L’authentification unique (SSO) est une option d’identité numérique bien connue des entreprises qui cherchent à rationaliser et à sécuriser les processus de connexion et d’inscription à leurs produits et services. Dans ce billet, je vais expliquer les bases de ce qu’est le SSO du point de vue de l’organisation, des clients finaux de leurs produits et de vous, les développeurs qui mettent en œuvre les API de SSO.
Ce billet est la suite de notre précédent article non technique « Qu’est-ce que le Single Sign-On (SSO) ? Comment pouvez-vous utiliser le SSO pour améliorer la sécurité et l’expérience client ? » Cet article offre un aperçu de base aux collègues qui travaillent sur les aspects commerciaux de votre entreprise. Dans cet article, je vais donner des détails plus techniques concernant le SSO – la structure du SSO et comment le SSO fonctionne dans le contexte des applications web.
Qu’est-ce que le SSO exactement ? Le SSO permet aux utilisateurs de se connecter à un seul compte pour accéder à toutes vos applications web qu’ils ont été autorisés à utiliser.
Le SSO sur le cloud IDaaS
Examinons les différentes perspectives du SSO afin de savoir ce que cela signifie pour toutes les parties concernées.
Utilisateur final
Pour l’utilisateur final de votre application Web, le SSO est invisible. C’est une fonctionnalité qui n’est remarquée que lorsqu’elle est supprimée de votre service, car les utilisateurs (surtout les clients) veulent une expérience sans effort et une sécurité solide de toute application qu’ils choisissent d’utiliser. Si les utilisateurs rencontrent des frictions dans l’interface utilisateur ou apprennent la nouvelle d’une violation de données, ils iront voir ailleurs.
Le SSO offre une expérience utilisateur agréable, en diminuant par exemple la fréquence des invites de connexion. Cet aspect est d’autant plus important que l’authentification multifactorielle (AMF) est de plus en plus courante, ce qui signifie que plusieurs méthodes d’authentification sont nécessaires pour se connecter. Avec l’AMF, le processus de connexion peut sembler plus compliqué pour l’utilisateur, malgré ses avantages incontestables en matière de sécurité. Le fait de pouvoir se connecter moins souvent signifie que cet obstacle à la convivialité est moins fréquent.
Ainsi, un seul ensemble de détails d’authentification est utilisé par différentes applications. Récupérer des mots de passe complexes ou conserver les informations d’identification MFA n’est pas toujours simple.
Les avantages du SSO en termes de commodité peuvent être compensés par les avantages de l’AMF en termes de sécurité lorsqu’ils sont correctement mis en œuvre, par exemple en utilisant des options d’authentification supplémentaires uniquement lors de la connexion à un service en ligne qui requiert des informations plus sensibles (authentification forte). L’authentification basée sur le risque (RBA) est une excellente méthode pour déterminer automatiquement si le besoin d’une authentification forte est présent, en vérifiant si l’adresse IP d’un individu, ou toute autre donnée comportementale est suspecte ou non conforme aux prévisions (voir la section ci-dessous). Cela réduit le risque de violation des données en utilisant moins de procédures d’authentification pour les utilisateurs authentifiés.
Développeur d’applications
Pour les développeurs d’applications web, le SSO les libère de l’obligation (souvent contraignante) d’authentification des utilisateurs, puisque la fonction d’authentification des utilisateurs est retirée de l’application. Le SSO peut être intégré aux API et, comme il s’agit d’une fonction d’identité numérique normalisée, il peut être mis en œuvre rapidement et facilement avec IDaaS (Identity-as-a-Service).
Cela permet au développeur de se concentrer sur les fonctions des applications primaires, qui constituent la « sauce spéciale » de l’entreprise, au lieu de tenter de résoudre des politiques d’authentification compliquées, la gestion des justificatifs d’identité et des politiques qui peuvent nécessiter des années d’étude.
Les exigences relatives à un système d’authentification avancé sont en constante augmentation. Le système doit être capable de fournir des fonctions de base, par exemple, la récupération de mot de passe en libre-service ; cependant, il doit également être suffisamment flexible pour répondre aux besoins du futur (tels que les flux de travail de délégation) tout en suivant l’évolution des réglementations et des normes en constante évolution.
