Comment l’authentification unique fonctionne-t-elle ?

L’authentification unique (SSO) est une méthode qui permet aux utilisateurs de s’authentifier en toute sécurité sur plusieurs applications et sites Web à l’aide d’une seule paire d’identifiants.

L’authentification SSO repose sur une relation de confiance entre une application, ou un fournisseur de services, et un fournisseur d’identité, comme OneLogin. La relation de confiance s’appuie souvent sur l’échange d’un certificat entre le fournisseur d’identité et le fournisseur de services. Ce certificat peut être utilisé pour signer les informations envoyées par le fournisseur d’identité au fournisseur de services, afin que ce dernier sache qu’elles proviennent d’une source approuvée. Avec l’authentification SSO, ces données se présentent sous la forme de jetons contenant les informations d’identification de l’utilisateur, comme un e-mail ou un nom d’utilisateur.

Le flux de connexion se déroule généralement comme suit :

1. L’utilisateur se rend sur l’application ou le site Web auquel il souhaite accéder : le fournisseur de services.
2. Le fournisseur de services envoie au système SSO, ou fournisseur d’identité, un jeton contenant des informations sur l’utilisateur, comme son e-mail, dans le cadre de la requête d’authentification de cet utilisateur.
3. Le fournisseur d’identité vérifie d’abord si l’utilisateur est déjà authentifié, auquel cas il lui accorde l’accès à l’application du fournisseur de services, puis il passe à l’étape 5.
4. Si l’utilisateur ne s’est pas connecté, il est invité à le faire en fournissant les informations d’identification requises par le fournisseur d’identité. Il peut simplement s’agir d’un nom d’utilisateur et d’un mot de passe, ou cela peut inclure une autre forme d’authentification comme un mot de passe à usage unique (OTP).
5. Une fois que le fournisseur d’identité valide les informations d’identification fournies, il renvoie un jeton au fournisseur de services pour confirmer l’authentification.
6. Le fournisseur de services reçoit le jeton par l’intermédiaire du navigateur de l’utilisateur.
7. Le jeton reçu par le fournisseur de services est validé d’après la relation de confiance établie entre le fournisseur de services et le fournisseur d’identité au moment de la configuration initiale.
8. L’accès au fournisseur de services est accordé à l’utilisateur.

Lorsque l’utilisateur tente d’accéder à un autre site Web, ce dernier doit avoir une relation de confiance similaire avec la solution SSO pour que le flux d’authentification suive les mêmes étapes.

Un jeton SSO est un ensemble de données ou d’informations passées d’un système à l’autre pendant le processus d’authentification SSO. Il peut s’agir de l’adresse e-mail d’un utilisateur et d’informations relatives au système envoyant le jeton. Les jetons doivent être signés numériquement pour que le destinataire puisse vérifier qu’il provient d’une source approuvée. Le certificat utilisé pour cette signature numérique est échangé pendant le processus de configuration initial.

La réponse à cette question est : « ça dépend ».

L’authentification SSO peut renforcer la sécurité de bien des manières. Une solution d’authentification unique peut simplifier la gestion des noms d’utilisateur et des mots de passe pour les utilisateurs et les administrateurs. Les utilisateurs n’ont plus besoin de retenir différentes paires d’identifiants. Il leur suffit de se souvenir d’un seul mot de passe plus complexe. L’authentification SSO permet souvent aux utilisateurs d’accéder à leurs applications beaucoup plus rapidement.

Ce type d’authentification peut également réduire le temps que le centre d’assistance doit consacrer aux utilisateurs ayant perdu leur mot de passe. Les administrateurs peuvent contrôler les exigences comme la complexité des mots de passe et l’authentification multifacteur (MFA) de manière centralisée. Les administrateurs peuvent rapidement révoquer les privilèges de connexion lorsqu’un utilisateur quitte l’entreprise.

Mais l’authentification unique a tout de même quelques inconvénients. Il y a peut-être des applications auxquelles vous voudriez restreindre un peu plus l’accès. C’est pourquoi il est important de choisir une solution SSO qui vous permette d’exiger un facteur d’authentification supplémentaire avant qu’un utilisateur se connecte à une application spécifique, ou une solution qui empêche les utilisateurs d’accéder à certaines applications à moins qu’ils ne le fassent à partir d’un réseau sécurisé.

L’implémentation exacte de l’authentification unique dépend de la solution choisie. Mais indépendamment des étapes spécifiques, vous devez veiller à définir des objectifs de mise en œuvre clairs. Posez-vous bien les questions suivantes :

• À quels types d’utilisateurs avez-vous affaire et quelles sont les exigences associées ?
• Recherchez-vous une solution sur site ou une solution Cloud ?
• Cette solution doit-elle pouvoir évoluer en fonction de votre activité et de vos besoins ?
• Quelles fonctionnalités souhaitez-vous utiliser pour vous assurer que seuls les utilisateurs approuvés se connectent ? Authentification multifacteur (MFA), authentification adaptative, appareils de confiance, listes blanches d’adresses IP, etc. ?
• Avec quels systèmes avez-vous besoin que la solution s’intègre ?
• Avez-vous besoin d’un accès par API ?

Il est essentiel de comprendre la différence entre l’authentification unique et les banques ou gestionnaires de mots de passe, auxquels on se réfère parfois avec l’acronyme SSO, qui peut vouloir dire Same Sign-on et non Single Sign-on. Avec les banques de mots de passe, vous pouvez avoir la même paire nom d’utilisateur/mot de passe, mais elle doit être entrée chaque fois que vous passez à une autre application ou à un autre site Web. Les banques de mots de passe stockent les informations d’identification associées à chaque application et les insèrent en cas de besoin. Aucune relation de confiance n’est établie entre les applications et la banque de mots de passe.

