Glossaire IAM
Définitions courtes, neutres et factuelles des principaux termes de la gestion des identités et des accès. Référencées par les articles pour faciliter la lecture.
- ABAC (Attribute-Based Access Control)
- Contrôle d'accès fondé sur des attributs (de l'utilisateur, de la ressource, du contexte) évalués par des règles. Complète ou remplace le RBAC pour les accès dynamiques.
- Access Management (AM)
- Gestion des accès : authentification, SSO, MFA, gestion des sessions. Répond à « qui se connecte, et comment ».
- CIAM (Customer IAM)
- Gestion des identités et accès des utilisateurs externes (clients) : inscription, consentement, expérience. À distinguer de l'IAM interne.
- Fédération d'identité
- Mécanisme permettant à un utilisateur authentifié auprès d'un fournisseur d'identité (IdP) d'accéder à des services tiers (SP), via des standards comme SAML ou OIDC.
- FIDO2 / WebAuthn
- Ensemble de standards (WebAuthn côté W3C, CTAP côté FIDO Alliance) permettant une authentification par clés cryptographiques, sans mot de passe (passkeys).
- IAM (Identity and Access Management)
- Gestion des identités et des accès : ensemble des processus et technologies déterminant qui a accès à quoi, et dans quelles conditions.
- IdP (Identity Provider)
- Fournisseur d'identité : service qui authentifie les utilisateurs et émet des assertions ou jetons d'identité.
- IGA (Identity Governance and Administration)
- Gouvernance et administration des identités : cycle de vie des identités, gestion des habilitations et des rôles, revues d'accès, conformité.
- JML (Joiner-Mover-Leaver)
- Modèle du cycle de vie d'une identité (arrivée, mobilité, départ) déclenchant l'attribution, la modification et le retrait des accès.
- JWT (JSON Web Token)
- Format compact de jeton (standard RFC 7519) transportant des informations vérifiables, souvent utilisé avec OAuth/OIDC.
- MFA (Multi-Factor Authentication)
- Authentification combinant au moins deux preuves de catégories différentes : savoir, possession, inhérence.
- Moindre privilège
- Principe consistant à n'accorder que les droits strictement nécessaires à une tâche.
- OAuth 2.0
- Cadre d'autorisation (standard RFC 6749) permettant de déléguer un accès à des ressources sans partager ses identifiants. Gère l'autorisation, pas l'authentification.
- OIDC (OpenID Connect)
- Couche d'identité construite au-dessus d'OAuth 2.0, ajoutant l'authentification de l'utilisateur (standard de l'OpenID Foundation).
- PAM (Privileged Access Management)
- Gestion des accès à privilèges : contrôle renforcé des comptes à fort pouvoir, gestion des secrets, accès juste-à-temps.
- Passwordless
- Authentification sans mot de passe (clés FIDO/passkeys, liens à usage unique, etc.).
- PBAC (Policy-Based Access Control)
- Contrôle d'accès piloté par des politiques centralisées, souvent fondées sur des attributs. Proche de l'ABAC, avec une gouvernance explicite des règles.
- Provisioning / déprovisioning
- Création et attribution des comptes et droits (provisioning), puis leur retrait (déprovisioning), idéalement automatisés.
- RBAC (Role-Based Access Control)
- Contrôle d'accès basé sur les rôles : les permissions sont rattachées à des rôles, et les utilisateurs en héritent via leurs rôles (standard ANSI/INCITS 359).
- Recertification / revue des habilitations
- Campagnes périodiques où des responsables valident ou révoquent les accès accordés.
- Role mining
- Analyse des attributions utilisateur-permission existantes pour en dériver des rôles RBAC.
- SAML 2.0
- Standard XML (OASIS) d'échange d'assertions d'authentification et d'autorisation, utilisé pour le SSO et la fédération.
- SCIM (System for Cross-domain Identity Management)
- Standard (RFC 7643 et 7644) d'automatisation du provisioning des identités entre systèmes.
- SoD (Separation of Duties)
- Séparation des tâches : empêcher qu'une même personne cumule des droits permettant une action sensible sans contrôle.
- SP (Service Provider)
- Fournisseur de service qui délègue l'authentification à un IdP.
- SSO (Single Sign-On)
- Authentification unique : une seule connexion donne accès à plusieurs applications.
- Zero Trust
- Modèle de sécurité « ne jamais faire confiance, toujours vérifier », où chaque accès est authentifié et autorisé selon le contexte (cadre NIST SP 800-207).