SAML signifie Security Assertion Markup Language, une norme ouverte qui transmet les informations d'identification d'autorisation des fournisseurs d'identité (IdP) aux fournisseurs de services (SP). En termes simples, il permet une communication sécurisée entre les applications et permet aux utilisateurs d'accéder avec un seul ensemble d'identifiants.
Avant de pouvoir approfondir l'utilisation de SAML, son fonctionnement et les avantages qu'il peut apporter aux entreprises, vous devez comprendre les types de fournisseurs SAML qui rendent ce processus possible. Commençons donc par là.
Types de fournisseurs SAML
Pour que SAML fonctionne, il doit y avoir un fournisseur d'identité et un fournisseur de services :
- Les fournisseurs d'identité authentifient les utilisateurs : Ces systèmes sont chargés de confirmer qu'un utilisateur est bien celui qu'il prétend être, puis d'envoyer ces données (ainsi que les droits d'accès de l'utilisateur) à un fournisseur de services. Okta, Microsoft Active Directory (AD) et Microsoft Azure sont tous des exemples de fournisseurs d'identité.
- Les fournisseurs de services autorisent les utilisateurs bsp;: ces systèmes utilisent les données d’authentification d’un fournisseur d’identité pour accorder l’accès à un service. Par exemple, Salesforce, Box et d'autres technologies de pointe.
SAML est donc le lien entre l'authentification de l'identité d'un utilisateur et l'autorisation d'utiliser un service. C'est le langage qui aide les IdP et les SP à communiquer. Lorsqu'un employeur (le fournisseur d'identité ou IdP) et une société SaaS (le fournisseur de services ou SP) implémentent tous deux SAML, ils sont en mesure d'authentifier de manière transparente les utilisateurs accrédités.
À quoi sert SAML ?
Le protocole SAML modifie complètement la façon dont les utilisateurs se connectent aux services ou aux sites web, et vise à simplifier les processus d'authentification et d'autorisation fédérées pour toutes les parties : fournisseurs d'identité, fournisseurs de services et utilisateurs finaux.
Au lieu de demander des informations d'identification telles qu'un nom d'utilisateur et un mot de passe à chaque tentative de connexion, SAML peut aider à vérifier qu'un utilisateur est bien celui qu'il prétend être et à confirmer les niveaux d'autorisation afin d'accorder ou de refuser l'accès. De plus, SAML permet aux fournisseurs d'identité et aux fournisseurs de services d'exister séparément, ce qui aide les organisations à centraliser la gestion des utilisateurset à fournir un accès à diverses solutions logicielles.
SAML est le plus souvent utilisé pour activer l'authentification unique (SSO), qui authentifie les utilisateurs accrédités entre un fournisseur d'identité et un fournisseur de services. Les organisations qui déploient des applications configurées avec SAML, par exemple, peuvent permettre à leurs employés d'utiliser un seul ensemble d'identifiants pour se connecter à un tableau de bord unique qui leur donne un accès direct à tous leurs outils de productivité et de communication.
how saml works
SAML utilise le langage XML (Extensible Markup Language) pour communiquer entre le fournisseur d'identité et le fournisseur de services. Cela prend la forme d'une assertion SAML, un type de document XML qu'un fournisseur d'identité envoie à un fournisseur de services pour autoriser un utilisateur.
Il existe trois types d’assertions SAML :
- Les assertions d'authentification prouvent l'identité d'un utilisateur et indiquent l'heure de sa connexion ainsi que le protocole d'authentification qu'il a utilisé (par exemple, Kerberos, authentification multifactorielle).
- Les assertions d'attribution transmettent les attributs SAML (les éléments de données qui fournissent des informations sur l'utilisateur) au fournisseur de services.
- Les assertions d'autorisation confirment si l'utilisateur est autorisé à utiliser un service (et quel degré d'autorisation il possède) ou si le fournisseur d'identité a refusé sa demande en raison d'un échec de mot de passe ou d'un manque de droits d'accès.
Pour récapituler, SAML fonctionne en transmettant des informations sur les utilisateurs, leurs identifiants et leurs attributs entre un fournisseur d'identité et un fournisseur de services. Lorsqu'un utilisateur se connecte via SSO, par exemple, l'IdP transmettra les attributs SAML au SP, garantissant ainsi que l'utilisateur n'a besoin de se connecter qu'une seule fois.
Voyons comment cela pourrait se dérouler dans la vie de tous les jours. Lorsqu'un utilisateur commence à travailler dans une nouvelle entreprise, il reçoit une adresse e-mail et un accès à un tableau de bord. Lorsqu'ils se connectent \'e0 ce tableau de bord via un fournisseur d'identit\'e9 (comme Okta), ils voient s'afficher des ic\'f4nes de fournisseurs de services externes, tels que Slack ou Salesforce. Ils peuvent ensuite cliquer sur l'une de ces icônes et se connecter automatiquement à ce service sans avoir à saisir à nouveau leurs informations d'identification.
