Salle des nouvelles & Médias Le blog de la GLEIF
Les traductions de ce site web dans des langues autres que l'anglais sont générées par l'IA. Nous ne garantissons pas l'exactitude et ne sommes pas responsables des erreurs ou dommages résultant de l'utilisation du contenu traduit. En cas d'incohérences ou d'ambiguïtés, la version anglaise prévaut.

Des mots de passe à la preuve : Comment l'authentificateur vLEI établit des rôles organisationnels vérifiables

Andre Kudra, CIO d'esatus AG, explique comment l'authentificateur vLEI, développé en collaboration avec GLEIF, rend opérationnelle l'utilisation du vLEI dans les systèmes de gestion des identités et des accès afin de permettre un processus de connexion qui valide automatiquement le rôle d'une personne et l'autorité de l'organisation.

Auteur: Andre Kudra, directeur de l'information d'esatus AG

  • Date: 2026-02-24
  • Vues:

Dans la gestion de l'identité numérique, l'authentification dépend toujours d'hypothèses. Nous vérifions les informations d'identification, les mots de passe ou les jetons qui nous disent qui l'utilisateur prétend être, mais rarement qui il représente ou sous quelle autorité il agit. Andre Kudra, CIO d'esatus AG, a déjà expliqué comment le vLEI Authenticator - développé en collaboration avec GLEIF - comble cette lacune en établissant une identité organisationnelle vérifiable et des rôles délégués, basés sur une preuve cryptographique plutôt que sur des assertions de confiance. Dans ce suivi, M. Kudra se penche sur les fondements techniques de l'authentificateur vLEI.

Quand le "qui" ne suffit pas

Dans les systèmes d'entreprise, les utilisateurs se connectent en tant qu'individus. Mais de nombreux processus, tels que les audits de Conformité, l'intégration des fournisseurs, l'accès aux données et les rapports réglementaires, nécessitent de connaître l'organisation derrière la personne et son rôle formel au sein de celle-ci. En outre, les systèmes d'identité traditionnels, même ceux basés sur la fédération ou le SSO, reposent sur des affirmations telles que "l'utilisateur X appartient à l'entreprise Y" Ces affirmations ne sont pas vérifiables cryptographiquement et dépendent de la maintenance de l'annuaire ou de la confiance contractuelle.

L'Identifiant d'entité légale vérifiable (vLEI) répond à ces limitations. Utilisant la technologie ACDC (Authentic Chained Data Container) et le protocole KERI (Key Event Receipt Infrastructure), il s'agit d'un justificatif numérique pour les organisations, émis par des Émetteurs vLEI homologués (QVI) sous la Gouvernance du GLEIF. Il permet de vérifier qu'une organisation existe officiellement et que des personnes spécifiques sont autorisées à agir en son nom. Toutes les informations sont sécurisées par cryptographie, lisibles par machine et vérifiables au sein de l'écosystème vLEI du GLEIF.

Lorsqu'il est associé à un justificatif de rôle organisationnel officiel (OOR) ou de rôle contextuel d'engagement (ECR), un vLEI peut exprimer non seulement l'organisation à laquelle une personne appartient, mais aussi la fonction qu'elle exerce, par exemple, en tant que directeur financier, responsable de la conformité ou représentant autorisé.

L'authentificateur vLEI rend ce concept opérationnel dans les systèmes de gestion des identités et des accès (IAM) du monde réel. Voici comment il fonctionne.

De l'identité à la vérification : Une architecture pratique

Le vLEI Authenticator s'intègre à Keycloak, la solution IAM open-source, via son interface fournisseur de services (SPI). Il ne modifie pas Keycloak lui-même mais étend le flux d'authentification avec une étape de vérification supplémentaire.

Lorsqu'un utilisateur choisit "Login with vLEI", Keycloak délègue le processus à SOWL, la couche d'orchestration développée par esatus. SOWL fait le lien entre les composants d'identité décentralisés, tels que les portefeuilles, les vérificateurs et les émetteurs, et les infrastructures IAM des entreprises. Il coordonne la demande, la présentation et la validation des informations d'identification vérifiables, puis renvoie un résultat de vérification signé à Keycloak, qui émet le jeton OpenID Connect (OIDC) ou SAML habituel.

Dans la pratique, la majeure partie du processus s'exécute automatiquement en arrière-plan. Cela signifie que, du point de vue de l'utilisateur, se connecter avec une vLEI est aussi simple que de sélectionner l'option et de confirmer la présentation de l'identifiant dans son portefeuille.

