Un test d'interopérabilité sur la pré-production de STORK v2 en 6 étapes

Depuis le printemps les états membres travaillent sur STORK v2 qui est, de fait, le seul protocole de fédération opérationnel en Europe dans le cadre de la réglementation eIDAS (910/2014). Voici une petite mise en œuvre en avant-goût de ce que pourra être un accès à un service transfrontière.

Pour cela, j'ai choisi le service de test espagnol auquel j'ai soumis une identité estonienne. Les applications présentées ne servent que pour les tests et toute une partie des échanges que je vais montrer seront invisibles de l'utilisateur, c'est donc technique.

Etape 1 : choix du service et de la source d'identité

Dans cette étape nous désignons le service de test que nous souhaitons accéder (SP COUNTRY), nous indiquons quel pays nous fournit notre identité (CITIZEN COUNTRY) et nous sélectionnons les attributs nous représentant (eIdentifier, surname, name). Dans la réalité cette étape sera masquée par une page qui laissera moins de choix à l'utilisateur, en fait seulement son pays. La capture ne le montre pas mais il est possible d'avoir plusieurs types d'identité : personne physique, morale ou représentant d'une personne morale.

Etape 2 : fabriquer la requête SAML authnRequest

STORK repose sur le standard SAML v2 pour l'authentification, il faut donc fabriquer une assertion SAML à partir des informations précédentes qui sera soumise à la ressource. Dans la réalité cette étape sera invisible de l'utilisateur.

Etape 3 : choix de l'authentification

L'Estonie propose une authentification par carte à puce ou mobile, cette page sera présentée à l'utilisateur.

Etape 4 : authentification

Dans mon cas, je choisis le certificat qui est lu sur ma carte à puce et qui est protégé par un code pin. Avec certain fournisseur d'identité il peut y avoir une étape de validation des données transmises au service demandé.

Etape 5 : présentation de la réponse à la ressource

De nouveau une étape technique basée sur une assertion SAML. Ce ne sera pas visible par l'utilisateur.

Etape 6 : la preuve de la réussite de l'authentification et l'accès

Le site de test nous met en forme les données qu'il a reçues et indique le succès de la transaction. L'utilisateur aura lui en échange l'accès à l'application qu'il demandait.

Conclusion

Les états travaillent sur l'implémentation de STORK en fonction de leurs caractéristiques, cependant tous ne semblent pas au même niveau. Si je n'ai pas choisi la France, c'est que ce test avec l'Estonie ne fonctionne pas. Mais c'est le cas avec beaucoup d'autres implémentations. Il reste donc du travail à faire jusqu'en juillet 2018.

Stéphane

Stéphane Popoff

Architecte des systèmes d'identité et d'accès, je dispose d'une bonne culture de développement. Proche des utilisateurs je défends bec et ongle leurs intérêts dans les projets d'intégration.