Qu'est-ce que l'authentification unique (SSO) ?

L’authentification unique ou SSO (Single Sign-On) est une méthode d’authentification qui permet aux utilisateurs d’accéder en toute sécurité à plusieurs applications et services avec un seul jeu d’identifiants. Que votre travail quotidien repose sur Slack, Asana, Google Workspace ou Zoom, la SSO affiche un widget ou une page de connexion qui vous donne accès, en un seul mot de passe, à toutes les applications intégrées. Au lieu de saisir une dizaine de mots de passe par jour, vous ne devez en saisir qu’un, sans que votre sécurité ne soit compromise.

Avec l’authentification SSO, fini l’époque où vous deviez vous rappeler de nombreux mots de passe et demander leur réinitialisation en cas d’oubli. Vous pouvez aussi accéder à différentes plateformes et applications sans avoir besoin de vous connecter à chaque fois.

Comment fonctionne l'authentification SSO ?

La SSO est basée sur le concept de l’identité fédérée, c’est-à-dire le partage des attributs d’identité sur des systèmes fiables et autonomes. Lorsqu’un utilisateur est approuvé par un système, il reçoit automatiquement le droit d’accéder à tous les autres systèmes ayant établi une relation de confiance avec le premier système. Cette façon de procéder constitue la base des solutions SSO avancées, qui sont activées via des protocoles comme OpenID Connect et SAML 2.0.

Lorsqu’un utilisateur se connecte à un service en passant par une connexion SSO, un jeton d’authentification est créé et stocké dans son navigateur ou dans les serveurs de la solution SSO. Chaque site web ou application auquel l’utilisateur accèdera par la suite effectuera une vérification auprès du service SSO, qui enverra ensuite le jeton de l’utilisateur pour confirmer son identité et lui fournir un accès.

Types de SSO

L’utilisation de la SSO à des fins d’identification nécessite de connaître différents protocoles et normes, parmi lesquels :

  • Security Access Markup Language (SAML) : SAML est une norme ouverte qui encode du texte en langage machine et échange les informations d’identification. Devenue l’un des fondements de la SSO, la norme SAML est utilisée pour aider les fournisseurs d’applications à vérifier que les demandes d’authentification sont appropriées. SAML 2.0 est spécifiquement optimisée pour une utilisation dans les applications web, ce qui autorise la transmission des informations via un navigateur.
  • Open Authorization (OAuth) : OAuth est un protocole d’autorisation basé sur une norme ouverte qui transfère les informations d’identification entre applications et les chiffre en code machine. Les utilisateurs peuvent ainsi autoriser une application à accéder à leurs données dans une autre application sans avoir besoin de valider manuellement leur identité, ce qui est particulièrement utile pour les applications natives.
  • OpenID Connect (OIDC) : OIDC se place au-dessus d’OAuth 2.0 pour ajouter des informations sur l’utilisateur et autoriser le processus d’authentification SSO. Ce protocole permet d’accéder à plusieurs applications avec une seule session de connexion. Par exemple, un utilisateur peut se connecter à un service via son compte Facebook ou Google au lieu de saisir des identifiants.
  • Kerberos : Kerberos est un protocole qui permet une authentification mutuelle, dans laquelle à la fois l’utilisateur et le serveur vérifient l’identité de l’autre sur les connexions réseau non sécurisées. Il utilise un service d’attribution de tickets qui émet des jetons pour authentifier les utilisateurs et les applications logicielles, comme les clients de messagerie ou les serveurs wiki.
  • Authentification par carte à puce : au-delà de la SSO classique, des équipements matériels permettent aussi de réaliser le même processus, par exemple des dispositifs de cartes à puce que les utilisateurs connectent à leur ordinateur. Le logiciel de l’ordinateur interagit avec les clés cryptographiques de la carte pour authentifier l’utilisateur. Bien que les cartes à puce soient hautement sécurisées et nécessitent un code PIN, ce sont des dispositifs matériels que l’utilisateur doit emporter avec lui et qui présentent donc un risque de perte. De même, leur utilisation peut être coûteuse.

