Single Sign On (SSO)

L'authentification unique est basée sur une relation de confiance numérique entre un groupe d'applications, de sites Web et de services liés et fiables, appelés les fournisseurs de services, et une solution SSO, appelée fournisseur d'identité. La solution SSO fait souvent partie d'une solution  IAM (gestion des identités et des accès) plus large). 

En général, l'authentification SSO fonctionne comme suit :

1. Un utilisateur se connecte à l'une des applications de confiance - ou à un portail central connectant toutes les applications de confiance (telles qu'un portail d'employés ou un site Web d'étudiants) - à l'aide des identifiants de connexion SSO.
2. Lorsque l'utilisateur est authentifié avec succès, la solution SSO génère un jeton d'authentification de session contenant des informations spécifiques sur l'identité de l'utilisateur - un nom d'utilisateur, une adresse e-mail, etc. Ce jeton est stocké avec le navigateur Web de l'utilisateur ou sur le serveur SSO ou IAM.
3. Lorsque l'utilisateur tente d'accéder à une autre des applications approuvées, l'application vérifie auprès du serveur SSO ou IAM pour déterminer si l'utilisateur est déjà authentifié pour la session. Si c'est le cas, la solution SSO valide l'utilisateur en signant le jeton d'authentification avec un certificat numérique, et l'utilisateur se voit accorder l'accès à l'application. Si ce n'est pas le cas, l'utilisateur est invité à ressaisir les identifiants de connexion.

Le processus peut varier en fonction de plusieurs facteurs. Par exemple, un utilisateur qui a été inactif pendant une période spécifiée peut avoir besoin de se connecter lorsqu'il tente d'accéder à une autre application. Ou, si un utilisateur authentifié tente une application ou un service qui traite des informations particulièrement sensibles, l'utilisateur peut être invité à entrer un facteur d'authentification supplémentaire, tel qu'un code envoyé sur le téléphone mobile ou l'e-mail de l'utilisateur (voir « SSO adaptatif » ci-dessous).

Évidemment, SSO fait gagner du temps et des ennuis aux utilisateurs. Prenons l'exemple des utilisateurs en entreprise : au lieu de se connecter à plusieurs applications plusieurs fois par jour, avec SSO, ils peuvent souvent se connecter une seule fois à l'intranet ou à l'extranet de l'entreprise pour accéder toute la journée à toutes les applications dont ils ont besoin.

Mais en réduisant considérablement le nombre de mots de passe dont les utilisateurs doivent se souvenir et le nombre de comptes d'utilisateurs que les administrateurs doivent gérer, l'authentification unique renforce la posture de sécurité des organisations. Plus précisément, le SSO peut

