Adoptez un fournisseur d’identité sur mesure, ou comment Okta vous aide à intégrer la vérification d’identité

Dans l’environnement de travail actuel, caractérisé par des attaques sophistiquées de phishing et de deepfakes, il ne suffit plus de s’appuyer sur un mot de passe et l’authentification multifacteur (MFA). Les entreprises doivent vérifier l’identité réelle d’un utilisateur, en particulier lors de moments critiques tels que l’onboarding d’un compte et la récupération d’un mot de passe.

Prenons les scénarios suivants :

• Pour sécuriser l’onboarding de nouvelles recrues, vous devez vérifier que le collaborateur distant qui reçoit un ordinateur portable fourni par l’entreprise et s’y connecte est bien la personne qui a été embauchée et autorisée à accéder aux ressources. 
• Dans le domaine des services financiers, un nouveau client disposant de fonds importants doit faire l’objet d’un onboarding. Vous devez confirmer son identité avec certitude avant qu’il ne puisse accéder à son compte et effectuer des transactions, afin d’empêcher tout fraudeur d’utiliser des identifiants volés.
• Dans le secteur de la santé, un patient essaie de réinitialiser le mot de passe de son portail pour accéder à des dossiers médicaux sensibles. Une simple réinitialisation de mot de passe comporte trop de risques et l’opération exige plutôt une vérification de présence pour empêcher un acteur malveillant d’accéder au compte.
• Dans le contexte d’une marketplace d’e-commerce, il convient de s’assurer que la personne qui souhaite devenir vendeur est bien celle qu’elle prétend être, en vérifiant que son identité réelle correspond à son enregistrement d’entreprise, afin d’empêcher les vendeurs frauduleux de rejoindre la plateforme.
• Les organismes publics s’adressant aux citoyens, tels que ceux qui traitent les allocations de chômage, ont besoin d’établir avec assurance l’identité des nouveaux demandeurs afin d’approuver rapidement les nouvelles demandes en période de forte affluence.

C’est ici qu’intervient la vérification d’identité (IDV, Identity Verification). Pour les entreprises qui ont besoin d’un fournisseur spécifique ou d’une solution interne, Okta fournit le framework flexible nécessaire pour intégrer presque n’importe quelle solution IDV. Cette stratégie aide les entreprises à réduire la fraude, à rationaliser l’onboarding et à offrir des expériences numériques sécurisées et conviviales.

Qu’est-ce que la vérification d’identité (IDV) ?

L’IDV permet de s’assurer que la personne qui présente les informations est bien le propriétaire légitime de l’identité concernée. Ce processus implique généralement diverses méthodes, telles que la vérification de documents, les contrôles de présence, la biométrie, les empreintes digitales, les questions de connaissance et bien plus encore. La vérification d’identité ajoute une couche supplémentaire d’assurance à chaque interaction avec l’utilisateur.

Comment fonctionne l’IDV dans Okta ?

La fonctionnalité de fournisseur personnalisé (BYO IDV) d’Okta utilise un standard qui délègue la majeure partie des vérifications de documents, de la détection de présence et de la correspondance des données aux fournisseurs IDV. Vous pouvez ainsi choisir votre propre fournisseur ou intégrer une solution interne qui répond à vos besoins. Parmi les avantages de cette approche : 

• Spécialisation : Okta gère la politique de sécurité, tandis que le fournisseur tiers apporte son expertise en matière de vérification d’identité.
• Normalisation  : la connexion utilise OpenID Connect (OIDC) et les demandes PAR (Pushed Authorization Request) pour une communication sécurisée et fiable entre Okta et le fournisseur/la solution IDV.

Flux IDV de haut niveau

Comment ce processus fonctionne-t-il exactement ? Voici, dans les grandes lignes, comment Okta orchestre un flux de vérification d’identité du début à la fin :

1. Ajout par l’administrateur d’un fournisseur IDV en tant que fournisseur d’identité : ensuite, l’administrateur le configure dans Okta Account Management Policy.
2. Déclenchement de la politique Okta Account Management Policy : l’utilisateur tente une action qui déclenche une politique Okta Account Management Policy (par exemple l’enregistrement d’un nouvel authentificateur, la réinitialisation du mot de passe en libre-service ou le déverrouillage d’un compte).
3. Requête initiée par Okta : Okta identifie que la politique exige une vérification d’identité. La solution envoie de manière sécurisée une requête (POST /oauth2/par) contenant l’identifiant de l’utilisateur et les paramètres de vérification requis, tels que le prénom, le nom et d’autres informations, au serveur d’autorisation du fournisseur IDV.
4. Redirection de l’utilisateur : le fournisseur IDV répond avec un URI de session. Okta utilise ce processus pour rediriger le navigateur de l’utilisateur depuis la page de connexion Okta vers le flux de vérification dédié du fournisseur.
5. Vérification : l’utilisateur effectue la vérification directement auprès du fournisseur.
6. Réponse du fournisseur : une fois la procédure terminée, le fournisseur IDV envoie une réponse à Okta. Cette réponse contient le statut « vérifié » ou « échoué ».
7. Évaluation des politiques d’Okta : Okta évalue le niveau d’assurance renvoyé par le fournisseur. La règle est ensuite marquée comme vérifiée ou ayant échoué, ce qui détermine si l’utilisateur peut continuer.