Qu'est-ce que Single Sign-On ?
- Glossaire IAM
- Qu'est-ce que Single Sign-On ?
L'authentification unique (SSO) est une technologie d'authentification qui permet à un utilisateur d'accéder à plusieurs applications et services à l'aide d'un seul jeu d'identifiants de connexion. Le SSO vise principalement à réduire le nombre de fois où un utilisateur doit saisir ses identifiants et à lui permettre d'accéder plus facilement à toutes les ressources dont il a besoin, sans avoir à se connecter plusieurs fois.
Les plateformes SSO jouent un rôle essentiel dans la plupart des systèmes de gestion des identités et des accès (IAM) des entreprises. Par ailleurs, chaque fois qu'un consommateur se connecte à un site web à l'aide d'un réseau social (par exemple, en se connectant avec Facebook), il utilise le SSO.
Comment fonctionne l'authentification unique ?
Les systèmes SSO fonctionnent en établissant une relation de confiance entre un utilisateur, un fournisseur d'identité (IdP), et les sites web et applications qui utilisent la connexion SSO, appelés fournisseurs de services. Voici un aperçu général du processus :
L'utilisateur se connecte au fournisseur d'identité. L'utilisateur indique son nom d'utilisateur et son mot de passe au fournisseur d'identité, qui vérifie l'identité de l'utilisateur et authentifie la session.
Le fournisseur d'identité génère un jeton. Ce jeton est une carte d'identité numérique temporaire qui contient des informations sur l'identité et la session de l'utilisateur. Ce jeton, qui est stocké soit dans le navigateur de l'utilisateur, soit dans les serveurs du service SSO, sera utilisé pour transmettre les informations relatives à l'identité de l'utilisateur de l'IdP au fournisseur de services.
L'utilisateur accède à un fournisseur de services. Lorsque l'utilisateur tente d'accéder à un site web ou à une application, ceux-ci demandent une authentification au fournisseur d'identité.
Le fournisseur d'identité envoie le jeton au site web ou à l'application. Le fournisseur d'identité envoie de façon sécurisée un jeton unique chiffré à l'application ou au site web auquel l'utilisateur souhaite se connecter.
Le site web ou l'application vérifie l'identité de l'utilisateur à l'aide des informations contenues dans le jeton. Une fois la vérification réussie, le fournisseur de services accorde l'accès à l'utilisateur, qui peut alors commencer à utiliser le site ou l'application.
L'authentification unique est-elle sécurisée ?
Oui. En fait, l'authentification unique est généralement réputée plus sûre que les systèmes traditionnels d'authentification par nom d'utilisateur et mot de passe. Elle réduit le nombre de mots de passe que les utilisateurs doivent retenir, ce qui les dissuade d'adopter de mauvaises pratiques en matière de sécurité des mots de passe, comme le fait de créer des mots de passe faibles et de réutiliser des mots de passe sur plusieurs comptes.
Cependant, comme pour toute autre technologie, les systèmes SSO doivent être correctement configurés et entretenus pour assurer une sécurité optimale. En outre, il convient d'associer les systèmes SSO à d'autres outils et protocoles IAM, notamment l'authentification multifacteur, un gestionnaire de mots de passe d'entreprise complet et des contrôles d'accès basés sur les rôles.
Types d'authentification unique
Tous les systèmes SSO ont le même objectif final : permettre aux utilisateurs de s'authentifier une seule fois et d'accéder à plusieurs applications et systèmes sans avoir à se reconnecter. Cependant, les protocoles et les normes spécifiques peuvent varier d'un système à l'autre. Voici quelques-uns des termes les plus courants que vous rencontrerez dans le cadre du SSO :
- Le SSO fédéré se retrouve couramment dans les très grandes entreprises qui disposent de plusieurs applications et systèmes répartis entre différents services et sites. Il permet un accès unique à plusieurs systèmes, dans différentes entreprises.
- Le SSO sur le web est souvent utilisé par les entreprises « digital native » dont les collaborateurs travaillent entièrement avec des applications et des services basés sur le cloud.
- Le SAML (Security Assertion Markup Language) n'est pas un « type » de SSO, mais un format de données standard pour l'échange de données d'authentification et d'autorisation entre les parties. SAML est fréquemment utilisé dans les systèmes SSO basés sur le web.
- Kerberos est un protocole d'authentification réseau qui fournit une authentification sécurisée pour les services réseau à l'aide d'un système de « tickets » numériques. Contrairement à SAML, qui sert à authentifier les applications web, Kerberos est une technologie de back-end que l'on trouve dans les réseaux locaux d'entreprise (LAN).
