CISSP · Réussir du premier coup

Chapitre 14
Fédération et
autorisation

Domaine 5, deuxième partie : l'identité fédérée (SAML, OAuth, OIDC) et tous les modèles d'autorisation avec leurs critères de choix.

Domaine
5 — Identity & Access Management · 13 %
Objectifs couverts
5.3 · 5.4
Entraînement
25 questions + corrigé raisonné
L'essentiel en 60 secondes
  • Fédération : l'IdP authentifie, le SP/RP fait confiance à son assertion — SSO au-delà d'une organisation.
  • SAML = fédération XML pour le web d'entreprise (authentification + attributs).
  • OAuth 2.0 = autorisation déléguée (accès à des ressources), pas de l'authentification.
  • OIDC = couche d'authentification au-dessus d'OAuth 2.0 (id_token/JWT).
  • DAC : le propriétaire décide (ACL) ; MAC : le système impose via des labels (need-to-know).
  • RBAC : droits par rôle/fonction ; rule-based : règles globales (pare-feu) ; ABAC : attributs et contexte (le plus fin).
  • Risk-based / adaptive : l'accès s'ajuste au contexte et au risque en temps réel.
  • PAP écrit, PDP décide, PEP applique, PIP fournit les données — la chaîne de décision.
  • Toute politique se termine par un implicit deny.
  • Matrice d'accès : lue par ligne = capability table (par sujet) ; par colonne = ACL (par objet).

Objectif 5.3Identité fédérée : concepts

La fédération d'identité étend le SSO (chapitre 13) au-delà d'une seule organisation : un utilisateur s'authentifie une fois auprès de son fournisseur d'identité et accède à des services tiers qui font confiance à ce fournisseur. Trois rôles :

RôleFonction
IdP (Identity Provider)Authentifie l'utilisateur et émet une assertion attestant de son identité
SP / RP (Service Provider / Relying Party)Le service consommé ; il fait confiance à l'assertion de l'IdP au lieu d'authentifier lui-même
Trust relationshipLe lien de confiance préétabli (métadonnées, certificats) entre IdP et SP

Modèles de déploiement : on-premise (IdP interne, ex. AD FS), cloud (IDaaS — Identity as a Service, ex. Okta, Entra ID) et hybride. Bénéfice : moins de mots de passe, révocation centralisée. Risque : l'IdP devient un point de défaillance et une cible de choix — sa compromission ouvre tous les services fédérés (à protéger par MFA, chapitre 13).

Objectif 5.3SAML, OAuth, OIDC

La distinction entre ces trois protocoles est l'un des pièges majeurs du domaine 5 — retenez d'abord ce que chacun fait :

ProtocoleFait quoiFormatTerrain
SAML 2.0Authentification + autorisation (fédération, SSO)XML (assertions)SSO web d'entreprise, B2B
OAuth 2.0Autorisation déléguée — accès à des ressourcesJetons (access token)« Se connecter avec… », API, apps mobiles
OIDCAuthentification — couche au-dessus d'OAuth 2.0id_token (JWT)Authentification moderne web/mobile

SAML — le flux

L'utilisateur demande un service (SP) → le SP le redirige vers l'IdP → l'IdP l'authentifie → l'IdP renvoie une assertion SAML signée (identité + attributs) → le SP la vérifie et accorde l'accès. La signature XML garantit l'intégrité et l'authenticité de l'assertion.

OAuth — l'autorisation déléguée

OAuth 2.0 permet à une application d'accéder à des ressources au nom d'un utilisateur, sans connaître son mot de passe. Ses rôles : resource owner (l'utilisateur), client (l'application), authorization server (émet les jetons), resource server (héberge les données). Il repose sur des grants (authorization code, client credentials…) et des tokens (access token, refresh token). Point critique : OAuth seul n'est pas de l'authentification — l'utiliser pour « prouver qui est l'utilisateur » est une erreur de conception classique.

OIDC — l'authentification par-dessus

OpenID Connect ajoute à OAuth 2.0 une couche d'identité : il émet un id_token (un JWT signé décrivant l'utilisateur) qui, lui, authentifie. C'est ce qui alimente les boutons « Se connecter avec Google ».