Avec l’authentification unique, une fois que vous êtes connecté via la solution SSO, vous pouvez accéder à l’ensemble des applications et sites Web approuvés par l’entreprise sans avoir à vous reconnecter. Cela inclut les applications Cloud ainsi que les applications sur site, souvent disponibles via un portail SSO (également appelé portail de connexion).

Dans vos recherches d’options SSO, vous tomberez parfois sur des logiciels, des solutions ou des fournisseurs SSO. Souvent, la différence réside simplement dans la manière dont les entreprises se définissent. Un logiciel suggère une installation sur site. Il est généralement conçu pour remplir un ensemble de tâches spécifiques, et rien d’autre. Une solution suggère la possibilité d’étendre ou de personnaliser les fonctionnalités du produit principal. Un fournisseur pourrait être une façon de désigner l’entreprise produisant ou hébergeant la solution. OneLogin est par exemple un fournisseur de solutions SSO.

De nombreux termes sont utilisés lorsque l’on parle d’authentification unique (SSO).

• Gestion fédérée des identités (Federated Identity Management, FIM)
• OAuth (spécifiquement OAuth 2.0 aujourd’hui)
• OpenID Connect (OIDC)
• Security Access Markup Language (SAML)
• Same Sign On (SSO)

L’authentification SSO fait partie d’un concept plus vaste appelé la gestion fédérée des identités. C’est pourquoi on l’appelle parfois l’authentification SSO fédérée. La gestion fédérée des identités désigne une relation de confiance établie entre deux domaines ou systèmes de gestion des identités ou plus. L’authentification unique est souvent une fonctionnalité disponible au sein d’une architecture de gestion fédérée des identités.

OAuth 2.0 est un cadre spécifique qui pourrait également être considéré comme un composant de l’architecture FIM. Le protocole OAuth se concentre sur la relation de confiance qui permet aux informations d’identification de l’utilisateur d’être partagées sur plusieurs domaines.

OpenID Connect (OIDC) est une couche d’authentification qui tire parti du protocole OAuth 2.0 pour fournir une fonctionnalité d’authentification unique.

Le Same Sign On, qui utilise également l’acronyme SSO, n’est en fait pas la même chose que l’authentification unique, car il n’il n’y a pas de relation de confiance entre les entités impliquées dans l’authentification. Ce type d’authentification repose sur la duplication des identifiants entre les systèmes et leur transmission au cas par cas. Il n’est pas aussi sécurisé que les solutions d’authentification unique.

Il existe également des systèmes spécifiques qui reviennent lorsque l’on parle d’authentification unique : Active Directory, Active DIrectory Federation Services (ADFS) et Lightweight Directory Access Protocol (LDAP).

Active Directory, aujourd’hui spécifiquement appelé Active Directory Directory Services (ADDS), est le service d’annuaire centralisé de Microsoft. Les utilisateurs et les ressources sont ajoutés au service d’annuaire pour leur gestion centralisée, et ADDS utilise des protocoles d’authentification comme NTLM et Kerberos. Ainsi, les utilisateurs qui appartiennent à ADDS peuvent s’authentifier à partir de leur machine et accéder aux autres systèmes qui s’intègrent avec ADDS. Il s’agit d’une forme d’authentification unique.

Active Directory Federation Services (ADFS) est un type de système de gestion fédérée des identités qui propose également des fonctionnalités d’authentification unique. Il prend en charge les standards SAML et OIDC. ADFS est principalement utilisé pour établir une relation de confiance entre ADDS et d’autres systèmes comme Azure AD ou d’autres forêts ADDS.

Lightweight Directory Access Protocol (LDAP) est simplement un standard du secteur qui définit une manière d’organiser et d’interroger les informations d’annuaire. Le protocole LDAP vous permet de gérer les ressources comme les utilisateurs et les systèmes de manière centralisée. En revanche, ce protocole ne définit pas la méthode de connexion à ces systèmes. En d’autres termes, il ne définit pas les protocoles utilisés pour l’authentification. Il est toutefois souvent utilisé dans le cadre du processus d’authentification et les processus de contrôle des accès. Par exemple, avant qu’un utilisateur puisse accéder à une ressource spécifique, le protocole LDAP peut être utilisé pour effectuer une requête concernant l’utilisateur ou les groupes auxquels il appartient pour vérifier s’il a accès à cette ressource. Les solutions LDAP comme OpenLDAP proposent un mécanisme d’authentification avec la prise en charge de protocoles d’authentification comme Simple Authentication and Security Layer (SASL).

À l’instar de nombreuses applications qui ont été déplacées pour s’exécuter sur Internet, la fonctionnalité SSO a connu le même phénomène. Les plateformes comme OneLogin qui s’exécutent dans le Cloud peuvent être catégorisées comme une solution SSO SaaS (logiciel en tant que service).

Enfin, vous avez peut-être déjà entendu parler de l’authentification SSO entre applications. Il ne s’agit pas encore tout à fait d’un standard du secteur. Il s’agit plutôt d’un terme utilisé par SAPCloud pour décrire le processus de transfert de l’identité d’un utilisateur d’une application à une autre au sein de son écosystème. Son fonctionnement est similaire à celui du protocole OAuth 2.0, mais encore une fois, il ne s’agit pas d’un protocole ou d’une méthode standard, et ce type d’authentification est propre à SAPCloud.