- Lightweight Directory Access Protocol (LDAP) est un protocole de service d'annuaire utilisé pour stocker et récupérer des données concernant les utilisateurs et les ressources. Les solutions SSO basées sur LDAP permettent aux entreprises d'utiliser leur service d'annuaire LDAP existant pour gérer les utilisateurs dans le cadre du SSO. Cependant, comme LDAP n'a pas été conçu pour être intégré aux applications web, les entreprises utilisent généralement leur serveur LDAP comme « source de vérité » faisant autorité (en d'autres termes, comme fournisseur d'identité) en conjonction avec le SSO basé sur SAML.
Avantages et inconvénients de l'authentification unique
Voici les principaux avantages de l'authentification unique :
Commodité et amélioration de l'expérience de l'utilisateur : Le SSO dispense les utilisateurs de se souvenir de plusieurs noms d'utilisateur et mots de passe, ce qui leur permet d'accéder plus rapidement et plus facilement aux services dont ils ont besoin.
Renforcement de la sécurité : Le SSO permet aux administrateurs informatiques de centraliser la gestion des identités des utilisateurs, ce qui contribue à améliorer la sécurité en donnant aux administrateurs une meilleure visibilité et un meilleur contrôle de l'accès de chacun. Cela permet d'éviter l'accès non autorisé à des informations sensibles.
Amélioration de la productivité : Les administrateurs consacrent alors moins de temps à la gestion des identités des utilisateurs, et les utilisateurs ne perdent plus de temps à chercher leurs mots de passe. Une solution SSO permet également de réduire considérablement, voire d'éliminer, les demandes d'assistance liées à des mots de passe oubliés.
Voici les principaux inconvénients de l'authentification unique :
Point de défaillance unique : En cas de défaillance du système SSO, les utilisateurs ne pourront accéder à aucun des services qui en dépendent, ce qui peut entraîner des perturbations importantes. De même, si le système SSO est compromis, les acteurs malveillants ont accès à tous les fournisseurs de services associés. C'est pourquoi il est essentiel de sécuriser les identifiants SSO par une authentification multifacteur.
Complexité : La mise en œuvre d'un système SSO peut être complexe et nécessite un investissement important en temps et en ressources.
Vulnérabilité : Si le système SSO n'est pas correctement entretenu, les acteurs malveillants risquent de le compromettre et d'accéder à de multiples services.
Limites : Toutes les applications ne prennent pas en charge le SSO, en particulier les anciennes applications LOB (Line-of-Business) qui exécutent des fonctions critiques en back-end et qui sont difficiles à remanier ou à remplacer. Un gestionnaire de mots de passe professionnel performant comblera cette lacune.
Comment mettre en œuvre l'authentification unique
La mise en œuvre d'une solution d'authentification unique est un projet informatique majeur qui doit être entrepris minutieusement. Voici les principales étapes à suivre.
Évitez d'utiliser les e-mails, les SMS ou les appels téléphoniques comme facteur d'authentification, sauf si le site ou l'application ne prend pas en charge d'autres méthodes.
Définissez vos besoins : Déterminez les services et les applications qui seront concernés par la mise en œuvre du SSO, ainsi que les exigences en matière de sécurité et de contrôle d'accès pour chacun d'entre eux. N'oubliez pas vos impératifs de sécurité, comme l'authentification multifacteur, la gestion des mots de passe et le contrôle d'accès basé sur les rôles.
Choisissez une solution SSO : Sélectionnez une solution SSO, ou une combinaison de solutions, pour répondre à vos besoins.
Configurez votre fournisseur d'identité : Configurez le fournisseur d'identité de la solution SSO. Ce dernier sera chargé d'authentifier les utilisateurs et de transmettre leurs informations d'identité aux fournisseurs de services intégrés.
Intégrez les fournisseurs de services : Intégrez chaque site web et application à la solution SSO. Cela implique de configurer chaque fournisseur de services pour qu'il communique avec le fournisseur d'identité afin de recevoir les informations relatives à l'identité de l'utilisateur et de vérifier l'authenticité de la session SSO.
Testez la mise en œuvre du SSO : Sélectionnez un petit groupe test d'utilisateurs et assurez-vous qu'ils peuvent toujours accéder aux services et applications nécessaires avec un seul jeu d'identifiants.
Déployez la solution SSO à l'échelle de l'entreprise : En fonction de vos besoins et de votre environnement de données, vous pouvez déployer les composants du fournisseur d'identité et du fournisseur de services sur des serveurs distincts, ou les intégrer à l'infrastructure existante.
Contrôlez et entretenez la solution SSO : Contrôlez régulièrement la solution SSO pour vous assurer qu'elle fonctionne correctement et pour résoudre les problèmes éventuels.
Il est important de garder à l'esprit que la mise en œuvre du SSO nécessite un investissement important en temps et en ressources, et que le processus peut prendre plusieurs mois. Pour une mise en œuvre réussie, il est important de s'entourer de professionnels de l'informatique expérimentés, qui maîtrisent les solutions SSO et les bonnes pratiques en matière de sécurité.