Qu’est-ce que le Single Sign On (SSO) ?

Le Single Sign On simplifie l'authentification de l'utilisateur, améliore l'expérience de l'utilisateur et, lorsqu'elle est correctement mise en œuvre, renforce la sécurité. Il est souvent utilisé pour gérer l'authentification et sécuriser l'accès aux intranets et extranets des entreprises, aux portails des étudiants, aux services de cloud public et à d'autres environnements dans lesquels les utilisateurs doivent passer d'une application à l'autre pour effectuer leur travail. Il est également de plus en plus utilisé dans les sites web et les applications orientés clients, tels que les sites bancaires et de commerce électronique, pour combiner des applications de fournisseurs tiers dans des expériences utilisateur transparentes et ininterrompues.

La connexion unique repose sur une relation de confiance numérique entre les fournisseurs de services (applications, sites Web, services) et un fournisseur d’identité (IdP) ou une solution SSO. La solution SSO fait souvent partie d’une solution plus large de gestion des identités et des accès (IAM).

En général, l'authentification SSO fonctionne comme suit :

1. Un utilisateur se connecte à l'un des fournisseurs de services ou à un portail central (comme l'intranet d'une entreprise ou le portail d'un étudiant) à l'aide des identifiants de connexion SSO.
    

2. Lorsque l'utilisateur est authentifié avec succès, la solution SSO génère un jeton d'authentification de session contenant des informations spécifiques sur l'identité de l'utilisateur (nom d'utilisateur, adresse e-mail, etc.). Ce jeton est stocké dans le navigateur web de l'utilisateur ou dans le système SSO.
    

3. Lorsque l'utilisateur tente d'accéder à un autre fournisseur de services de confiance, l'application vérifie auprès du système SSO si l'utilisateur est déjà authentifié pour la session. Si c'est le cas, la solution SSO valide l'utilisateur en signant le jeton d'authentification avec un certificat numérique, et l'utilisateur se voit accorder l'accès à l'application. Dans le cas contraire, l'utilisateur est invité à saisir à nouveau ses identifiants de connexion.

Le processus SSO décrit ci-dessus, qui consiste en une connexion unique et un ensemble d’identifiants utilisateur fournissant un accès à plusieurs applications associées, est parfois appelé SSO simple ou SSO pur. Les autres types de SSO incluent :

Le SSO adaptatif requiert un ensemble initial d'identifiants de connexion, mais demande des facteurs d'authentification supplémentaires ou une nouvelle connexion lorsque des risques supplémentaires apparaissent, par exemple lorsqu'un utilisateur se connecte à partir d'un nouvel appareil ou tente d'accéder à des données ou à des fonctionnalités particulièrement sensibles.

La gestion des identités fédérées, ou FIM, est un sur-ensemble du SSO. Alors que le SSO est basé sur une relation de confiance numérique entre les applications au sein du domaine d'une seule organisation, le FIM étend cette relation à des tiers de confiance, des fournisseurs et d'autres prestataires de services extérieurs à l'organisation. Par exemple, la FIM peut permettre à un employé connecté d'accéder à des applications web tierces (par exemple, Slack ou WebEx) sans connexion supplémentaire, ou avec une simple connexion par nom d'utilisateur.

La connexion sociale permet aux utilisateurs finaux de s'authentifier auprès des applications en utilisant les mêmes identifiants que ceux qu'ils utilisent pour s'authentifier auprès des sites de médias sociaux les plus populaires. Pour les fournisseurs d'applications tierces, la connexion sociale peut décourager les comportements indésirables (par exemple, les fausses connexions, l'abandon du panier d'achat) et fournir des informations précieuses pour l'amélioration de leurs applications.

Le SSO peut être mis en œuvre à l'aide de plusieurs protocoles et services d'authentification.

Security Assertion Markup Language, ou SAML, est le protocole standard ouvert le plus ancien pour l'échange de données d'authentification et d'autorisation chiffrées entre un fournisseur d'identité et plusieurs fournisseurs de services. Parce qu'il permet un meilleur contrôle de la sécurité que les autres protocoles, SAML est généralement utilisé pour mettre en œuvre le SSO au sein et entre les domaines d'application de l'entreprise ou de l'administration.

Open Authorization, ou OAuth, est un protocole standard ouvert qui échange des données d’autorisation entre les applications sans exposer le mot de passe de l’utilisateur. OAuth permet d’utiliser une connexion unique pour rationaliser les interactions entre les applications qui nécessiteraient généralement des connexions distinctes à chacune. Par exemple, OAuth permet à LinkedIn de rechercher de nouveaux membres potentiels dans vos contacts e-mail.

Autre protocole standard ouvert, l’OICD utilise des API REST et des jetons d’authentification JSON pour permettre à un site Web ou à une application d’accorder l’accès aux utilisateurs en les authentifiant via un autre fournisseur de services.

Superposé à OAuth, OICD est principalement utilisé pour mettre en œuvre des connexions sociales à des applications tierces, des paniers d’achat, etc. Implémentation plus légère, OAuth/OIDC est souvent associé à SAML pour la mise en œuvre du SSO dans les applications SaaS et les applications cloud, les applications mobiles et les appareils de l’Internet des objets (IoT).

Le protocole d'accès aux annuaires légers (LDAP) définit un annuaire pour le stockage et la mise à jour des identifiants des utilisateurs, ainsi qu'un processus d'authentification des utilisateurs par rapport à l'annuaire. Introduit en 1993, LDAP est toujours la solution d'annuaire d'authentification de choix pour de nombreuses organisations mettant en œuvre le SSO, car LDAP leur permet de fournir un contrôle granulaire sur l'accès à l'annuaire.

Active Directory Federation Services, ou ADFS, fonctionne sur Microsoft Windows Server pour permettre la gestion fédérée des identités, y compris la connexion unique, avec des applications et des services sur site et hors site. ADFS utilise les services de domaine Active Directory (ADDS) comme fournisseur d’identité.

Le SSO permet aux utilisateurs d'économiser du temps et de l'énergie. Par exemple : au lieu de se connecter à plusieurs applications plusieurs fois par jour, les utilisateurs finaux de l'entreprise peuvent, grâce au SSO, se connecter à l'intranet de l'entreprise une seule fois pour accéder toute la journée à toutes les applications dont ils ont besoin.

Mais en réduisant considérablement le nombre de mots de passe que les utilisateurs doivent retenir et le nombre de comptes d'utilisateurs que les administrateurs doivent gérer, le SSO peut offrir un certain nombre d'autres avantages.

Le principal risque du SSO est que si les identifiants d’un utilisateur sont compromis, ils peuvent permettre à un pirate d’accéder à l’ensemble ou à la plupart des applications et des ressources du réseau. Cependant, le fait d’obliger les utilisateurs à créer des mots de passe longs et complexes, ainsi qu’à les chiffrer et à les protéger avec soin, quel que soit l’endroit où ils sont stockés, contribue grandement à prévenir ce scénario catastrophe.

En outre, la plupart des experts en sécurité recommandent une authentification à deux facteurs (2FA) ou une authentification à étapes (MFA) dans le cadre de la mise en œuvre d’un SSO. La 2FA ou la MFA exigent que les utilisateurs fournissent au moins un facteur d’authentification en plus du mot de passe, par exemple un code envoyé à un téléphone mobile, une empreinte digitale, une carte d’identité. Parce que ces identifiants supplémentaires sont ceux que les pirates ne peuvent pas facilement voler ou usurper, la MFA peut réduire considérablement les risques liés à la compromission des identifiants dans le SSO.