Qu'est-ce que l'SSO ?
L'authentification unique (SSO) est une solution d'authentification qui permet aux utilisateurs de se connecter à plusieurs applications et sites web avec une authentification unique. Comme les utilisateurs accèdent aujourd'hui fréquemment aux applications directement depuis leur navigateur, les organisations donnent la priorité aux stratégies de gestion des accès qui améliorent à la fois la sécurité et l'expérience des utilisateurs. Le SSO offre ces deux aspects, car une fois leur identité validée, les utilisateurs peuvent accéder à toutes les ressources protégées par un mot de passe sans devoir se connecter à plusieurs reprises.
En quoi le processus SSO est-il important ?
L'utilisation du SSO pour rationaliser les connexions des utilisateurs profite aux utilisateurs et aux organisations de plusieurs façons.
Sécurité des mots de passe renforcée
Lorsque les utilisateurs n'utilisent pas le SSO, ils doivent se souvenir de plusieurs mots de passe pour différents sites web. Cette situation peut conduire à des pratiques de sécurité non recommandées, comme l'utilisation de mots de passe simples ou répétitifs pour différents comptes. En outre, les utilisateurs peuvent oublier ou mal saisir leurs informations d'identification lorsqu'ils se connectent à un service. Le SSO prévient la surcharge des mots de passe et encourage les utilisateurs à créer un mot de passe fort qui peut être utilisé pour plusieurs sites web.
Meilleure productivité
Les employés utilisent souvent plus d'une application d'entreprise qui nécessite une authentification distincte. Saisir manuellement le nom d'utilisateur et le mot de passe pour chaque application est chronophage et improductif. Le SSO rationalise le processus de validation des utilisateurs pour les applications d'entreprise et facilite l'accès aux ressources protégées.
Réduction des coûts
Dans leur tentative de se souvenir de nombreux mots de passe, les utilisateurs d'entreprise peuvent oublier leurs informations d'identification. Il en résulte des demandes fréquentes pour récupérer ou réinitialiser leurs mots de passe, ce qui augmente la charge de travail des équipes informatiques internes. L'implémentation du SSO réduit le nombre d'oublis de mots de passe et minimalise ainsi les ressources de maintenance nécessaires au traitement des demandes de réinitialisation de mots de passe.
Meilleure posture de sécurité
En minimalisant le nombre de mots de passe par utilisateur, le SSO facilite l'audit des accès des utilisateurs et fournit un contrôle d'accès robuste à tous les types de données. Les risques d'événements de sécurité qui ciblent les mots de passe sont ainsi réduits, le tout en aidant les organisations à se conformer aux réglementations en matière de sécurité des données.
Meilleure expérience client
Les fournisseurs d'applications cloud utilisent le SSO pour offrir aux utilisateurs finaux une expérience de connexion et une gestion des informations d'identification transparentes. Les utilisateurs gèrent moins de mots de passe et peuvent toujours accéder en toute sécurité aux informations et aux applications dont ils ont besoin pour accomplir leurs tâches quotidiennes.
Comment fonctionne le processus SSO ?
Le SSO établit la confiance entre l'application ou le service et un fournisseur de services externe, également appelé fournisseur d'identité (IdP). Cette confiance est établie par une série d'étapes d'authentification, de validation et de communication entre l'application et un service SSO centralisé. Les composants importants des solutions SSO sont indiqués ci-dessous.
Service SSO
Un service SSO est un service central sur lequel les applications s'appuient lorsqu'un utilisateur se connecte. Si un utilisateur non authentifié demande l'accès à une application, celle-ci le redirige vers le service SSO. Le service authentifie alors l'utilisateur et le redirige vers l'application d'origine. Le service fonctionne généralement sur un serveur de politique SSO dédié.
Jeton SSO
Un jeton SSO est un fichier numérique qui contient des informations d'identification de l'utilisateur, telles qu'un nom d'utilisateur ou une adresse électronique. Lorsqu'un utilisateur demande l'accès à une application, l'application échange un jeton SSO avec le service SSO pour l'authentifier.
Processus SSO
Le processus SSO est le suivant :
- Lorsqu'un utilisateur se connecte à une application, celle-ci génère un jeton SSO et envoie une demande d'authentification au service SSO.
- Le service vérifie si l'utilisateur a déjà été authentifié dans le système. Si tel est le cas, il envoie une réponse de confirmation d'authentification à l'application pour accorder l'accès à l'utilisateur.
- Si l'utilisateur n'a pas d'informations d'identification validées, le service SSO redirige l'utilisateur vers un système de connexion central et l'invite à soumettre son nom d'utilisateur et son mot de passe.
- Lors de la soumission, le service valide les informations d'identification de l'utilisateur et envoie une réponse positive à l'application.
- Dans le cas contraire, l'utilisateur reçoit un message d'erreur et doit saisir à nouveau ses informations d'identification. En cas d'échec de plusieurs tentatives de connexion, le service peut bloquer l'utilisateur pendant une période déterminée.
Quels sont les types de SSO ?
Il existe différentes normes et protocoles que les solutions SSO utilisent pour valider et authentifier les informations d'identification des utilisateurs.
SAML
Security Assertion Markup Language (SAML) est un protocole ou un ensemble de règles que les applications utilisent pour échanger des informations d'authentification avec le service SSO. SAML utilise XML, un langage de balisage convivial pour les navigateurs, pour échanger les données d'identification des utilisateurs. Les services SSO basés sur SAML offrent une meilleure sécurité et une plus grande flexibilité, car les applications n'ont pas besoin de stocker les informations d'identification des utilisateurs sur leur système.