Security Manager
Pour les professionnels de la sécurité, le SSO est synonyme de gestion centrale des identités et des accès (IAM). Le SSO offre aux équipes de sécurité informatique un meilleur accès aux informations et une réaction plus rapide aux menaces liées à la sécurité, ce qui leur permet de mieux gérer les exigences de sécurité et de conformité. Le SSO signifie que le provisionnement et le déprovisionnement des justificatifs d’identité sont effectués en un seul endroit, ce qui réduit le risque de comptes expirés non sécurisés.
Bien que le risque de violation de l’accès à un compte soit évidemment plus élevé qu’avec un système de gestion de l’accès à l’information décentralisé, les utilisateurs ont tendance à suivre des pratiques plus strictes pour leurs justificatifs d’identité (par exemple, mots de passe sécurisés et authentification automatisée), même s’ils ne disposent que du seul jeu de justificatifs d’identité qu’ils gèrent. Cela renforce les avantages du SSO en termes de sécurité.
Architecture SSO
Le SSO est géré par un fournisseur d’identité (IdP) qui constitue la base d’un logiciel central de gestion des accès.
Les applications mobiles et web fonctionnent avec l’IdP en utilisant des protocoles basés sur des normes comme SAML et OpenID Connect. Le fait d’être basé sur des normes permet aux développeurs d’applications de choisir parmi une variété de connecteurs et de modules d’intégration prêts à l’emploi et simples à utiliser. L’interopérabilité entre les IdP de différents fournisseurs permet au développeur de choisir l’IdP à utiliser. Dans certaines situations, l’application peut faire appel à plusieurs IdP, par exemple lorsqu’elle utilise des fournisseurs de connexion sociale populaires comme Google, Microsoft et Facebook.
(Pour en savoir plus sur les différents protocoles, téléchargez gratuitement notre livre blanc : SAML vs OAuth 2.0 vs OpenID Connect)
Fournisseur d’identité Blue Connect
Qu’est-ce que l’authentification unique ? (SSO) ?
Le fournisseur d’identité (IdP) est au cœur du système SSO. L’IdP est situé à une origine (ou adresse réseau) unique qui peut être reconnue par les applications et permettre le suivi de la session.
Si une application doit authentifier l’utilisateur, elle envoie le navigateur web de l’utilisateur à l’IdP. Pour ce faire, elle écrit un message de demande d’authentification basé sur des normes. L’IdP reçoit le message et peut identifier l’application qui demande l’authentification.
En fonction de l’authenticité de l’application ainsi que des paramètres utilisés dans la demande d’authentification, le suivi de session, la navigation et le contexte d’authentification En fonction de l’identité de l’application et du contexte de navigation, l’IdP décide de la manière d’authentifier l’utilisateur.
Une fois l’utilisateur authentifié, l’IdP crée un message de réponse d’authentification, qui est ensuite envoyé au navigateur de l’utilisateur à l’application. L’application exécute alors les actions spécifiques au protocole pour vérifier la réponse, puis reçoit un ensemble d’assertions qui fournissent des informations sur l’identité de l’utilisateur.
Suivi de session
Le terme « session » est quelque peu flou. Le terme « session » est utilisé pour désigner la méthode employée par l’IdP pour garder la trace des authentifications précédentes, c’est-à-dire qu’il est utilisé pour activer les capacités d’authentification unique.
Les technologies de suivi de session de toutes sortes sont liées au réseau ou à l’adresse d’origine où se trouve l’IdP. Pour fonctionner avec l’authentification unique, le navigateur Web de l’utilisateur doit se rendre au même endroit où l’authentification a été effectuée précédemment.
Les cookies http sont parmi les technologies les plus connues utilisées pour mettre en œuvre le suivi de session. Les informations contenues dans les cookies peuvent être un identifiant qui se réfère aux sessions et qui est stocké sur un serveur. L’avantage de stocker les sessions sur un serveur est qu’il diminue la taille des cookies et permet de supprimer les sessions du serveur. Par exemple, dans le cas où la connexion d’un utilisateur est compromise, il est important de pouvoir supprimer toutes les sessions de l’utilisateur.