Histoire de la technologie SSO

La technologie SSO remonte aux outils d’identité on-premise qui, entre le milieu et la fin des années 1990, permettaient de connecter en toute sécurité les ordinateurs, réseaux et serveurs. À cette époque, les organisations ont commencé à gérer leurs identités utilisateurs via des systèmes dédiés comme Microsoft Active Directory et LDAP (Lightweight Directory Access Protocol). Puis, elles ont sécurisé les accès au moyen d’outils on-premise d’authentification unique ou de gestion des accès web (WAM, Web Access Management)

Tandis que l’IT continuait son évolution en migrant dans le cloud, devenant disponible sur une myriade de terminaux et faisant face à des cybermenaces plus sophistiquées, ces outils de gestion des identités traditionnels ont commencé à s’essouffler. Les équipes IT ont désormais besoin d’une solution qui offre aux utilisateurs un accès rapide et sécurisé à chaque application ou service via l’authentification unique.

Les mythes de la SSO

Les idées fausses sur la SSO prolifèrent, mais elles ne font pas le poids face à la réalité des solutions modernes. Voici les mythes les plus courants :

Mythe n° 1 : l’authentification SSO ralentit les équipes IT et augmente leur charge de travail

En réalité, cette technologie aide les équipes IT à être plus efficaces en augmentant l’automatisation, en renforçant la sécurité et la visibilité, et en établissant des workflows plus performants. Elle correspond en plein à la mission fondamentale des équipes IT, qui consiste à connecter les collaborateurs aux outils dont ils ont besoin pour accomplir leur travail, de manière fluide, rapide et sûre. La SSO permet également une montée en charge plus rapide, une meilleure visibilité sur les accès aux applications, une diminution des demandes d’assistance et une baisse des coûts IT.

Mythe n° 2 : l’authentification SSO est difficile à déployer

Les outils d’ancienne génération étaient sans doute complexes, mais une solution SSO moderne est rapide et simple à déployer. Les outils SSO actuels intègrent des connecteurs à des milliers d’applications populaires, ce qui évite aux équipes IT d’avoir à créer manuellement ces intégrations. Les entreprises peuvent également connecter des utilisateurs et importer des données à partir d’annuaires existants sans avoir besoin de configurer, installer ou maintenir des équipements matériels, ou d’apporter des modifications à leur pare-feu. Facile à déployer et hautement disponible, la SSO centralise l’onboarding des nouveaux utilisateurs et des nouvelles applications, limite les coûts et garantit des accès simples mais sécurisés.

Mythe n° 3 : l’authentification SSO crée un point de défaillance unique ; elle est donc moins sécurisée

On pourrait facilement penser qu’en ne nécessitant qu’un seul mot de passe, la SSO représente un vecteur d’attaque privilégié pour les cybercriminels. Mais la réalité est qu’un point de défaillance unique existe déjà : l’utilisateur. Lorsqu’ils sont obligés de jongler entre plusieurs identifiants, les utilisateurs ont tendance à recycler leurs mots de passe et à ne pas les renouveler régulièrement, ce qui crée un risque de sécurité pour l’entreprise. En éliminant le besoin de plusieurs jeux d’identifiants, la SSO permet aux équipes IT de définir des politiques de mot de passe qui standardisent les protocoles de sécurité habituels, tout en surveillant le contexte de l’application, de l’utilisateur, du terminal, de l’emplacement et du réseau pour chaque demande d’accès.

Mythe n° 4 : l’authentification SSO équivaut à un gestionnaire de mots de passe

La SSO et les gestionnaires de mots de passe permettent aux utilisateurs d’accéder à plusieurs applications avec une seule connexion, mais les similitudes s’arrêtent là. Les gestionnaires de mots de passe sont des coffres-forts qui stockent les identifiants des utilisateurs pour différents sites web ou applications protégés par un mot de passe principal. Cependant, ils sont axés sur la protection des mots de passe, qui sont liés à plus de 80 % de toutes les brèches de sécurité et offrent aux pirates un point d’entrée potentiel dans une organisation ou une infrastructure d’identité. À l’inverse, les solutions SSO gèrent les accès sur la base de la confiance et utilisent des relations existantes pour créer un seul domaine d’authentification.

