Bernard Ourghanlian, Directeur Technique et Sécurité de Microsoft a rappelé les objectifs et l’architecture du projet Geneva à l’occasion des cinquièmes Rencontres de l’Identity Management d’Atheos.

L’objectif de Geneva est d’offrir un socle commun de gestion des identités utilisables par toute application, quel que soit son contexte et sa technologie d’authentification.

« Une fois l’application modifiée pour reconnaître Geneva, elle ne fait plus appel à son propre référentiel d’identités ou à un annuaire : c’est l’infrastructure Geneva qui s’occupe de valider les identités des utilisateurs. Que l’application soit dans un domaine Windows, sur le web ou dans une infrastructure de cloud computing, cela ne change ainsi plus rien pour elle », explique Bernard Ourghanlian.

Le projet s’appuie pour cela sur un serveur de jetons (Active Directory Federation Server), un client local (CardSpace Geneva Edition) et un environnement de programmation (Geneva Framework, basé sur .Net). A terme, des implémentations pour d’autres plates-formes sont imaginables, Microsoft tenant à ne pas restreindre le projet à Windows.

C’est l’approche de fédération d’identité qui a été retenue pour Geneva. WS-Federation agit comme couche de transport des jetons, tandis que ces derniers sont au format SAML.

Dans le scénario d’utilisation présenté par Microsoft, le client local contacte l’application cible afin de connaître ses exigences en matière d’informations au sujet de l’utilisateur, et présente ces dernières au serveur de jetons. Après avoir authentifié l’utilisateur, le serveur génère un jeton signé qui est transmis à l’application, qui dispose alors des éléments demandés et de la certitude de leur authenticité. Il est également envisageable d’établir une relation de confiance entre deux serveurs de jetons d’entreprises différentes afin de donner aux utilisateurs de l’une accès aux applications de l’autre.

Comme toute initiative de son genre, Geneva souffre toutefois de la nécessité de modifier les applications existantes et dépend fortement de l’adhésion d’éditeurs tiers. Deux obstacles qui, même pris individuellement, ont déjà faits couler plus d’un projet de ce type…