• Remplacez la fatigue du mot de passe par un mot de passe fort. Les utilisateurs qui ont beaucoup de mots de passe à gérer finissent souvent par utiliser les mêmes mots de passe courts et faibles - ou de légères variations de ceux-ci - pour chaque application. Un pirate qui déchiffre l'un de ces mots de passe peut facilement accéder à plusieurs applications. L'authentification unique peut souvent réduire des dizaines de mots de passe courts et faibles à un seul mot de passe long, complexe et fort, plus facile à retenir pour les utilisateurs - et beaucoup plus difficile à déchiffrer pour les pirates.
• Aide à prévenir les habitudes de stockage de mot de passe dangereuses. L'authentification unique peut réduire ou éliminer le besoin de gestionnaires de mots de passe, de mots de passe stockés dans des feuilles de calcul, de mots de passe écrits sur des notes autocollantes et d'autres aide-mémoire, ce qui facilite le vol ou la chute des mots de passe par les mauvaises personnes.
• Réduisez considérablement les appels au service d'assistance. Selon l'analyste du secteur Gartner, 20 à 50 % des appels au service d'assistance informatique sont liés à des mots de passe oubliés ou à des réinitialisations de mots de passe. La plupart des solutions SSO permettent aux utilisateurs de se reposer facilement les mots de passe eux-mêmes, avec l'assistance du service d'assistance.
• Donnez aux pirates une cible plus petite. Selon le rapport IBM Cost of a Data Breach 2021, les informations d'identification compromises étaient le vecteur d'attaque initial le plus fréquent pour une violation de données, représentant 20 % de toutes les violations de données - et les violations qui ont commencé par des informations d'identification compromises coûtent en moyenne 4,31 millions de dollars à leurs victimes. Moins de mots de passe signifie moins de vecteurs d'attaque potentiels.
• Simplifiez la gestion, l'approvisionnement et la mise hors service des comptes d'utilisateurs. Avec SSO, les administrateurs disposent d'un contrôle plus centralisé sur les exigences d'authentification et les autorisations d'accès. Et lorsqu'un utilisateur quitte l'organisation, les administrateurs peuvent supprimer des autorisations et désactiver le compte d'utilisateur en moins d'étapes.
• Contribuer à simplifier la conformité réglementaire L'authentification unique répond ou facilite le respect des exigences réglementaires en matière de protection des informations d'identité personnelle (PII) et de contrôle d'accès aux données, ainsi qu'aux exigences spécifiques de certaines réglementations, telles que HIPAA, concernant les délais d'expiration des sessions. 

Le principal risque de SSO est que si les informations d'identification d'un utilisateur sont compromises, ils peuvent accorder à un attaquant l'accès à la totalité ou à la plupart des applications et des ressources sur le réseau.

Exiger que les utilisateurs créent des mots de passe longs et complexes - et les crypter et les protéger soigneusement où qu'ils soient stockés - contribue grandement à prévenir ce scénario du pire. Mais la plupart des experts en sécurité recommandent de mettre en œuvre SSO avecauthentification multi-facteurs, ou MFA. MFA exige que les utilisateurs fournissent au moins un facteur d'authentification en plus d'un mot de passe - par exemple, un code envoyé à un téléphone mobile, une empreinte digitale ou une carte d'identité. Étant donné que ces informations d'identification supplémentaires sont celles que les pirates ne peuvent pas facilement voler ou usurper, MFA peut réduire considérablement les risques liés aux informations d'identification compromises dans SSO.

Le schéma SSO décrit ci-dessus - une connexion unique et un ensemble d'informations d'identification utilisateur fournissant un accès de session à plusieurs applications connexes - est parfois appelé SSO simple ou pur. D'autres types de SSO - ou méthodes d'authentification similaires au SSO - incluent :

• SSO adaptatif nécessite initialement un nom d'utilisateur et un mot de passe lors de la connexion, mais nécessite ensuite des facteurs d'authentification supplémentaires ou une nouvelle connexion lorsque des risques supplémentaires apparaissent, par exemple lorsqu'un utilisateur se connecte à partir d'un nouvel appareil ou tente d'accéder à des données ou fonctionnalités particulièrement sensibles.
• SSO fédéré - plus correctement appelé gestion des identités fédérées (FIM) - est un sur-ensemble de SSO. Alors que le SSO est basé sur une relation de confiance numérique entre les applications au sein du domaine d'une seule organisation, FIM étend cette relation à des tiers de confiance, des fournisseurs et d'autres fournisseurs de services en dehors de l'organisation. Par exemple, FIM peut permettre à un employé connecté d'accéder à des applications Web tierces, telles que Slack ou WebEx, sans connexion supplémentaire ou avec une simple connexion par nom d'utilisateur uniquement.
• Connexion aux réseaux sociaux permet aux utilisateurs d'utiliser les mêmes informations d'identification qu'ils utilisent pour accéder aux sites des réseaux sociaux populaires pour accéder à des applications tierces. La connexion aux réseaux sociaux simplifie la vie des utilisateurs. Pour les fournisseurs d'applications tiers, cela peut décourager les comportements indésirables (par exemple, fausses connexions, abandon de panier) et fournir des informations précieuses pour améliorer leurs applications.