 

 

Avantages de l’authentification SSO

Les organisations qui déploient la SSO profitent de nombreux avantages : elles évitent les risques de recyclage des mots de passe, elles offrent une expérience utilisateur fluide, et bien d’autres encore. Voici quelques-uns des principaux atouts de cette technologie :

  • Surface d’attaque réduite : la SSO élimine le manque de rigueur vis-à-vis des mots de passe, ce qui signifie que votre entreprise est immédiatement moins vulnérable au phishing. Les utilisateurs n’ont besoin de mémoriser qu’un seul mot de passe fort, ce qui limite les demandes de réinitialisation, à la fois chronophages et coûteuses.
  • Accès utilisateurs fluides et sécurisés : la SSO fournit des renseignements en temps réel sur les utilisateurs ayant accédé aux applications, mais aussi sur le moment et l’emplacement d’origine de la connexion, ce qui permet aux entreprises de protéger l’intégrité de leurs systèmes. Les solutions SSO limitent également les risques de sécurité. Par exemple, si un collaborateur perd son terminal professionnel, l’équipe IT peut immédiatement désactiver l’accès de ce terminal aux comptes et aux données critiques de l’entreprise.
  • Audit simplifié des accès utilisateurs : donner aux bonnes personnes le bon niveau d’accès aux ressources et données sensibles peut être difficile dans un environnement professionnel en mutation constante. Les solutions SSO peuvent servir à configurer les droits d’accès des utilisateurs en fonction de leur rôle, département et niveau hiérarchique. Cela assure la transparence et la visibilité sur les niveaux d’accès à tout moment.
  • Utilisateurs plus autonomes et productifs : les utilisateurs exigent désormais de pouvoir accéder de façon fluide aux applications dont ils ont besoin pour accomplir leur travail. La gestion manuelle des demandes est un processus fastidieux qui finit toujours par frustrer les utilisateurs. L’authentification SSO supprime le besoin de suivi manuel, autorisant un accès immédiat même à des milliers d’applications en un seul clic.
  • Pérennisation : l’authentification SSO est la première étape de la protection de votre entreprise et de ses utilisateurs. En se fondant sur cette technologie, votre organisation peut implémenter d’autres bonnes pratiques, comme le déploiement de l’authentification multifacteur (MFA), et intégrer des outils de vérification d’identité, d’évaluation des risques et de gestion du consentement, afin de répondre aux exigences de conformité et de limiter les fraudes. En démarrant du bon pied avec l’authentification SSO, vous placez votre entreprise sur la voie d’une sécurité durable.

Défis de la SSO

Si l’authentification SSO est conviviale et pratique, elle peut poser un risque de sécurité si elle n’est pas gérée ou déployée correctement. Voici quelques-uns des défis inhérents à la technologie SSO :

Risques liés aux accès utilisateurs : si un cybercriminel parvient à récupérer les identifiants SSO d’un utilisateur, il peut accéder à toutes les applications auxquelles cet utilisateur a accès. Il est donc crucial de déployer des mécanismes d’authentification supplémentaires, en plus des mots de passe.

Vulnérabilités potentielles : des vulnérabilités déjà identifiées dans les protocoles SAML et OAuth offrent aux cybercriminels un accès non autorisé aux comptes web et mobiles de leurs victimes. Il est donc important de collaborer avec un fournisseur dont le produit permet de contrer ces problèmes potentiels et associe la SSO avec d’autres facteurs d’authentification et de gouvernance des identités.

Compatibilité des applications : toutes les applications ne sont pas configurées pour s’intégrer efficacement avec une solution SSO. Les fournisseurs d’applications doivent prévoir une vraie fonctionnalité SSO, que ce soit via SAML, Kerberos ou OAuth. Dans le cas contraire, votre solution SSO ne consistera qu’en un mot de passe supplémentaire que les utilisateurs devront se rappeler et n’offrira pas une couverture complète. 