🧠 Mnémonique — SAML / OAuth / OIDC

« SAML c'est le XML de l'entreprise ; OAuth donne les clés (autorisation) ; OIDC dit qui tu es (authentification). » Réflexe : « autorisation/accès à une API » → OAuth ; « authentification/qui es-tu » → OIDC (ou SAML si c'est du web XML d'entreprise).

Objectif 5.4Les modèles d'autorisation

ModèleQui décideFondé surUsage type
DACLe propriétaire de l'objetACL, à la discrétion du propriétaireSystèmes de fichiers (Windows, Unix)
MACLe système (politique centrale)Labels de classification + need-to-know (treillis, chapitre 6)Militaire, environnements très sensibles
RBACL'organisation, par rôleFonction/poste de l'utilisateurEntreprise (le plus courant)
Rule-basedDes règles globalesConditions identiques pour tousPare-feu, filtrage horaire
ABACDes attributs et politiquesAttributs sujet + objet + environnementLe plus fin et dynamique (XACML)
Risk-based / adaptiveLe contexte évalué en temps réelRisque, comportement, appareil, localisationZero trust, authentification adaptative
🧠 Mnémonique — modèles

« DAC = le Détenteur décide · MAC = la Machine impose · RBAC = le Rôle · ABAC = les Attributs. » Réflexe d'énoncé : « le propriétaire du fichier accorde l'accès » → DAC ; « labels de classification » → MAC ; « selon le poste » → RBAC ; « selon le contexte/attributs » → ABAC.

Objectif 5.4Application des politiques et matrices

La chaîne de décision — PAP, PDP, PEP, PIP

ComposantRôle
PAP (Policy Administration Point)Là où les politiques sont écrites et gérées
PDP (Policy Decision Point)Là où la décision d'accès est calculée (permit/deny)
PEP (Policy Enforcement Point)Là où la décision est appliquée (la porte qui s'ouvre ou non)
PIP (Policy Information Point)Là où le PDP puise les données (attributs, contexte)

Le flux : le PEP intercepte la demande → interroge le PDP → qui évalue les politiques (du PAP) en récupérant les attributs (au PIP) → renvoie permit ou deny → le PEP exécute. Deux principes transverses : l'implicit deny (tout ce qui n'est pas explicitement autorisé est refusé) et la constrained interface (l'utilisateur ne voit/n'invoque que ce que ses droits permettent — menus grisés, commandes masquées, chapitre 6).

La matrice d'accès — lignes contre colonnes

La matrice de contrôle d'accès croise sujets (lignes) et objets (colonnes), chaque cellule listant les droits. On la découpe de deux façons — piège récurrent :

DécoupageContenuAssocié à
Ligne (par sujet)Ce qu'un sujet peut faire sur tous les objetsCapability table — liée au sujet (ex. ticket Kerberos)
Colonne (par objet)Qui peut agir sur un objet donnéACL — liée à l'objet (ex. permissions d'un fichier)
🧠 Mnémonique — capability vs ACL

« La ligne suit le sujet (Capability), la colonne garde l'objet (ACL). » Capability = « voici ce que je peux faire » (attaché au sujet) ; ACL = « voici qui peut me toucher » (attaché à l'objet). Question fréquente sur le sens de lecture de la matrice.

Enfin, le contrôle peut être content-dependent (la décision dépend de la donnée demandée — masquer une colonne « salaire ») ou context-dependent (elle dépend du contexte — heure, séquence, localisation ; le firewall stateful en est un exemple).

⚠️ Pièges d'examen
  • OAuth = autorisation (accès), pas authentification ; OIDC ajoute l'authentification par-dessus OAuth. Ne jamais les confondre.
  • SAML = XML, fédération web d'entreprise. « Se connecter avec Google » sur une app mobile → OIDC/OAuth, pas SAML.
  • DAC = le propriétaire décide ; MAC = le système impose via labels. « Le propriétaire du fichier » = DAC systématiquement.
  • RBAC (rôle) ≠ rule-based (règles pour tous) — même acronyme abrégé, sens différents.
  • ABAC est le plus fin/dynamique (attributs + contexte) ; risk-based/adaptive = zero trust.
  • PEP applique, PDP décide, PAP écrit, PIP informe. Le PEP est la « porte », le PDP le « juge ».
  • Matrice : ligne = capability (par sujet) ; colonne = ACL (par objet). Sens de lecture souvent testé.
  • Toute politique se termine par un implicit deny.
  • Content-dependent = selon la donnée ; context-dependent = selon le contexte (heure, séquence).
Scénario fil rouge — Awa

