Connexion

Comparaison entre l’authentification et l’autorisation

Dans les systèmes informatiques modernes, l'authentification et l'autorisation sont des termes populaires qui prêtent souvent à confusion. Ces deux termes sont liés à la sécurité. Mais souvent, les gens pensent qu’ils sont interchangeables. Cependant, comme vous l'apprendrez au fil de votre lecture, l'authentification et l'autorisation ont des significations et des applications différentes.

Si vous êtes pressé, vous pouvez passer directement à la section Comparaison entre l'authentification et l'autorisation au bas de cette page. Section Autorisation au bas de cet article. Si vous souhaitez en savoir plus, lisez les sections suivantes. Vous aborderez brièvement deux sujets :

  • Qu'est-ce que l'authentification ?
  • Qu'est-ce que l'autorisation ?

En plus de comprendre l’authentification et l’autorisation, vous saurez tout sur leurs différences et leurs similitudes. Enfin, vous apprendrez comment Auth0 gère l'authentification et l'autorisation.

Qu'est-ce que l'authentification ?

L'authentification est le processus de confirmation de l'identité d'un utilisateur ou d'un dispositif (c'est-à-dire une entité). Au cours du processus d'authentification, une entité s'appuie généralement sur une preuve pour s'authentifier, c'est-à-dire un facteur d'authentification. Par exemple, si vous allez à la banque pour retirer de l'argent, l'employé peut vous demander un document d'identité d'utilisateur pour vérifier qui vous êtes. Dans le même ordre d'idées, si vous achetez un billet d'avion, vous aurez besoin d’un passeport pour prouver que vous êtes la personne habilitée à utiliser ce billet avant de monter dans l'avion. Ces deux exemples illustrent des situations réelles dans lesquelles des processus d'authentification servent à confirmer votre identité (utilisateur authentifié).

Dans une transaction numérique, par exemple, lorsque vous essayez d'accéder à votre profil Facebook ou au client webmail de votre entreprise, un processus similaire intervient. Dans ces situations, au lieu de présenter une pièce d'identité, un passeport ou autre, vous prouvez généralement votre identité en montrant au système des données spécifiques (comme un nom d'utilisateur et un mot de passe), ou que vous possédez un appareil (par exemple un téléphone portable pour recevoir un SMS avec un code). Après avoir présenté ces informations, ou prouvé que vous contrôlez un appareil particulier, le système ciblé reconnaît votre identité et vous laisse entrer. Dans ce scénario, l'utilisateur authentifié utilise des facteurs d'authentification pour prouver son identité. Ces facteurs peuvent être une authentification unique, une authentification à deux facteurs ou une authentification multi-facteur.

En quoi consiste l’autorisation ?

Contrairement à l'authentification, l'autorisation fait référence au processus de vérification des ressources auxquelles les entités (utilisateurs ou dispositifs) peuvent accéder, ou aux actions qu'elles peuvent effectuer, c'est-à-dire leurs droits d'accès.

Pour un exemple concret, imaginez une situation où vous achetez un billet pour un spectacle. Dans ce cas, le plus souvent, l'établissement ne s'intéresse pas à votre identité (qui vous êtes). Ce qui l'intéresse, c'est de savoir si vous êtes autorisé ou non à assister au spectacle. Pour prouver que vous avez le droit d’entrer, au lieu d'utiliser une pièce d'identité ou un passeport, vous utiliserez un billet.

Souvent, le billet qui vous autorise à assister au spectacle ne contient aucune information sur votre identité. Cependant, même s'il contient des informations sur votre identité, ce n'est pas ce que vérifie le processus d'autorisation.

Dans les applications logicielles basées sur Internet, une approche commune consiste à utiliser des artefacts appelés jetons pour gérer l'autorisation. En général, une fois qu'un utilisateur est connecté, les applications s'intéressent à ce qu'il peut faire. Dans ce scénario, cela conduit à la création d'un jeton qui contient des détails d'autorisation basés sur l'identité de l'utilisateur. Le système utilise ce jeton d'autorisation pour prendre des décisions d'autorisation, c'est-à-dire pour accorder ou empêcher une demande d'accès à des ressources.

Comparaison entre l’authentification et l’autorisation

Bien que les sections ci-dessus permettent de comprendre ce que signifient l'authentification et l'autorisation, la définition et l'utilisation de ces termes peuvent souvent se chevaucher (ce qui peut être à l'origine de la confusion générale à leur sujet). Par exemple, dans le scénario de la banque, l'identité de l'utilisateur présentée à l'employé est également utilisée pour autoriser l'accès aux fonds de votre compte.

Dans un scénario similaire, une entreprise qui se sert de badges pour contrôler l'accès à des salles les utilise aussi pour authentifier la personne (nom et photo) et pour autoriser l'accès.

Vous voyez donc que l'authentification et l'autorisation sont des sujets qui semblent être interchangeables dans certains scénarios, et c'est ce qui crée la confusion.

Cependant, le point important est que l'authentification mène à l'autorisation, mais que l'autorisation ne mène pas à l'authentification.

Alors qu'une preuve d'identité peut être suffisante pour accorder des droits d'accès (être autorisé à déclencher une action, par exemple), le fait d'avoir une autorisation ne peut pas toujours être utilisé pour identifier une entité.

Par exemple, une carte d'embarquement vous autorise à monter dans l'avion, et elle contient également des données sur votre identité. Elle permet donc à l'équipage de connaître votre nom. En revanche, un billet pour assister à un spectacle ne contient pas forcément des données sur votre identité. Il prouve simplement que vous avez le droit d’entrer dans la salle, rien d'autre.

En résumé:

  • L'authentification est l'action d'identifier un utilisateur ou un appareil.

  • L'autorisation est l'action d'autoriser ou de refuser les droits d'accès des utilisateurs et des appareils.

  • L'authentification peut être utilisée comme un facteur dans les décisions d'autorisation.

  • Les artefacts d'autorisation peuvent ne pas être utiles pour identifier les utilisateurs ou les appareils.

Vous souhaitez en savoir plus ?

Poursuivez la lecture de notre page Introduction à l'IAM pour explorer d'autres sujets relatifs à la gestion des identités et des accès.

Table of contents

Créer ou acheter ?

Découvrez ce qu'il vous faut pour répondre à vos besoins en matière d'authentification et d'autorisation.

Obtenir le livre blanc

Quick assessment

Lesquels de ces cas d'utilisation décrivent les systèmes d'authentification ? (choisissez toutes les réponses qui s'appliquent)

Quick assessment

Laquelle de ces réponses est correcte ?

Commencez à construire gratuitement