La fédération d'identité (identity federation) est un mécanisme qui établit une relation de confiance entre plusieurs domaines ou organisations, afin qu'une identité gérée par l'un soit reconnue par les autres. Elle est le fondement conceptuel du SSO inter-organisations.
Le principe : au lieu que chaque service gère ses propres comptes, ils délèguent l'authentification à un fournisseur d'identité (IdP) de confiance. Les fournisseurs de service (SP) acceptent les jetons émis par cet IdP grâce à un accord (échange de métadonnées et de certificats).
Organisation A (IdP) Organisation B (SP)
┌──────────────────┐ confiance ┌──────────────────┐
│ Annuaire + │ ◀─────────────▶ │ Application │
│ authentification│ (métadonnées, │ métier │
└──────────────────┘ certificats) └──────────────────┘
utilisateur ───── jeton SAML / OIDC ─────▶ accès accordé
Cas d'usage concrets : se connecter à un service partenaire avec le compte de son entreprise, un consortium universitaire partageant un portail commun, ou une entreprise utilisant Microsoft Entra ID comme IdP pour des centaines d'applications SaaS.
| Sans fédération | Avec fédération |
|---|---|
| Un compte par application | Une identité réutilisée |
| Mots de passe dispersés | Authentification centralisée |
| Révocation manuelle partout | Révocation en un point |
À retenir
La fédération repose sur des protocoles comme SAML et OpenID Connect pour véhiculer les assertions de confiance. Elle simplifie l'accès et renforce la sécurité, à condition de protéger rigoureusement l'IdP, qui devient la clé de voûte de tout l'édifice.