Le cookie peut également être un jeton cryptographique contenant des revendications qui permettent au serveur de relancer une session existante. L’avantage d’utiliser des jetons est l’évolutivité, car il y a moins de données à conserver du côté du serveur. Cependant, le processus de révocation des sessions et des jetons est plus difficile.
Dans la plupart des cas, il est nécessaire de combiner des jetons cryptographiques et des sessions côté serveur.
Les dernières technologies, comme Web Crypto et Web Storage, peuvent être utilisées pour renforcer la sécurité du suivi des sessions. Web Crypto peut générer des clés cryptographiques qui sont stockées en toute sécurité par les navigateurs. Ces clés sont sécurisées et pourraient être utilisées pour fournir une preuve supplémentaire de la propriété de la session à l’IdP.
Autorisation et consentement
Dans un environnement où le respect de la vie privée est une priorité absolue, il n’est généralement pas conseillé de permettre à une application potentiellement non identifiée d’utiliser une authentification unique pour obtenir des informations permettant d’identifier l’utilisateur. Au lieu de cela, l’IdP doit arrêter le processus de SSO et demander le consentement et la permission de l’utilisateur avant de divulguer des informations sur son identité à une application à laquelle l’utilisateur n’a jamais été confronté auparavant. Comme pour l’authentification et l’autorisation, l’IdP décide de la méthode d’autorisation en fonction de divers paramètres. Il peut accepter quelque chose d’aussi simple qu’un clic sur un bouton, mais l’IdP peut exiger quelque chose de plus compliqué, comme que l’utilisateur saisisse à nouveau les informations d’authentification.
Authentification basée sur le risque
L’authentification unique de l’utilisateur final offre une meilleure expérience utilisateur, mais le responsable de la sécurité pourrait constater une augmentation du risque. Avec l’authentification basée sur le risque, un équilibre constant entre la convivialité et le risque pourrait être atteint.
L’IdP peut être adapté au contexte dans lequel l’authentification a lieu et peut soit exiger une authentification simple, soit demander une authentification plus compliquée.
Par exemple, dans le cas où la demande d’authentification est reçue d’un dispositif de confiance, tel que le réseau du bureau, et également pendant les heures de travail, l’IdP peut accepter une authentification silencieuse basée sur les cookies ainsi que d’autres détails stockés dans le navigateur de l’utilisateur.
Prenons l’exemple d’une demande d’authentification effectuée sur un appareil inconnu dans une zone que l’utilisateur n’a jamais visitée auparavant. Dans ce cas, l’IdP reconnaît les risques et peut exiger une authentification multifactorielle plus forte.
Conclusions
L’authentification unique (SSO) présente de nombreux avantages pour les entreprises utilisant toutes sortes de services et d’applications en ligne lorsqu’elle est mise en œuvre correctement, ce qui en fait l’une des applications d’identité numérique les plus populaires.
Il est facile d’intégrer rapidement et facilement le SSO dans vos applications en utilisant l’Identity as a Service (IDaaS, également connu sous le nom de IAM as a service) d’Ubisecure. IDaaS est un service géré qui vous permet de vous libérer des tracas de la gestion des identités en interne et de vous concentrer sur votre activité principale.
En quoi le SSO peut-il améliorer la sécurité des clients et l’expérience des utilisateurs ?
Le SSO, également connu sous le nom de Single-Sign-On, est un système qui permet aux utilisateurs de se connecter à un domaine ou à une application du réseau, puis d’être authentifiés et de se connecter automatiquement à d’autres domaines ou applications. Cela signifie que l’utilisateur n’aura besoin que d’un seul compte (par exemple, nom d’utilisateur/mot de passe) pour s’authentifier et accéder en toute sécurité à plusieurs services, applications et même à plusieurs fournisseurs de services.
Note : pour une explication des aspects techniques de « Qu’est-ce que le Single Sign-On (SSO) », consultez notre blog « Qu’est-ce que le Single Sign-On (SSO) – Suggestions techniques pour les développeurs d’applications web ».
Le SSO est une méthode utilisée depuis des années par les entreprises pour réduire (et gérer plus efficacement) le nombre d’informations d’identification dont les employés ont besoin pour accéder aux applications spécifiques à l’entreprise. Cependant, nous voyons maintenant que le SSO est également utilisé par des utilisateurs externes comme les clients. Avec le nombre croissant de piratages et de violations d’identités de clients, ce billet de blog se concentrera sur le scénario très attendu d’un consommateur ou d’un client de confiance.
