MYTHE OU RÉALITÉ : l'authentification SSO est difficile à déployer

Chez Okta, nous avons à cœur de partager les nouvelles idées et pratiques en matière d'authentification et de sécurité. Cette motivation nous pousse à vouloir briser certains mythes. Cet article est le quatrième d'une série de publications destinées à dissiper les idées reçues qui entourent l'authentification unique (Single Sign-On, SSO). Vous trouverez ci-dessous la liste complète des mythes que nous avons relevés (et dissipés) concernant l'authentification SSO.

Les déploiements SSO ont la réputation d'être complexes et chronophages. C'était peut-être vrai pour les solutions héritées comme ADFS, mais les plateformes SSO modernes dans le cloud changent la donne.

Il est 11h15 et Laura a une présentation importante à 11h30. Elle veut se connecter à son compte Box pour récupérer un fichier indispensable, mais elle n'arrive pas à se souvenir de ses nom d'utilisateur et mot de passe. Elle accède à son compte Gmail sans le moindre problème. Après avoir essayé plusieurs mots de passe, elle parvient finalement à se connecter à Salesforce. Elle n'a pas autant de chance avec Box et décide donc d'envoyer une demande d'assistance à l'équipe IT. Réussira-t-elle à télécharger son fichier de présentation à temps pour la réunion ?

Cette anecdote est loin d'être un cas isolé. La multiplication des applications cause bien des déboires aux collaborateurs en ce qui concerne la gestion de leurs identifiants. Les équipes IT savent que l'authentification SSO permet d'éviter ces écueils, mais l'idée de se lancer dans un déploiement si complexe les rebute, notamment en raison du temps et de l'énergie que cela demande.

En quoi le déploiement d'une solution SSO d'ancienne génération est-il difficile ?

Les solutions SSO traditionnelles, comme ADFS, ont toujours été compliquées à déployer. La difficulté est en grande partie liée à la nécessité d'intégrer les différents composants existants avec de nouvelles applications modernes et de modifier la configuration. Chez Okta, nous nous sommes entretenus avec des clients qui ont dépensé pas moins de 5 000 dollars en l'espace d'une semaine, rien que pour intégrer une application actuelle avec un produit SSO classique. Nos données internes montrent qu'une entreprise utilise en moyenne 60 applications. Additionnez toutes ces difficultés, et il apparaît qu'une solution SSO classique peut vite devenir coûteuse.

Le déploiement d'un produit SSO d'ancienne génération implique également de constituer un nouveau référentiel d'utilisateurs, ce qui est loin d'être simple. Très souvent, les profils existent déjà dans un annuaire, comme Microsoft Active Directory (AD). Si une entreprise compte plusieurs forêts AD non "trustées", le déploiement d'une solution SSO comme ADFS oblige parfois l'équipe IT à recréer manuellement les liens et à instaurer une relation d'approbation mutuelle.

Enfin, l'adoption d'une solution SSO oblige souvent à investir dans du matériel. Par exemple, ADFS exige au moins six serveurs et un système d'équilibrage de charge par forêt AD. Des modifications sont ensuite à prévoir au niveau du pare-feu. L'équipe IT consacre beaucoup de temps et d'énergie à s'assurer que le pare-feu est correctement configuré. Or, dans le cas du déploiement d'une solution SSO traditionnelle, des ouvertures dans le pare-feu peuvent être nécessaires pour permettre la communication avec les applications cloud. Non seulement cette situation alourdit la charge de travail IT, mais elle comporte aussi des risques.

Les solutions SSO traditionnelles compliquent la connexion des utilisateurs aux applications, car elles exigent de mettre à jour les référentiels d'utilisateurs, de modifier le pare-feu et d'installer des équipements supplémentaires.

Dans ces conditions, il est compréhensible que les équipes IT jugent l'authentification SSO difficile à déployer. Toutefois, ce modèle a évolué, et il existe une alternative nettement plus intéressante. Les solutions SSO dans le cloud offrent aux entreprises les avantages de l'authentification unique sans les inconvénients du déploiement des systèmes traditionnels.

En quoi les solutions SSO dans le cloud sont-elles plus simples à déployer ?