L’authentification SSO est-elle sûre ?

Lorsque les bonnes pratiques d’authentification unique sont appliquées, une solution SSO fiable peut considérablement améliorer la sécurité. Elle offre les avantages suivants :

  • Les équipes IT peuvent utiliser la SSO pour protéger les utilisateurs avec des politiques de sécurité cohérentes qui s’adaptent à leur comportement, tout en simplifiant la gestion des noms d’utilisateur et des mots de passe. 
  • Des outils de sécurité intégrés identifient et bloquent automatiquement les tentatives de connexion malveillantes, améliorant ce faisant la sécurité des réseaux d’entreprise.
  • Les organisations peuvent déployer des outils de sécurité comme l’authentification multifacteur (MFA) en parallèle de la SSO, ce qui leur donne les moyens de superviser rapidement les droits et privilèges des utilisateurs. 

En outre, il est important d’opter pour une solution SSO d’un fournisseur reconnu, qui applique des protocoles et services de sécurité à grande échelle.

Rôle de l’authentification SSO dans la gestion des identités et des accès (IAM)

L’IAM aide les organisations à gérer tous les aspects de l’accès utilisateur, et la SSO est un élément de ce paysage de l’identité plus large. L’authentification SSO est cruciale pour vérifier l’identité des utilisateurs et fournir les niveaux d’autorisation adéquats. Il convient de l’intégrer avec des journaux d’activité, des outils qui permettent le contrôle des accès et des processus qui surveillent le comportement des utilisateurs. 

Les solutions IDaaS (Identity-as-a-Service) fournissent en un seul package toutes les fonctionnalités de l’IAM, comme l’authentification unique (SSO), l’authentification multifacteur adaptative (AMFA) et les annuaires utilisateurs. Elles simplifient la sécurité, le provisioning et les workflows, améliorent l’expérience utilisateur, et font gagner du temps et de l’argent aux organisations.

Critères essentiels d’un fournisseur SSO

La sélection d’un fournisseur SSO implique d’explorer le large éventail des options disponibles sur le marché. Voici les principaux critères à prendre en compte :

Accès à n’importe quelle application : les fournisseurs d’authentification SSO de premier plan assurent une intégration avec toutes les applications clés du marché. Lorsque vous évaluez des fournisseurs, vérifiez s’ils proposent un accès à une grande variété d’applications et d’intégrations. De même, tentez de déterminer si leurs solutions s’intègrent avec des éléments de différents types : applications d’entreprise, applications SaaS et web, ressources réseau, etc.

Personnalisation de la SSO : un produit SSO avancé doit répondre aux besoins spécifiques de chaque utilisateur en offrant un tableau de bord qui montre uniquement les applications auxquelles il a le droit d’accéder. Ce tableau de bord doit être personnalisable pour répondre aux besoins en branding de l’entreprise, et garantir la cohérence et la continuité de la marque sur tous ses sites.

Intégration avec l’authentification multifacteur (MFA) : il est important de ne pas se limiter aux noms d’utilisateur et aux mots de passe. Recherchez donc un fournisseur dont les services SSO s’intègrent avec n’importe quelle solution MFA et peuvent détecter et employer un large éventail de facteurs contextuels liés à l’utilisateur, comme l’emplacement géographique, le profil de risque et le comportement. Comme l’utilisateur doit fournir des informations supplémentaires pour confirmer son identité, la sécurité est renforcée. 

Surveillance et résolution des problèmes : un fournisseur SSO efficace doit également offrir des outils de surveillance qui aident les entreprises à identifier rapidement les problèmes de performance et à les résoudre sur tout leur environnement IT, qu’il soit hybride ou entièrement cloud.

Découvrez comment Okta Single Sign-On fournit une intégration fluide à plus de 6 000 applications courantes ou lisez notre article sur l’expérience utilisateur Okta, pour démarrer avec l’authentification SSO.