Awa unifie les identités des deux entités fusionnées via un IDaaS : l'ancien annuaire de Berlin et l'AD du siège se fédèrent, l'IdaaS devient l'IdP unique, protégé par MFA. Les applications SaaS RH et finance se branchent en SAML (web d'entreprise, XML) ; la nouvelle app mobile client s'authentifie en OIDC, et son accès aux API de paiement passe par des jetons OAuth — Awa reprend un développeur qui voulait « authentifier avec OAuth seul », en imposant OIDC par-dessus. Côté autorisation, elle remplace le patchwork de droits individuels par du RBAC aligné sur les fonctions — un changement de poste réattribue les droits en bloc, fini le privilege creep. Pour les données de paiement les plus sensibles, elle ajoute une couche ABAC : approbation possible seulement pour un rôle donné, depuis un appareil géré, aux heures ouvrées, sous un certain montant. La décision est centralisée dans un PDP, appliquée par les PEP devant chaque service, alimentée par un PIP — le tout se terminant par un implicit deny.


Quiz25 questions

Conditions réelles : 30 minutes, une seule passe, réponses notées avant de consulter le corrigé.

Question 1

In a federated identity system, what is the role of the identity provider (IdP)?

  1. It hosts the protected resource
  2. It authenticates the user and issues an assertion of identity
  3. It stores the application's source code
  4. It replaces the need for encryption
Voir la réponse Réponse : B

L'IdP authentifie et émet l'assertion d'identité que les services consommeront. Héberger la ressource (A) est le rôle du SP.

Question 2

What does a service provider (relying party) do in a federation?

  1. Authenticates the user directly with a password
  2. Trusts the assertion issued by the IdP instead of authenticating the user itself
  3. Issues identity assertions to other providers
  4. Manages the physical network
Voir la réponse Réponse : B

Le SP/RP fait confiance à l'assertion de l'IdP au lieu d'authentifier lui-même — c'est le principe même de la fédération. A décrit l'authentification directe qu'on cherche à éviter.

Question 3

Which protocol is XML-based and commonly used for enterprise web single sign-on?

  1. OAuth 2.0
  2. SAML 2.0
  3. RADIUS
  4. Kerberos
Voir la réponse Réponse : B

SAML 2.0 : XML, fédération et SSO web d'entreprise. OAuth (A) est de l'autorisation, RADIUS/Kerberos (C, D) sont d'autres mécanismes.

Question 4

What is the PRIMARY purpose of OAuth 2.0?

  1. Authenticating users
  2. Delegated authorization — granting an application access to resources on a user's behalf
  3. Encrypting network traffic
  4. Managing physical access
Voir la réponse Réponse : B

OAuth 2.0 délègue l'autorisation : une app accède aux ressources au nom de l'utilisateur, sans son mot de passe. Ce n'est pas de l'authentification (A) — la confusion à ne jamais faire.

Question 5

A developer uses OAuth 2.0 alone to verify who a user is. Why is this a design error?

  1. OAuth is an authorization framework, not an authentication protocol
  2. OAuth cannot issue tokens
  3. OAuth only works on-premises
  4. OAuth requires SAML to function
Voir la réponse Réponse : A

OAuth est un cadre d'autorisation : l'utiliser seul pour « savoir qui est l'utilisateur » est un contresens — il faut OIDC par-dessus. B, C, D sont factuellement faux.

Question 6

What does OpenID Connect (OIDC) add to OAuth 2.0?

  1. A hardware token
  2. An authentication layer that issues an id_token (JWT) identifying the user
  3. A firewall
  4. A password vault
Voir la réponse Réponse : B

OIDC ajoute la couche d'authentification et émet un id_token (JWT) décrivant l'utilisateur. Les autres options n'ont rien à voir avec OIDC.

Question 7

A mobile app offers "Sign in with Google." Which technology authenticates the user?

  1. SAML
  2. OpenID Connect (OIDC)
  3. RADIUS
  4. TACACS+
Voir la réponse Réponse : B

« Se connecter avec Google » sur mobile = OIDC (authentification au-dessus d'OAuth). SAML (A) serait du web d'entreprise XML — pas le cas ici.

Question 8

What is a PRIMARY security risk of federated identity?