Par exemple, une société d’énergie pourrait utiliser la capacité de SSO d’une plateforme d’identité pour permettre aux clients d’utiliser une authentification d’identité unique et une connexion plus simple à tous ses services numériques comme les paramètres des comptes et les rapports de consommation de gaz, les rapports d’électricité et l’historique des paiements, entre autres.
Schéma de l’authentification unique (SSO)
Jetons un coup d’œil à certaines des questions concernant les avantages du SSO, les niveaux de sécurité et la configuration.
Quels sont les avantages du SSO ?
Le SSO améliore l’expérience utilisateur (UX)
L’amélioration de l’expérience utilisateur est probablement l’un des principaux avantages du single sign-on. Les connexions multiples peuvent être encombrantes et ennuyeuses, et l’élimination de ce besoin est un avantage majeur. Comme les consommateurs exigent de plus en plus une expérience en ligne agréable, une mauvaise expérience utilisateur peut entraîner une perte d’activité.
Un autre avantage de l’interface utilisateur est que les connexions peuvent être authentifiées à l’aide d’informations d’identification que vous pensez que vos utilisateurs aimeraient utiliser, comme des mots de passe ou des noms d’utilisateur, ou une identité numérique existante fournie par un fournisseur d’identité (IdP). L’identité fédérée d’un IdP comprend une variété d’identités numériques existantes, allant de l’identité sociale (Facebook, Google, Twitter) à des identités plus sécurisées, comme une identité électronique pour la nation (eID) ou une identité bancaire.
Les utilisateurs ne sont pas obligés d’établir un nouvel ensemble d’informations d’identification, même s’ils décident de le faire – il existe de nombreux moyens pour les utilisateurs de vérifier leur identité avec l’identité numérique qu’ils possèdent déjà – ce qui est un énorme avantage pour les utilisateurs et renforce la sécurité (nous y reviendrons).
Le SSO réduit le temps d’administration et les coûts
Avec un seul jeu d’informations d’identification à gérer, les problèmes de connexion et d’authentification sont considérablement réduits, ce qui signifie que les administrateurs informatiques passeront beaucoup moins de temps à les résoudre, un avantage qui s’accroît à mesure que votre entreprise se développe.
En outre, la réduction du processus de génération et de désactivation des identifiants d’accès – comme lorsque les contrats avec les partenaires commencent ou se terminent dans le service B2B – permet également de gagner du temps.
Nous savons tous que le temps, c’est de l’argent. Le SSO aide votre entreprise à gagner du temps et de l’argent.
La sécurité de l’authentification unique existe-t-elle ?
Bien que la première impression du SSO puisse vous faire douter des avantages en matière de sécurité que représente le fait de n’avoir qu’un seul jeu d’identifiants pour contrôler l’accès à diverses plateformes, le SSO améliore en fait la sécurité lorsqu’il est utilisé correctement.
Si nous revenons au scénario d’utilisation du partenaire B2B ci-dessus avec une annulation plus simple des informations d’identification d’accès après l’expiration du contrat, cela signifie qu’il est plus facile de suivre et de contrôler ceux qui sont en mesure d’accéder aux données de votre entreprise.
En outre, l’authentification initiale pourrait être extrêmement sûre et sécurisée, l’authentification multifactorielle (MFA) devenant un élément essentiel de la gestion des identités et des accès. Les utilisateurs sont susceptibles de créer des mots de passe uniques plus sûrs lorsqu’ils n’ont besoin d’en créer qu’un seul ou de choisir l’authentification multifactorielle s’ils n’ont besoin de le faire qu’une seule fois.
L’authentification sans mot de passe peut également être utilisée dans le SSO. L’authentification sans mot de passe permet aux utilisateurs de se connecter à l’aide d’un dispositif qu’ils possèdent, et non d’un dispositif qu’ils connaissent (et dont ils doivent se souvenir). Il peut s’agir d’un mot de passe unique basé sur le temps (TOTP) ou d’un compte sur un appareil mobile.
