Authentification fédérée depuis une application de smartphone

  • Article

 

La fédération d’identité permet à des utilisateurs de s’authentifier en réutilisant un compte qu’ils ont déjà par ailleurs.

image

Cela permet à l’application de ne pas avoir à gérer les utilisateurs directement; par exemple, le fait que tel ou tel utilisateur est administrateur peut être géré au niveau du fournisseur d’identité qui peut être typiquement Active Directory Federation Services version 2 (ADFS V2) dans l’entreprise, ou Azure Access Control Services (Azure ACS) dans le nuage. D’autres services comme la fédération Renater en France pour l’authentification dans le monde de l’éducation/recherche sont aussi possibles.

Il est possible de chainer ces fournisseurs d’identité. Par exemple, une application Windows Phone ou iPhone peut avoir pour fournisseur d’identité Azure ACS qui lui-même fera confiance à ADFS V2 qui lui-même fera confiance à Renater.

 

Azure ACS (comme ADFS V2 d’ailleurs) permet de définir des règles de transformation des revendications (claims en anglais); l’authentification arrive au niveau de l’application sous la forme d’un jeton contenant un ensemble de revendications (le fournisseur d’identité garantit qu’il a authentifié pour l’applicaiton un sujet (l’utilisateur) qui a toutes les caractéristiques revendiquées).

Tout cela est expliqué plus en détail dans la page du site MSDN Architecture France dédiée à la fédération d’identité.

 

Les applications de smartphone sont souvent reliées à une application dans le nuage. Cette application peut naturellement être hébergée sur la plateforme Windows Azure. C’est pour cette raison que les équipes Windows Azure proposent un kit de développement pour Windows Phone, iPhone/iOS, et Android (prévu bientôt).

Le 25 juillet dernier a été annoncé que le kit pour iOS a été mis à jour pour permettre l’intégration avec Azure ACS et donc authentifier facilement des utilisateurs Yahoo!, Google, Windows Live ou Facebook sur iPhone ou iPad. Par configuration d’Azure ACS on peut étendre cela à d’autres fournisseurs d’identité tels qu’ADFS V2, permettant ainsi une authentification sur iPhone ou iPad avec des crédentités de l’entreprise.

Vittorio Bertocci montre comment cela peut se mettre en oeuvre depuis un Mac.

 

Cette fonctionnalité de développement d’application smartphone avec une authentification de type Web SSO était déjà disponible pour Windows Phone 7. Quand vous installez le “Windows Azure Toolkit for Windows Phone 7”, vous avez dans Visual Studio 2010 de nouveaux modèles de projet. La vidéo de moins de 5 minutes qui suit montre que l’application fournie dans un de ces modèle est directement fonctionnelle.

L’application se compose d’une partie qui tourne dans le téléphone, et d’une partie qui tourne dans Windows Azure. On voit comment en partant de Visual Studio, on peut développer et tester l’enregistrement depuis le téléphone dans l’application Azure d’un utilisateur Yahoo!

Authentification sur une application Windows Phone 7 avec Yahoo!

 

Smile

Benjamin