Cela dit, il existe en fait deux types de flux SAML que les utilisateurs peuvent suivre pour accéder aux sites Web, aux applications et aux services en ligne bsp:
Flux SAML initié par le fournisseur de services
Cela se produit lorsqu'un utilisateur tente de se connecter à un service compatible avec SAML via sa page de connexion ou son application mobile. Au lieu de demander à l'utilisateur de se connecter, le service redirige l'utilisateur vers son fournisseur d'identité pour gérer l'authentification. Si son identité est confirmée, il aura accès au site ou à l'application.
Flux SAML initié par le fournisseur d'identité
Ce flux se produit lorsqu'un utilisateur se connecte au fournisseur d'identité et lance une application de service à partir de sa base de données. S'ils ont déjà un compte auprès du fournisseur de services, ils y auront automatiquement accès. Si ce n'est pas le cas, certains fournisseurs d'identité peuvent utiliser SAML pour créer un nouveau compte authentifié pour ce service.
Avantages de SAML
SAML offre de nombreux avantages aux utilisateurs et aux entreprises, notamment celui de réduire les frictions liées à l'utilisation de plusieurs applications web. Les autres avantages sont les suivants bsp:
Expériences utilisateur améliorées
Non seulement SAML facilite la connexion aux applications et aux services, mais il aide également les utilisateurs à être plus productifs, car ils peuvent accéder facilement aux outils dont ils ont besoin pour effectuer leur travail.
Moins d'informations d'identification perdues
Le fait de jongler avec plusieurs identifiants de connexion amène souvent les utilisateurs à oublier leurs mots de passe, ou pire, à les écrire, ce qui augmente le risque de vol de ces identifiants. Avec SAML, les utilisateurs n'ont besoin de connaître qu'une seule combinaison nom d'utilisateur et mot de passe.
Sécurité accrue
SAML fournit un point d'authentification unique auprès d'un fournisseur d'identité sécurisé, qui transfère ensuite les informations d'identité de l'utilisateur aux fournisseurs de services. Cela garantit que les informations d'identification ne sont envoyées que directement, ce qui minimise les possibilités de phishing ou de vol d'identité.
Coûts réduits
La mise en œuvre de SAML permet de gagner beaucoup de temps d'administration, car elle contribue à éliminer le besoin de soumissions de tickets et de réinitialisations de mot de passe. Cela permet également de réduire au minimum les coûts de développement (souvent associés aux méthodes d'authentification propriétaires).
Gestion simplifiée des utilisateurs
Avec des employés qui utilisent plusieurs applications, il peut devenir un cauchemar pour les services informatiques de gérer les droits d'accès lorsque les rôles changent ou lorsque les employés quittent l'entreprise. SAML simplifie cela, car chaque utilisateur peut être géré à partir d'un seul annuaire.
Alternatives à SAML
Bien que SAML offre un certain nombre d'avantages en termes de fédération d'identité, il existe d'autres normes disponibles qui aident les entreprises et les services à gérer et à approuver en toute sécurité les identités des utilisateurs.
OpenID : OpenID est une norme d'identité open source qui permet aux utilisateurs d'accéder à plusieurs sites Web et applications sans partager d'informations de connexion supplémentaires. Si vous vous êtes déjà connecté à un site web en utilisant vos identifiants Google, YouTube ou Facebook, vous avez utilisé OpenID.
OAuth : OAuth (ou OpenAuth, si vous voulez utiliser le nom complet) est une norme qui a été développée conjointement par Google et Twitter pour permettre des connexions simplifiées entre les sites Web. Il est similaire au protocole SAML dans la façon dont il partage les informations entre les applications (Facebook et Google sont deux fournisseurs OAuth que vous avez probablement déjà utilisés). Cependant, il diffère en utilisant des jetons JSON pour authentifier les utilisateurs et, par conséquent, il est plus approprié pour les appareils mobiles.
Fédération de services Web : La fédération de services Web est utilisée pour fédérer l’authentification des fournisseurs de services aux fournisseurs d’identité. Il est communément considéré comme étant plus simple à implémenter pour les développeurs et est bien pris en charge par les fournisseurs d’identité populaires, tels qu’AD, mais moins par les fournisseurs de cloud.
Démarrage avec SAML
SAML est un \'e9l\'e9ment essentiel de toute strat\'e9gie de cybers\'e9curit\'e, car il limite l'utilisation des informations d'identification et permet aux entreprises d'auditer et de g\'e9rer l'identit\'e9 de mani\'e8re centralis\'e9e. De plus, il offre aux utilisateurs un accès facile aux applications Web qu'ils demandent, d'une manière qui améliore également la sécurité.
Il est facile de démarrer avec SAML avec le bon fournisseur d'identité. Okta, par exemple, fournit un outil de validation SAML ainsi que divers toolkits SAML open source dans différents langages de programmation.
Pour avoir une meilleure idée des avantages que SAML peut apporter aux organisations et aux employés, consultez les ressources suivantes :
- Understanding SAML (Documentation)
- SAML Integrations OpenID Connect and Partner IdP (Démonstration du produit)
- Intégrations SAML des applications sur site et configurations prédéfinies (Démonstration du produit)