Le SSO vous permet de renforcer votre sécurité en réduisant le nombre d’informations d’identification que vous demandez à vos utilisateurs de gérer et, au lieu de cela, d’unifier plusieurs identités pour créer une identité qui est un ensemble unique d’informations d’identification pour toutes vos applications.
Si les exigences en matière d’assurance de sécurité diffèrent entre vos divisions, vous pouvez mettre en œuvre le processus suivant. Si un utilisateur possède un niveau d’assurance supérieur ou égal dans l’application initiale, mais pas le niveau requis dans la deuxième application, il pourra s’authentifier avec la deuxième application. Cependant, si une personne s’est authentifiée en utilisant un niveau inférieur avec l’application initiale, et que la seconde requiert un niveau supérieur, vous pouvez demander à l’utilisateur de s’authentifier à nouveau.
Que sont les protocoles SSO ?
Les protocoles d’authentification unique ont été évalués, testés et ont fait leurs preuves. Ils comprennent généralement le Security Assertion Markup Language (SAML) et la Web Services Federation (WS-Fed). Aujourd’hui, dans les scénarios d’authentification unique pour gérer l’accès et l’identité des clients (CIAM) ainsi que l’accès et la gestion des identités des partenaires (B2B IAM), nous rencontrons également l’utilisation d’OAuth 2.0, d’OpenID Connect (OIDC) et de Mobile Connect, avec l’utilisation de jetons d’accès pour permettre le partage des détails du compte.
Il est crucial de choisir la solution SSO qui peut prendre en charge le protocole d’authentification unique le plus adapté à vos besoins.
Si vous cherchez à évaluer différents protocoles afin de décider lequel ou lesquels sont les plus adaptés à votre entreprise et à vos besoins, téléchargez notre livre blanc qui compare les protocoles d’autorisation SSO.
L’authentification unique est-elle simple à mettre en œuvre ?
Le SSO est une fonction courante de la gestion des identités pour de nombreuses entreprises, ce qui en fait l’un des cas d’utilisation de l’identité numérique les plus utilisés et un élément crucial de la gestion des accès. Cependant, il faut être prudent lorsqu’on essaie de mettre en œuvre des protocoles et des fonctions SSO en interne en partant de zéro. La gestion de l’identité numérique est un peu compliquée et, avec elle, vient le risque de. Heureusement, il existe de nombreuses solutions SSO qui permettent de simplifier le processus.
Le SSO change
De nombreuses organisations ont traditionnellement contrôlé les identités des utilisateurs et des fournisseurs d’identité en utilisant des systèmes dédiés comme Active Directory (AD) de Microsoft et Lightweight Directory Access Protocol (LDAP). Les outils de gestion des accès, comme le SSO, permettent de fédérer ces identités stockées localement à la bibliothèque d’applications de l’entreprise, localement et, de plus en plus, en utilisant le cloud.
L’évolution du cloud a vu le déplacement des annuaires d’identité vers le cloud, les services d’annuaire étant un composant clé des solutions Identity-as-a-Service (IDaaS). En outre, le champ d’application des annuaires d’identités s’est élargi pour inclure la gestion de la relation client, les ressources humaines et d’autres offres d’annuaire en tant que service. Tout étant dans le cloud, les administrateurs informatiques ont beaucoup plus de contrôle et de visibilité sur les données d’identité qu’ils doivent protéger.
Choisir un fournisseur de SSO Comment IDaaS contribue à accélérer le processus de mise en œuvre
L’utilisation d’une solution SaaS (Software-as-a-Service) pour intégrer la fonctionnalité SSO dans votre application peut réduire considérablement le temps et le coût du déploiement du service. Un tel SSO-as-a-Service est Ubisecure IDaaS (Identity-as-a-Service ou, comme le mentionne Gartner, SaaS delivered IAM).
Le délai de mise sur le marché (et le délai de rentabilité) de l’IDaaS est plus court que celui d’une solution d’identité plus complexe en raison des ensembles de fonctionnalités standard et du fait que l’entreprise n’a pas à superviser la sécurité de la mise en œuvre, la configuration et la gestion de la solution. Il s’agit d’un déploiement simple qui évite de réinventer la roue. IDaaS minimise également les risques causés par de mauvais choix de conception qui pourraient survenir lors de la création d’une solution d’authentification unique au sein de l’entreprise.
