8 Minutes de lecture
Authentification SSO (Single Sign-On) : définition
Se connecter à son compte personnel sur un site internet, interagir sur les réseaux sociaux (Facebook, Instagram, LinkedIn...), utiliser diverses applications en ligne, dans un cadre personnel et professionnel : des actions que chacun d'entre nous multiplie au cours d'une seule et même journée. Il n'est donc pas surprenant qu'une solution permettant d'accélérer l'authentification soit apparue. Elle a pour nom SSO, ou Single Sign-On ("authentification unique" en français). Le principe : l'utilisateur ne s'authentifie qu'une seule fois pour accéder à différentes applications informatiques et sites web sécurisés. Si le concept de SSO n'est pas nouveau (certaines grandes entreprises du monde informatique, comme IBM, l'utilisaient déjà dans les années 1990), celui-ci a vu sa mise en œuvre se simplifier et gagner un nombre croissant d'acteurs du web, en particulier depuis l'expansion des services cloud.
Comment un SSO fonctionne-t-il et quels bénéfices en retirer ? Rise Up fait le point !
Quelle est la bonne définition du point d'authentification unique ou Single Sign-On (SSO) ?
L'acronyme SSO (Single Sign-On) désigne une solution d’authentification qui permet aux utilisateurs d’accéder à plusieurs applications et services avec un seul jeu d’identifiants (en général un nom et un mot de passe), et ce de manière sécurisée. On parle d'authentification unique en français. La traduction littérale est "seule" (single) "connexion" (sign on). Concrètement, l'utilisateur entre son identifiant et son mot de passe au début d'une session et n'a ensuite plus à les renseigner lorsqu'il se connecte à d'autres applications.
Le SSO est utilisé aussi bien dans la sphère privée que dans la sphère professionnelle (connexion des collaborateurs et des clients au réseau d'une entreprise pour accéder à des applications et services internes).
Objectifs :
- Simplifier et accélérer le processus de connexion et d'identification par l'utilisateur lors de la connexion à une application ou un service web. Il n'y a plus de processus de connexion répétitifs.
- Éviter l'usage (et la mémorisation) d'une multitude d'identifiants de connexion, ce qui conduit régulièrement à des demandes de réinitialisation de mots de passe.
- Réduire le travail du support informatique.
Du côté de l'utilisateur, le SSO engendre une meilleure expérience de navigation et une augmentation de la productivité. Le SSO est en effet une technologie non perturbatrice et son taux d'adoption se révèle, en toute logique, élevé. Du côté des entreprises, le SSO conduit à une réduction des coûts informatiques et à une plus grande satisfaction des employés.
Précisons qu'une solution SSO n'est pas un gestionnaire de mots de passe (les deux concepts sont parfois confondus). Le Single Sign-On ne mémorise pas les mots de passe, son principe reposant sur la délégation d’authentification. Le gestionnaire de mots de passe, au contraire, stocke les mots de passe individuels de chaque service auquel se connecte l'utilisateur.
Comment ça marche : le SSO avec jeu d'identifiants pour le web et les applications
Les technologies sur lesquelles s'appuie le SSO fonctionnent à partir de serveurs centralisés d'authentification ainsi que des techniques informatiques garantissant à l'utilisateur la possibilité d'entrer un seul couple identifiant / mot de passe.
Voici comment se déroule le processus de connexion et d'authentification unique :
- Étape 1 : l'utilisateur accède à un site web, une application ou un autre service compatible avec le SSO.
- Étape 2 : ce service détecte que l'utilisateur n'est pas authentifié. Il renvoie alors ce dernier vers un fournisseur d'identité (IdP), c'est-à-dire une entité de confiance à laquelle l'utilisateur communique ses informations d'identification (identifiant, mot de passe).
- Étape 3 : le fournisseur d'identité vérifie les données entrées par l'utilisateur puis les valide. Cette action génère un jeton, support contenant les informations en lien avec l'utilisateur (par exemple les autorisations dont il dispose pour accéder à d'autres applications et sites internet).
- Étape 4 : ce jeton SSO est envoyé au site ou à l'application de départ, qui peut dès lors authentifier l'utilisateur. Puis ce jeton est automatiquement envoyé aux autres services liés. L'utilisateur est désormais en capacité de se connecter à ses différents services sans s'authentifier à nouveau.
Le SSO et la sécurité informatique
Accélérer et simplifier un processus informatique signifie-t-il en réduire la sécurité ? En ce qui concerne le SSO, la question semble se poser. Il existe en effet des risques de sécurité implicites, principalement en lien avec de potentielles attaques de logiciels malveillants. L'ensemble des jeux d'identifiants étant réunis sur une seule authentification, pirater le mot de passe tapé lors de la session initiale revient à accéder à l'ensemble des données et des services en lien avec le compte de l'utilisateur.
Gestion des accès et SSO : définition
Il apparaît ainsi essentiel d'intégrer le SSO dans la démarche, plus vaste, de gestion des identités et des accès (IAM), qui permet d'assurer la sécurité des données et des ressources d'une organisation. L'IAM prévoit des méthodes telles que l'authentification multifacteur (MFA), aussi appelée authentification à 2 facteurs (2FA). Celle-ci fournit un cran de sécurité supplémentaire : l'utilisateur doit valider son identité avec une autre méthode de vérification (par exemple en entrant dans le portail de connexion un code à usage unique reçu par e-mail ou SMS). Autre méthode : l'authentification forte. Celle-ci ne repose pas sur la multiplicité des facteurs d'authentification mais sur des mécanismes cryptographiques puissants (authentification biométrique ou authentification via une carte à puce par exemple).
