liés au détenteur (DPoP / mTLS), non rejouables.
RFC 9449 · 8705

Un jeton volé devient inutilisable hors du client qui l’a légitimement obtenu.
Audience et portée strictement limitées par jeton.
NIST 800-53 AC-3 · AC-6

Un jeton ne doit ouvrir qu’une porte précise, pas tout le bâtiment.

Advanced

Haute exigence / régulé

Jetons éphémères émis juste-à-temps (JIT) par action d’agent.
NIST 800-53 AC-6 · IA-5

Chaque étape d’une chaîne d’agents reçoit un jeton dédié, minimal et expirant aussitôt l’action faite.
Rotation et révocation automatiques reliées au PDP.
NIST 800-53 IA-5 · AC-12

La décision du PDP peut invalider un jeton en cours, pas seulement bloquer le suivant.
Traçabilité complète : chaque jeton est attribuable à une identité.
NIST 800-53 AU-2 · AU-12

Sans attribution, impossible d’imputer une action à un agent lors d’une investigation.

Notes d’architecture

Bannissez les clés d’API longue durée pour les agents.détails ▸

Elles finissent dans des journaux, des dépôts et des historiques.

Remplacez-les par des jetons JIT liés au détenteur : même exfiltrés, ils sont courts et non rejouables.

Références

RFC 8693

OAuth 2.0 Token Exchange — délégation et échange contrôlés de jetons.

RFC 9449 / 8705

DPoP et jetons liés à mTLS — jetons non rejouables (sender-constrained).

NIST SP 800-53 Rev5

IA-5 (Authenticator Management), IA-9 (Service Auth), SC-8/SC-12 (transport & clés), AC-6 (Least Privilege).

Abréviations

PDP

Policy Decision Point · point de décision d’autorisation

PEP

Policy Enforcement Point · point d’application des politiques

PIP

Policy Information Point · point d’information de politique

PAP

Policy Administration Point · point d’administration des politiques

IdP

Identity Provider · fournisseur d’identité

TSS

Token Service · service de jetons

NHI

Non-Human Identity · identité non-humaine

RBAC

Role-Based Access Control · contrôle d’accès basé sur les rôles

ABAC

Attribute-Based Access Control · contrôle d’accès basé sur les attributs

MFA

Multi-Factor Authentication · authentification multifacteur

HITL

Human-in-the-loop · validation humaine dans la boucle

JIT

Just-In-Time · juste-à-temps

CAE

Continuous Access Evaluation · évaluation continue de l’accès

CAEP

Continuous Access Evaluation Profile

DPoP

Demonstrating Proof-of-Possession · preuve de possession du jeton

mTLS

mutual TLS · TLS mutuel

PII

Personally Identifiable Information · données à caractère personnel

KMS

Key Management Service · service de gestion des clés

CI/CD

Continuous Integration / Continuous Delivery

SIEM

Security Information and Event Management

SOAR

Security Orchestration, Automation and Response

SCIM

System for Cross-domain Identity Management

XACML

eXtensible Access Control Markup Language

OPA

Open Policy Agent

OWASP

Open Worldwide Application Security Project

NIST

National Institute of Standards and Technology

ATLAS

Adversarial Threat Landscape for Artificial-Intelligence Systems

LLM

Large Language Model · grand modèle de langage

WAF

Web Application Firewall · pare-feu applicatif web

CDN

Content Delivery Network · réseau de diffusion de contenu

DDoS

Distributed Denial of Service · déni de service distribué

DLP

Data Loss Prevention · prévention des fuites de données

JWT

JSON Web Token

API

Application Programming Interface · interface de programmation

CRS

Core Rule Set (OWASP) · jeu de règles de base

RAG

Retrieval-Augmented Generation · génération augmentée par récupération

MCP

Model Context Protocol · protocole de contexte pour les modèles

PBAC

Permission-Based Access Control · contrôle d’accès par permissions

HSM

Hardware Security Module · module matériel de sécurité

UEBA

User and Entity Behavior Analytics · analyse comportementale

SBOM

Software Bill of Materials · nomenclature logicielle

SLSA

Supply-chain Levels for Software Artifacts

WORM

Write Once, Read Many · écriture unique

SPIFFE

Secure Production Identity Framework For Everyone