La séquence suivante décrit ce qui se passe en arrière-plan :

  1. L'utilisateur sélectionne "Login with vLEI" dans une application telle que Nextcloud.
  2. Keycloak déclenche le flux d'authentification SOWL.
  3. SOWL interagit avec l'extension de navigateur KERIAuth, qui demande l'identifiant vLEI OOR ou ECR de l'utilisateur à son KERIa Cloud Wallet.
  4. Le portefeuille crée une présentation vérifiable et les en-têtes de signature, de sorte que la présentation vérifiable puisse être envoyée au vérificateur.
  5. Il renvoie ensuite la présentation vérifiable et les en-têtes de signature au SOWL via l'extension KERIAuth.
  6. Le SOWL transmet la présentation au vérificateur de la vLEI, qui vérifie l'authenticité et l'intégrité par le biais de la chaîne de confiance KERI sous la Gouvernance du GLEIF.
  7. Une fois la validation effectuée, le SOWL confirme le résultat à Keycloak, qui complète l'authentification et émet le jeton d'accès.

Les mots de passe sont facultatifs dans ce flux, et la compatibilité avec les connexions existantes par nom d'utilisateur et mot de passe est préservée. La connexion ne réussit que si le justificatif d'organisation (vLEI) et le justificatif de rôle (OOR ou ECR) sont valides, signés cryptographiquement et traçables auprès d'un émetteur autorisé. C'est ce que le GLEIF appelle la chaîne de confiance vLEI.

SOWL : faire fonctionner les références vérifiables à l'échelle de l'entreprise

Comme indiqué, SOWL est une couche de plateforme développée par esatus pour gérer les informations d'identification vérifiables dans divers systèmes. Sa conception s'aligne sur le cadre de référence de l'architecture de l'UE (ARF) et prend en charge des normes telles que OpenID4VCI et OpenID4VP, ainsi que des formats de justificatifs tels que SD-JWT et mDoc.

Dans le cas d'utilisation de l'authentificateur vLEI, SOWL offre trois fonctionnalités de base :

  1. Orchestration : coordination du flux entre les portefeuilles, les vérificateurs et les systèmes IAM tout en séparant les domaines de confiance.
  2. Normes : exposition d'interfaces REST uniformes pour que Keycloak, et potentiellement d'autres systèmes IAM à l'avenir, puissent consommer les résultats de la vérification en tant que décisions d'authentification.
  3. Conformité et auditabilité : s'assurer que chaque événement de vérification est enregistré, reproductible et aligné sur le modèle de gouvernance de GLEIF.

En découplant la logique de vérification des systèmes IAM, SOWL permet aux infrastructures existantes d'utiliser des informations d'identification vérifiables sans avoir à revoir leur conception. Il étend les limites de la confiance au domaine de l'identité décentralisée tout en maintenant le contrôle et la traçabilité de l'entreprise.

Combiner Gouvernance et cryptographie

Dans l'écosystème vLEI, la Gouvernance et la cryptographie travaillent main dans la main. Le GLEIF définit les règles et les points d'ancrage de confiance pour les LEI et les vLEI, mais ne les émet pas. Les QVI émettent, dans le cadre d'une gouvernance définie, des vLEI d'entités légales ainsi que des justificatifs OOR, et les entités légales gèrent leurs propres justificatifs ECR. Ce modèle de confiance à plusieurs niveaux relie la Gouvernance, la délivrance, la vérification et le contrôle d'accès en une seule chaîne :

  • Le GLEIF fournit une gouvernance mondiale et des ancrages de confiance.
  • Les IVQ et les entités légales émettent des justificatifs.
  • Des vérificateurs indépendants les valident par cryptographie.
  • Les systèmes IAM tels que Keycloak utilisent les résultats via SOWL.

L'authentification devient ainsi un processus gouverné et vérifiable, et non plus une simple décision de confiance locale.

Ce que l'intégration dans le monde réel nous a appris

L'authentification basée sur la vLEI a été testée et déployée dans un environnement d'entreprise productif, ce qui a permis de tirer des enseignements clairs :

  • L'intégration : L'approche SPI de Keycloak a permis une intégration modulaire et peu contraignante.
  • Expérience utilisateur : Le flux de connexion est intuitif et ne repose pas sur des mots de passe.
  • Sécurité : Les portefeuilles de garde simplifient les opérations mais exigent la disponibilité ; les phrases de passe restent essentielles pour la protection des clés.
  • Performance : La vérification s'effectue en quelques secondes.
  • Stabilité : La présentation par navigateur via KERIAuth s'est avérée robuste et interopérable.