1. Connecteurs préintégrés pour toutes les applications

Les solutions SSO modernes offrent des connecteurs préintégrés pour les applications courantes, ce qui évite à l'équipe IT d'avoir à créer des intégrations applicatives de toutes pièces. Par exemple,Okta Integration Network compte plus de 6 500 préintégrations avec les principales technologies cloud et on-premise du marché. Vous pouvez ainsi connecter rapidement les utilisateurs, gérer les comptes et assurer leur provisioning, mais aussi synchroniser les données entre les systèmes et les applications. À défaut, il faudrait des mois à l'équipe IT pour créer et gérer des connexions entre les applications et une solution SSO d'ancienne génération. Les préintégrations permettent donc de redoubler de rapidité et d'efficacité.

2. Compatibilité avec les annuaires existants

Les solutions SSO modernes peuvent facilement se connecter à vos annuaires (Active Directory et LDAP, par exemple) et importer automatiquement des comptes, des attributs et des groupes, ce qui évite d'avoir à constituer manuellement un nouvel annuaire utilisateurs. Par exemple, Okta prend en charge la délégation d'authentification Active Directory, le provisioning et le déprovisioning, la synchronisation d'annuaire et la gestion des mots de passe Active Directory. Concrètement, toutes les modifications entre Active Directory et Okta sont synchronisée.

3. Aucun changement à prévoir au niveau du matériel ou du pare-feu

Avec une solution SSO dans le cloud, inutile d'acheter, d'installer, de configurer ou de gérer des équipements matériels. Et en choisissant un bon produit, vous pouvez conserver votre pare-feu en l'état. Okta Single Sign-On gère votre connexion à Active Directory par le biais d'un agent léger qui se connecte à plusieurs domaines et forêts AD (même non trustées), sans qu'il soit nécessaire d'installer des serveurs supplémentaires ou de modifier le pare-feu. L'agent communique avec Okta via un port de sortie standard (le port 443, par exemple).

Une solution SSO dans le cloud est à la fois plus facile à déployer et beaucoup plus économique. Le coût total de possession (TCO) d'Okta peut représenter la moitié de celui d'ADFS ou d'autres solutions comme Oracle, IBM, CA et Ping.

4. Prise en charge des applications web on-premise

Un autre mythe autour des solutions SSO dans le cloud veut qu'elles ne prennent pas en charge les applications web on-premise, comme WebLogic, E-Business Suite et PeopleSoft, qui utilisent l'authentification header-based, Kerberos, IWA ou d'autres protocoles propriétaires. Si c'était le cas auparavant, elles ont désormais la capacité de sécuriser les applications web on-premises, sans les difficultés inhérentes au déploiement des systèmes SSO traditionnels. Du fait de cette évolution, les analystes recommandent d’utiliser des plateformes SSO dans le cloud (ou IDaaS [Identity-as-a-Service]) plutôt que des solutions SSO d'ancienne génération : « D'ici 2022, le modèle de distribution IDaaS sera plébiscité pour plus de 80 % des déploiements de solutions de gestion des accès dans le monde » – Quadrant magique international de Gartner pour la gestion des accès, 2018.

Réalité : les solutions SSO modernes ne sont pas difficiles à déployer

Les solutions cloud modernes d'authentification unique (SSO) ne sont ni difficiles à déployer, ni complexes à utiliser. Les préintégrations et les connecteurs d'annuaires utilisateurs automatiques facilitent l'onboarding des nouveaux utilisateurs et des nouvelles applications, sans installation matérielle ni maintenance supplémentaire. Conçu pour évoluer facilement, le service garantit une disponibilité élevée et réduit nettement les coûts. Mais surtout, la gestion de la sécurité est entre les mains d'experts qui n'ont d'autre objectif que d'offrir aux utilisateurs l'expérience d'accès la plus simple et la plus sécurisée.

Vous souhaitez en savoir plus sur l'authentification SSO ?

Visionnez le webinar Things You Don't Know About Single Sign-On, consultez notre page consacrée à l'authentification unique (SSO) et parcourez les autres publications relatives aux mythes :

Mythe ou réalité : l'authentification SSO équivaut à un gestionnaire de mots de passe
Fact or Fiction: SSO Creates a Single Point of Failure So Less Secure
Fact or Fiction: SSO slows down IT