Le SSO peut être mis en œuvre à l'aide de plusieurs protocoles et services d'authentification.

SAML/SAML 2.0

SAML (Security Assertion Markup Language) est le protocole standard ouvert le plus ancien pour l'échange de données d'authentification et d'autorisation chiffrées entre un fournisseur d'identité et plusieurs fournisseurs de services. Parce qu'il offre un meilleur contrôle sur la sécurité que d'autres protocoles, SAML est généralement utilisé pour implémenter l'authentification unique au sein et entre les domaines d'application de l'entreprise ou du gouvernement.

OAuth/OAuth 2.0

OAuth/OAuth 2.0 (autorisation ouverte)est un protocole standard ouvert qui échangeautorisation données entre les applications sans exposer le mot de passe de l'utilisateur. OAuth permet d'utiliser une connexion unique pour rationaliser les interactions entre les applications qui nécessiteraient généralement des connexions distinctes pour chacune. Par exemple, OAuth permet à LinkedIn de rechercher dans vos contacts de messagerie de nouveaux membres potentiels du réseau.

Connexion OpenID (OIDC)

Autre protocole standard ouvert, OICD utilise des API REST et des jetons d'authentification JSON pour permettre à un site Web ou à une application d'accorder l'accès aux utilisateurs en les authentifiant via un autre fournisseur de services.

Couché au-dessus d'OAuth, OICD est principalement utilisé pour implémenter des connexions sociales à des applications tierces, des paniers d'achat, etc. Une implémentation plus légère, OAuth/OIDC est souvent confiée à SAML pour la mise en œuvre de l'authentification unique sur les applications SaaS (logiciel en tant que service) et cloud, les applications mobiles et les appareils Internet des objets (IdO).

LDAP

LDAP (protocole léger d'accès aux répertoires) définit un répertoire pour stocker et mettre à jour les informations d'identification des utilisateurs, et un processus pour authentifier les utilisateurs par rapport au répertoire. Introduit en 1993, LDAP est toujours la solution d'annuaire d'authentification de choix pour de nombreuses organisations mettant en œuvre SSO, car LDAP leur permet de fournir un contrôle granulaire sur l'accès à l'annuaire.

ADFS

ADFS ( Active Directory Federation Services) s'exécute sur Microsoft Windows Server pour permettre la gestion des identités fédérées - y compris l'authentification unique - avec des applications et des services sur site et hors site. ADFS utilise les services de domaine Active Directory (ADDS) comme fournisseur d'identité. 

La « confiance zéro » adopte une approche de sécurité « ne jamais faire confiance, toujours vérifier » : tout utilisateur, application ou périphérique - qu'il soit en dehors du réseau ou déjà authentifié et à l'intérieur du réseau - doit vérifier son identité avant d'accéder à la prochaine ressource réseau à laquelle il souhaite accéder.

À mesure que les réseaux deviennent plus distribués, couvrant une infrastructure sur site et plusieurs clouds privés et publics, une approche de confiance zéro est essentielle pour empêcher les menaces qui pénètrent dans le réseau d'obtenir plus d'accès et de faire un maximum de dégâts.

Le SSO - et en particulier le SSO dans le cadre d'une solution IAM - est largement considéré comme une technologie fondamentale pour la mise en œuvre d'une approche de confiance zéro. Le défi fondamental de la confiance zéro est de créer une architecture de sécurité capable de réprimer les attaquants qui pénètrent dans le réseau - sans entraver la capacité des utilisateurs finaux autorisés à se déplacer librement sur le réseau et à faire leur travail ou leurs affaires. Lorsqu'il est combiné avec l'authentification multifacteur, les contrôles d'accès et d'autorisation, la micro-segmentation du réseau et d'autres techniques et meilleures pratiques, le SSO peut aider les organisations à atteindre cet équilibre.