Le résultat est un processus de connexion qui valide automatiquement le rôle d'une personne et l'autorité de l'organisation grâce à des informations d'identification vérifiables. Les organisations ont utilisé avec succès le vLEI Authenticator pour vérifier à la fois l'identité de leur entreprise et l'autorisation des employés à agir en leur nom. L'accès aux données n'était accordé qu'après vérification. Le processus s'est déroulé en quelques secondes et a remplacé les vérifications manuelles qui prennent généralement des heures ou des jours.

Si le déploiement au sein de l'écosystème GLEIF montre que l'authentification vérifiable est prête à être utilisée dans le monde réel, la prochaine Contestation est l'interopérabilité. Les travaux futurs se concentrent sur l'intégration de l'Authenticator dans des cadres d'identité basés sur des portefeuilles, tels que le Business Wallet de l'Identité numérique européenne (EUDI). Bien que KERI/ACDC et SD-JWT VC reposent sur des bases différentes, ils partagent tous deux un principe commun : la confiance distribuée vérifiée par cryptographie. Le rapprochement de ces architectures permettrait de relier l'IAM de l'entreprise à l'infrastructure d'identité numérique sécurisée de l'Europe, faisant de la "confiance" une couche opérationnelle partagée plutôt qu'un postulat.

De la connexion à la confiance

L'authentificateur vLEI montre comment l'identité organisationnelle et les rôles délégués peuvent être intégrés dans les systèmes d'entreprise sans perturber les architectures existantes. En combinant la Gouvernance de GLEIF, les références vérifiables et l'orchestration de SOWL, l'authentification devient vérifiable dès la conception, prouvable cryptographiquement, vérifiable et axée sur les politiques.

Cela laisse présager un avenir où l'accès à l'entreprise ne sera pas basé sur des secrets partagés, mais sur une vérité partagée et vérifiable au sein des organisations et des secteurs.

Page préc.
Page suivante
Liens associés:

Si vous souhaitez commenter une publication sur le blog, veuillez vous identifier à l'aide de votre prénom et de votre nom. Votre nom apparaîtra à côté de votre commentaire. Aucune adresse e-mail ne sera publiée. Veuillez noter qu'en accédant ou en contribuant au forum de discussion, vous acceptez de respecter les conditions de la Politique de la GLEIF en matière de blog ; veuillez donc les lire attentivement.

Lire tous les textes précédents du blog de la GLEIF >
À propos de l’auteur:

Andre Kudra est le directeur informatique d'esatus AG. Il est internationalement reconnu comme l'une des figures de proue de l'Identité numérique auto-souveraine. Il joue un rôle actif dans les organismes de normalisation et de Gouvernance, notamment IDunion, Trust over IP, et les initiatives mondiales telles que vLEI. Il allie une expertise technique approfondie à une compréhension stratégique des cadres réglementaires. En tant qu'entrepreneur et leader technologique, il conduit depuis des années le développement d'écosystèmes d'identité numérique sécurisée.

Balises pour cet article:
Identifiant d'entité juridique (LEI), Les LEI vérifiables (vLEI), Global Legal Entity Identifier Foundation (GLEIF), Identité numérique
Blogs associés:
Vues

Transformer les données en opportunités : Metric in Motion – Comprendre la corroboration

Date: 2026-03-06 Auteur: Zornitsa Manolova
Vues

# 20 dans la série de blogs LEI Lightbulb - Comment le LEI et le vLEI peuvent faire progresser la surveillance des actifs numériques à l'échelle mondiale

Date: 2026-02-17 Auteur: Alexandre Kech
Vues

Tendances stratégiques en matière de qualité des données : Metric in Motion - Une approche de la qualité des données basée sur l'IA

Date: 2026-02-06 Auteur: Zornitsa Manolova
Vues

Le LEI en chiffres : La transparence mondiale et la numérisation stimulent l'adoption du LEI en 2025

Date: 2026-01-26 Auteur: Alexandre Kech
Vues

Pourquoi la collaboration numérique exige une identité organisationnelle vérifiable

Date: 2026-01-21 Auteur: Andre Kudra, directeur de l'information d'esatus AG
Vues

Tendances stratégiques en matière de qualité des données : de l'innovation en matière d'IA à la confiance évolutive en 2026

Date: 2026-01-08 Auteur: Zornitsa Manolova