Qu’est-ce que l’authentification unique (SSO) ?

L’authentification unique (SSO) est une fonction d’authentification qui permet aux utilisateurs d’accéder à plusieurs applications à l’aide d’un seul jeu d’identifiants. Les entreprises utilisent généralement l’authentification unique pour fournir un accès plus simple à un éventail d’applications web, sur site et cloud en vue d’offrir une meilleure expérience. Cette fonction offre également plus de contrôle aux directions informatiques sur l’accès des utilisateurs, réduit le nombre d’appels au support pour des problèmes de mot de passe et améliore le niveau de sécurité et de conformité.

Pourquoi avoir recours à l’authentification unique ?

À l’heure actuelle, les applications sont déployées dans des datacenters et dans des clouds, et délivrées au format SaaS. Toutes les applications métier requièrent que les utilisateurs s’authentifient avant de pouvoir accéder à une ressource. Avant l’ère de l’authentification unique (SSO), chaque fois qu’un utilisateur avait besoin de passer d’une application à une autre, il devait se reconnecter. La plupart du temps, chaque application avait ses propres identifiants, ce qui se soldait par une mauvaise expérience utilisateur, des échecs de connexion dus à des oublis, des stratégies de contrôle d’accès hétérogènes et un coût de prise en charge de ces applications accru.

La fonction SSO a changé la façon dont les utilisateurs interagissent avec les applications et y accèdent. Grâce à l’authentification unique, les utilisateurs gagnent du temps en accédant à toutes les applications VDI, d’entreprise, Web et SaaS, et toutes les autres ressources d’entreprise, telles que les partages de fichiers réseau, avec un seul jeu d’identifiants.

Comment fonctionne l’authentification unique ?

L’authentification unique est une composante de la gestion fédérée de l’identité (FIM), un accord passé entre des entreprises qui permet aux abonnés d’utiliser le même jeu d’identifiants pour accéder au réseau de chaque entreprise. Il est souvent fait référence à la FIM comme à la fédération de l’identité.

L’identité d’un utilisateur est associée au sein de plusieurs domaines de sécurité, chacun disposant de son propre système de gestion de l’identité. Une fois les domaines fédérés, l’utilisateur peut s’authentifier sur l’un de ces domaines et accéder à toutes les ressources d’un autre sans avoir à s’identifier à nouveau.

Le cadre permettant à des tiers, tels que LinkedIn et Facebook, d’utiliser les informations de compte d’une personne afin de l’authentifier sans révéler son mot de passe est appelé OAuth. Il fait office d’intermédiaire à l’aide d’un token permettant uniquement le partage de certaines informations de compte. Lorsqu’un utilisateur accède à une application, il envoie une demande d’authentification au fournisseur d’identité, qui vérifie alors la demande et autorise l’accès.

Il existe d’autres protocoles d’authentification, tels que Kerberos et le standard SAML (Security Assertion Markup Language). Les services d’authentification unique basés sur Kerberos délivrent un ticket d’authentification horodaté ou TGT (ticket donnant droit à un ticket), qui permet d’obtenir des tickets de service pour d’autres applications sans que l’utilisateur n’ait de nouveau à saisir ses identifiants. Les services d’authentification unique basés sur le standard SAML échangent les données d’authentification et d’autorisation des utilisateurs entre plusieurs domaines sécurisés, et gèrent les communications entre l’utilisateur, un fournisseur d’identité avec un répertoire utilisateur et un fournisseur de services.

Quels sont les avantages de l’authentification unique ?

L’authentification unique offre des avantages aux utilisateurs et aux services informatiques. Les utilisateurs ont moins de mots de passe à mémoriser et bénéficient d’un accès plus facile et rapide aux applications.

Les directions informatiques reçoivent moins d’appels de support liés à des problèmes de mot de passe. La gestion automatisée des identifiants, quant à elle, allège la charge liée à la gestion manuelle de l’accès des employés aux applications et aux services. L’authentification unique permet également aux directions informatiques de provisionner et de déployer rapidement et simplement des applications SaaS auprès des employés.

En outre, du point de vue de la sécurité, l’authentification unique réduit la menace de cyberattaques, comme le phishing, en limitant le nombre d’identifiants en danger. Néanmoins, il est indispensable d’également mettre en œuvre une authentification multifacteur comme dispositif auxiliaire, au cas où la confidentialité des mots de passe serait compromise.   

Bonnes pratiques d’authentification unique

Si vous êtes à la recherche d’une solution d’authentification unique, il est important d’avoir en tête les bonnes pratiques suivantes :

  1. Accès à toutes les applications. Certaines solutions d’authentification unique (SSO) ne couvrent qu’une partie de vos d’applications. Certaines solutions sur site assurent l’authentification unique (SSO) des applications Web et métier, mais ne peuvent pas le faire pour les applications VDI ou SaaS. Par ailleurs, certains fournisseurs IDaaS offrent une fonction d’authentification unique (SSO) pour les applications cloud et SaaS, mais pas pour les applications sur site. Au moment de choisir une solution SSO, vous devez privilégier d’une part sa capacité à assurer la fonction d’authentification unique pour l’ensemble des applications VDI, d’entreprise, Web et SaaS, et d’autre part à fournir un accès réseau aux autres ressources d’entreprise, comme le partage de fichiers réseau.
  2. Sécuriser l’identité des utilisateurs lorsqu’ils accèdent aux applications SaaS. Les applications SaaS se trouvent en dehors du réseau du datacenter. Pour assurer l’authentification unique (SSO) de ces applications, de nombreuses solutions sur le marché imposent aux clients de déplacer leur répertoire utilisateur vers le cloud. Pour de nombreuses entreprises, cela pose problème et représente un risque élevé. C’est pourquoi nous vous conseillons d’adopter une solution vous permettant de conserver votre répertoire utilisateur sur site.
  3. Intégration des mécanismes d’authentification multifacteur. Il est indispensable d’identifier rapidement et correctement les utilisateurs et de les autoriser à accéder aux ressources d’entreprise. Par conséquent, les entreprises ne doivent pas se contenter de noms d’utilisateur et de mots de passe, mais chercher une solution suffisamment souple pour procéder à une authentification des utilisateurs en fonction de leur appareil, leur emplacement, l’application à laquelle ils essaient d’accéder, etc. Il est donc important de choisir une solution SSO prenant en charge tous les mécanismes d’authentification ainsi que les protocoles de type RADIUS, Kerberos, Microsoft NTLM, Certificate Services, etc.
  4. Outils de supervision et de dépannage. Votre solution SSO doit proposer des outils de supervision capables de traiter les problèmes de performance de toutes les applications, qu’elles se trouvent dans un datacenter, dans le cloud ou au format SaaS, afin que vous puissiez les résoudre rapidement.

Ressources supplémentaires