  1. Users must remember more passwords
  2. Compromise of the IdP grants access to all federated services
  3. It cannot support cloud applications
  4. It disables all logging
Voir la réponse Réponse : B

La fédération concentre le risque sur l'IdP : le compromettre ouvre tous les services fédérés — d'où l'exigence de MFA. A décrit l'inverse du bénéfice (moins de mots de passe).

Question 9

In which access control model does the owner of a resource decide who may access it?

  1. Mandatory access control (MAC)
  2. Discretionary access control (DAC)
  3. Rule-based access control
  4. Attribute-based access control (ABAC)
Voir la réponse Réponse : B

Le propriétaire qui décide = DAC (ACL à sa discrétion). MAC (A) est imposé par le système ; « le propriétaire du fichier » pointe toujours vers DAC.

Question 10

Which access control model uses classification labels and need-to-know, enforced by the system rather than the owner?

  1. DAC
  2. MAC
  3. RBAC
  4. Rule-based
Voir la réponse Réponse : B

Labels de classification + need-to-know imposés par le système = MAC. Ni le propriétaire ni l'utilisateur ne peuvent contourner les étiquettes.

Question 11

A company assigns permissions based on employees' job functions, so a role change reassigns rights automatically. Which model is this?

  1. DAC
  2. MAC
  3. RBAC
  4. ABAC
Voir la réponse Réponse : C

Droits par fonction, réattribués au changement de poste = RBAC — ce qui combat le privilege creep. Ne pas confondre avec le rule-based (règles globales).

Question 12

Which access control model evaluates attributes of the subject, object, and environment for the most granular, dynamic decisions?

  1. DAC
  2. ABAC
  3. Rule-based
  4. MAC
Voir la réponse Réponse : B

ABAC combine attributs du sujet, de l'objet et de l'environnement : le modèle le plus fin et dynamique (XACML). Les autres sont moins expressifs.

Question 13

A firewall applies the same rule set to all traffic regardless of user identity. Which access control type is this?

  1. Role-based access control
  2. Rule-based access control
  3. Discretionary access control
  4. Attribute-based access control
Voir la réponse Réponse : B

Des règles identiques pour tous, indépendantes de l'identité = rule-based (le pare-feu en est l'exemple type). Le RBAC (A) dépend du rôle de chacun.

Question 14

Access tightens automatically when a user logs in from an unusual country on an unknown device. Which model is this?

  1. Discretionary access control
  2. Risk-based (adaptive) access control
  3. Mandatory access control
  4. Static rule-based control
Voir la réponse Réponse : B

L'accès qui se durcit selon le contexte (pays, appareil, comportement) = risk-based/adaptive — le socle du zero trust. Les autres modèles sont statiques.

Question 15

Which is a KEY weakness of discretionary access control?

  1. The system prevents any sharing of resources
  2. Owners can propagate permissions, risking uncontrolled data spread
  3. It cannot be used on file systems
  4. It requires classification labels
Voir la réponse Réponse : B

En DAC, le propriétaire peut propager les droits : la donnée peut se répandre sans contrôle central. C'est la faiblesse structurelle du modèle, absente du MAC.

Question 16

In an XACML-based system, which component actually enforces the access decision?

  1. The Policy Administration Point (PAP)
  2. The Policy Decision Point (PDP)
  3. The Policy Enforcement Point (PEP)
  4. The Policy Information Point (PIP)
Voir la réponse Réponse : C

Le PEP applique la décision — c'est la « porte ». Le PDP décide (B), le PAP écrit les politiques (A), le PIP fournit les données (D).

Question 17

Which component evaluates policies and returns a permit or deny decision?

  1. PAP
  2. PDP
  3. PEP
  4. PIP
Voir la réponse Réponse : B

Le PDP calcule la décision (permit/deny) à partir des politiques et des attributs. C'est le « juge » de la chaîne.

Question 18

Where does the PDP retrieve the attributes and contextual data it needs for a decision?

  1. From the PEP
  2. From the PIP (Policy Information Point)
  3. From the firewall log
  4. From the user's browser cache
Voir la réponse Réponse : B

Le PDP puise attributs et contexte au PIP (Policy Information Point). Le PEP (A) ne fait qu'appliquer ; il n'est pas la source des données.

Question 19

Reading an access control matrix by ROW (per subject) produces what structure?