Quels sont les différents types de SSO ?
Plusieurs normes et protocoles sous-tendent l'implémentation du SSO. Ils interviennent à l'étape 2 du processus de connexion vu précédemment.
Citons :
- Le protocole OAuth (Open Authorization). Il s'applique dans le cadre du SSO web : les utilisateurs se connectent à différents sites avec les mêmes informations d'identification. Ce standard fonctionne avec une API. C'est grâce à celle-ci qu'une confiance se crée entre les applications. Une API désigne en effet une interface logicielle qui permet de relier un service à un autre service afin d'échanger des données et des fonctionnalités.
- La norme SAML (Security Assertion Markup Language). Elle constitue un autre standard du secteur. SAML est plus précisément une norme ouverte qui permet aux fournisseurs d'identité de transmettre les informations d'identification aux fournisseurs de services. Le protocole SAML utilise le langage XML pour la transmission des données.
- Le système d'authentification OIDC (OpenID Connect). C'est un prolongement du protocole OAuth. Le principe est d'ajouter une surcouche d'authentification et de centraliser les données d'identité de l'utilisateur.
- Le protocole Kerberos. Il s'appuie de son côté sur une combinaison de clés secrètes et l'utilisation de tickets. L'idée est d'éviter l'emploi de mots de passe en clair afin de supprimer le risque d'interception de ces mots de passe par un utilisateur malveillant.
Connexion à son compte via le SSO : à quoi cela sert-il ?
Devoir choisir un mot de passe différent pour chaque site et application, tenter inlassablement de se connecter, finir par cliquer sur le fameux bouton “Mot de passe oublié ?” puis attendre de recevoir un mail avant de changer de mot de passe… et le ré-oublier quelques temps plus tard. Ce scénario vous dit quelque chose ? Et bien c’est précisément ce que le SSO permet d’éviter.
Exit les pertes de temps lors des dizaines d’authentifications dont vous avez besoin : un seul mot de passe suffit pour vous donner accès rapidement, et faciliter in fine la gestion de vos données.
En bref, le SSO est un véritable gain de temps (plus besoin de rentrer plusieurs fois ses identifiants, de risquer de perdre ses mots de passe…) et l’usage s’en trouve d’autant plus simplifié.
En revanche, puisque tous vos comptes seront liés à un seul et même mot de passe, le risque de perte et vol de toutes les données relatives à l’utilisateur peut être important en cas de cyberattaque par exemple. Comme on l'a vu, le SSO n’est pas un système de sécurité en soi mais une technologie vous permettant de gagner du temps, et n’est donc pas exempt de menacer la protection des données des utilisateurs.
Comment une solution d'authentification en SSO fonctionne-t-elle ?
La clé du fonctionnement d'une solution SSO réside dans la confiance établie entre le fournisseur de services (application, site web) et le fournisseur d'identité. Deux composantes émergent dans la création du lien entre le fournisseur de services et le fournisseur d'identité :
- Le service SSO. C'est un service central auquel se réfèrent les fournisseurs de service. Lorsqu'il souhaite se connecter, l'utilisateur est automatiquement redirigé vers un service SSO. C'est lui qui va authentifier l'utilisateur.
- Le jeton SSO. Il s'agit d'un fichier numérique sur lequel sont inscrites les données d'identification de l'utilisateur. Comme nous l'avons vu, ce jeton est envoyé par le fournisseur d'identité au fournisseur de services pour authentifier l'utilisateur.
Les différentes architectures de SSO
Le serveur : toutes les informations des utilisateurs sont stockées sur un seul et même serveur. Les coûts engendrés lors de l’intégration peuvent être importants.
L’appliance : dans ce cas-là, le matériel et le logiciel sont fournis ensemble, mais attention : il sera impossible d’installer le logiciel sur un serveur déjà existant.
L’annuaire : les données des utilisateurs sont quant à elles stockées dans l’annuaire déjà existant de l’entreprise (comme par exemple, Microsoft Active Directory).
Vous connaissez désormais l’essentiel à propos du SSO !
Exemples de cas pour mettre en place une authentification SSO
Les entreprises ont recours au Single Sign-On pour plusieurs raisons, en premier lieu le gain en productivité et la forte adhésion des employés. Ces derniers apprécient la simplicité de cette méthode, alors qu'ils passent sans cesse d'une application à une autre au cours de leur journée de travail.
L'utilisation du SSO semble encore plus pertinente dans certains cas de figure. Ainsi, lorsque les services de l'organisation évoluent rapidement et se diversifient, il est bien plus aisé de s'appuyer sur un processus de fédération de gestion des identités plutôt que de s'éparpiller en entrant de nouveaux jeux d'identifiants pour chaque nouveau service.
Par ailleurs, le SSO ouvre de larges possibilités en termes de sécurisation des données. En effet, le Single Sign-On est compatible avec un grand nombre de normes, ce qui permet d'ajouter des niveaux de sécurité facilement.