IA-13 - Fournisseurs d’identité et serveurs d’autorisation (PbM-)
Énoncés :
Avoir recours à des fournisseurs d’identité et à des serveurs d’autorisation pour gérer les identités, les attributs et les droits d’accès des personnes, des dispositifs et des entités qui ne sont pas des personnes (NPE pour Non-Person Entity) de manière à soutenir les décisions en matière d’authentification et d’autorisation conformément à la [Affectation : stratégie d’identification et d’authentification définie par l’organisation] faisant appel aux [Affectation : mécanismes définis par l’organisation].
Paramètres :Qu’ils soient à l’intérieur ou à l’extérieur de l’organisation, les fournisseurs d’identité gèrent les authentifiants des personnes, des dispositifs et des NPE et publient les énoncés, souvent appelés « assertions d’identité », qui attestent des identités des autres systèmes ou composants des systèmes. Les serveurs d’autorisation créent et délivrent des jetons d’accès aux personnes et aux dispositifs identifiés et authentifiés, lesquels peuvent être utilisés pour accéder au système ou aux ressources d’information. Par exemple, l’authentification unique (SSO pour Single Sign-On) offre des fonctions propres au fournisseur d’identité et au serveur d’autorisation. La gestion des authentifiants (pour tenir compte de la gestion des informations d’identification) est abordée dans le contrôle IA-05.