  1. An access control list (ACL)
  2. A capability table
  3. A firewall rule
  4. A classification label
Voir la réponse Réponse : B

Par ligne (par sujet) = capability table : « ce que je peux faire ». Par colonne (par objet) donnerait une ACL — la distinction testée.

Question 20

Reading an access control matrix by COLUMN (per object) produces what structure?

  1. A capability table
  2. An access control list (ACL)
  3. A security label
  4. A role definition
Voir la réponse Réponse : B

Par colonne (par objet) = ACL : « qui peut toucher cet objet ». La capability (A) se lit par ligne, côté sujet.

Question 21

A Kerberos ticket that lists what a subject may access is an example of what?

  1. An ACL bound to the object
  2. A capability bound to the subject
  3. A classification label
  4. A firewall rule
Voir la réponse Réponse : B

Un ticket qui liste ce que le sujet peut atteindre est une capability attachée au sujet. Une ACL (A) serait attachée à l'objet.

Question 22

A control that hides a "salary" column from users not authorized to see it is which type?

  1. Context-dependent control
  2. Content-dependent control
  3. Rule-based control
  4. Mandatory label
Voir la réponse Réponse : B

Décision fondée sur la donnée demandée (la colonne salaire) = content-dependent. Le context-dependent (A) dépendrait de l'heure ou de la séquence, pas du contenu.

Question 23

Which principle dictates that any access not explicitly permitted is denied?

  1. Implicit allow
  2. Implicit deny
  3. Least astonishment
  4. Fail-open
Voir la réponse Réponse : B

Implicit deny : tout ce qui n'est pas explicitement autorisé est refusé (deny by default). L'implicit allow (A) et le fail-open (D) ouvriraient l'accès par défaut.

Question 24

A constrained interface achieves security by doing what?

  1. Encrypting all data at rest
  2. Showing users only the functions and data their privileges permit
  3. Forcing password rotation
  4. Blocking all network traffic
Voir la réponse Réponse : B

La constrained interface ne montre que ce que les droits permettent (menus grisés, commandes masquées) : l'utilisateur ne peut même pas tenter l'interdit. Les autres options décrivent d'autres contrôles.

Question 25

Which statement correctly distinguishes RBAC from rule-based access control?

  1. RBAC assigns rights by job role; rule-based applies global rules to all subjects
  2. They are identical
  3. RBAC uses classification labels; rule-based uses ownership
  4. Rule-based assigns rights by role; RBAC uses attributes
Voir la réponse Réponse : A

RBAC = droits par rôle/fonction ; rule-based = règles globales appliquées à tous. D inverse les deux définitions — le piège de l'acronyme partagé.

Auto-diagnostic

≥ 20/25 : passez au chapitre 15. Entre 15 et 19 : récitez la distinction SAML/OAuth/OIDC et la table des modèles d'autorisation. < 15 : relisez le chapitre ; ces deux tableaux sont parmi les plus rentables de l'examen.

FicheFiche de révision

À savoir par cœur avant le chapitre 15
  1. Fédération : IdP authentifie et émet une assertion, SP/RP fait confiance ; on-prem / cloud (IDaaS) / hybride.
  2. SAML 2.0 = XML, authentification + attributs, SSO web d'entreprise.
  3. OAuth 2.0 = autorisation déléguée (accès ressources/API), PAS authentification.
  4. OIDC = authentification par-dessus OAuth (id_token/JWT), ex. « Se connecter avec Google ».
  5. Risque fédération : compromettre l'IdP ouvre tous les services → MFA.
  6. DAC = le propriétaire décide (ACL) ; MAC = le système impose (labels, need-to-know, hierarchical/compartmentalized/hybrid).
  7. RBAC = par rôle/fonction (anti privilege creep) ≠ rule-based = règles globales pour tous (pare-feu).
  8. ABAC = attributs sujet+objet+environnement (le plus fin, XACML) ; risk-based/adaptive = contexte temps réel (zero trust).
  9. Chaîne : PAP écrit · PDP décide · PEP applique · PIP informe.
  10. Matrice d'accès : ligne = capability (par sujet) ; colonne = ACL (par objet).
  11. Content-dependent = selon la donnée ; context-dependent = selon l'heure/séquence/localisation.
  12. Implicit deny + constrained interface partout.