OAuth
OAuth, ou Open Authorization, est une norme ouverte qui permet aux applications d'accéder en toute sécurité aux informations des utilisateurs à partir d'autres sites web sans leur donner le mot de passe. Plutôt que de demander les mots de passe des utilisateurs, les applications utilisent OAuth pour obtenir la permission de l'utilisateur d'accéder aux données protégées par un mot de passe. OAuth établit la confiance entre les applications par le biais de l'API, ce qui permet à l'application d'envoyer et de répondre aux demandes d'authentification dans un cadre établi.
OIDC
OpenID est un moyen d'utiliser un seul ensemble d'informations d'identification de l'utilisateur pour accéder à plusieurs sites. Il permet au fournisseur de services d'assumer le rôle d'authentification des informations d'identification de l'utilisateur. Plutôt que de transmettre un jeton d'authentification à un fournisseur d'identité tiers, les applications web utilisent OIDC pour demander des informations supplémentaires et valider l'authenticité de l'utilisateur.
Kerberos
Kerberos est un système d'authentification basé sur des tickets qui permet à deux ou plusieurs parties de vérifier mutuellement leur identité sur le réseau. Il utilise la cryptographie de sécurité pour empêcher tout accès non autorisé aux informations d'identification transmises entre le serveur, les clients et le centre de distribution de clés.
Le SSO est-il sécurisé ?
Le SSO est une solution avancée et souhaitable de gestion des accès aux identités. Une fois déployée, une solution d'authentification unique facilite la gestion de l'accès des utilisateurs aux applications et ressources de l'entreprise. Une solution SSO facilite la définition et la mémorisation de mots de passe robustes pour les utilisateurs d'applications. En outre, l'équipe informatique peut utiliser l'outil SSO pour surveiller le comportement des utilisateurs, améliorer la résilience du système et réduire les risques de sécurité.
Que vaut le SSO par rapport aux autres solutions de gestion des accès ?
Il existe plusieurs solutions de gestion des identités et des accès. Faites votre choix en fonction de vos besoins.
Gestion des identités fédérées
La gestion des identités fédérées (FIM) est un cadre numérique qui permet à plusieurs applications de différents fournisseurs de partager, gérer et authentifier l'identité des utilisateurs. Par exemple, la FIM permet à votre personnel de se connecter à une application et d'accéder ensuite à plusieurs autres applications d'entreprise sans avoir à se reconnecter. La FIM authentifie les informations d'identification soumises par le fournisseur de services auprès d'un fournisseur d'identité crédible.
Comparaison entre SSO et la gestion des identités fédérées
La gestion des identités fédérées est une solution complète d'authentification et de gestion des identités pour les applications inter-domaines. Par ailleurs, l'authentification unique (SSO) est une fonctionnalité spécifique du modèle FIM. Alors que le modèle FIM permet aux utilisateurs d'accéder aux services de différents fournisseurs avec une seule connexion, le SSO est limité aux services ou applications hébergés par un seul fournisseur.
Same sign-on
Same sign-on, qui porte également l'acronyme SSO, est une solution numérique qui stocke et synchronise les informations d'identification de l'utilisateur sur les appareils auxquels il a accès. Elle est comparable aux coffres-forts ou aux gestionnaires de mots de passe qui permettent aux utilisateurs de se connecter à plusieurs applications sur différents appareils sans se souvenir des informations d'identification.
Comparaison entre single sign-on et same sign-on
Les systèmes d'authentification unique (single sign-on) nécessitent une authentification unique de la part de l'utilisateur. Une fois connecté, l'utilisateur peut accéder à d'autres applications et services web sans avoir à s'authentifier de nouveau. En revanche, le same sign-on exige que l'utilisateur répète le processus de connexion à chaque fois avec les mêmes informations d'identification pour l'authentification.
Authentification multi-facteurs
L'authentification multi-facteurs est un cadre d'authentification des utilisateurs utilisant deux technologies ou plus pour vérifier l'identité de l'utilisateur. Par exemple, les utilisateurs saisissent leur adresse électronique et leur mot de passe sur une page web et saisissent un mot de passe unique (OTP) envoyé sur leur téléphone mobile pour permettre un accès sécurisé.
Comparaison entre SSO et l'authentification multi-facteurs
Le SSO permet aux organisations de simplifier et de renforcer la sécurité des mots de passe en permettant l'accès à tous les services connectés avec une seule connexion. L'authentification multi-facteurs fournit des couches de sécurité supplémentaires pour réduire la possibilité d'un accès non autorisé par le biais d'informations d'identification volées. Le SSO et l'authentification multi-facteurs peuvent tous deux être intégrés pour améliorer la sécurité des applications web.
Comment AWS peut-il vous aider avec le SSO ?
AWS IAM Identity Center est une solution d'authentification dans le cloud qui permet aux organisations de créer ou de connecter en toute sécurité les identités de leur personnel et de gérer leur accès de manière centralisée à travers les comptes et applications AWS. Vous pouvez créer des identités d'utilisateur ou les importer depuis des fournisseurs d'identité externes comme Okta Universal Directory ou Azure. Parmi les avantages d'AWS IAM Identity Center, nous pouvons citer :
- Un tableau de bord central pour gérer les identités pour votre compte AWS ou vos applications professionnelles.
- Une prise en charge de l'authentification multi-facteurs pour offrir une expérience d'authentification hautement sécurisée aux utilisateurs.
- Une prise en charge de l'intégration avec d'autres applications AWS pour une authentification et une autorisation sans configuration.
Démarrez avec le SSO sur AWS en créant un compte AWS gratuit dès aujourd'hui.