Définition de l'authentification unique (SSO) Comment SSO fonctionne-t-il ?

Nous le faisons tous, et nous savons que nous ne devrions pas le faire. Il y a ce fichier dans notre téléphone ou un morceau de papier dans notre portefeuille – ou pire, un post-it collé à l'arrière de notre clavier – qui répertorie nos noms d'utilisateur et mots de passe. Puis, nous avons l'habitude d'utiliser le nom de notre chien avec quelques chiffres et une certaine ponctuation.

Le fait est que la vie moderne dans le monde du Web signifie que nous devons en quelque sorte nous souvenir de dizaines de noms de compte et de mots de passe. À moins que vous ne soyez doté d'une mémoire remarquable, ils ne seront pas tous différents. La plupart du temps, ils sont simples, ils sont vieux, et si quelqu'un a vraiment essayé, ils sont devinables. C'est un cadeau pour les cybercriminels potentiels, et c'est 100% évitable.

Qu'est-ce que l'authentification unique (SSO) ?

La technologie d'authentification unique est une solution partielle au problème de mot de passe qui nous afflige tant au travail que dans notre vie personnelle. Il nous permet de nous connecter une seule fois à un serveur d'authentification, qui émet ensuite des certificats en notre nom qui servent d'informations d'identification vérifiées pour les applications participantes.

Il y a de fortes chances que vous ayez utilisé un tel système. Si vous avez choisi de vous connecter avec Apple ou Google, ou un autre système de gestion des identités d'un grand fournisseur plutôt que de créer un nouveau mot de passe pour chaque application Web, vous utilisez le SSO. De plus en plus, le SSO est également utilisé dans l'entreprise, souvent en combinaison avec d'autres technologies d'autorisation pour sécuriser les systèmes de l'entreprise et rendre la maintenance des mots de passe tenable sur des dizaines à des centaines d'applications et de services.

Principaux points à retenir

• Le SSO facilite la tâche d'un individu qui se souvient de nombreuses combinaisons de mot de passe et de nom d'utilisateur.
• Le SSO facilite la vie des équipes informatiques en leur donnant un seul système d'authentification à gérer pour l'ensemble de l'entreprise.
• Le SSO permet également aux applications d'authentifier les utilisateurs auprès des services dont l'application a besoin pour fonctionner, tels que ceux qui gèrent les connexions réseau ou recherchent des mises à jour logicielles.

SSO expliqué

Le concept de connexion unique est simple : au lieu de fournir un nom d'utilisateur et un mot de passe ou de vous identifier à chaque application que vous utilisez, vous fournissez ces informations une seule fois à un serveur d'authentification. Une fois cela fait, le serveur d'authentification envoie des certificats d'identification en votre nom lorsque vous accédez à une application qui participe au système SSO.

Le SSO réduit le nombre de noms d'utilisateur et de mots de passe que vous devez connaître. Il peut également réduire considérablement le nombre de fois où vous êtes invité à fournir des informations d'identification, ce qui facilite l'utilisation d'un large éventail d'applications et plus probablement vous créerez des mots de passe plus forts. Du point de vue des planificateurs informatiques d'entreprise, le SSO leur permet de mettre à jour les procédures de sécurité et de déployer des mécanismes d'authentification plus avancés à utiliser par le serveur d'authentification, ce qui permet à toutes les applications participantes de bénéficier d'une authentification plus sécurisée sans nécessiter de modification.

Dans votre vie personnelle, l'utilisation du système d'authentification d'un fournisseur majeur au lieu de configurer manuellement un nouveau nom d'utilisateur et un nouveau mot de passe sur chaque application présente plusieurs avantages. L'un des principaux avantages est que les grands fournisseurs qui fournissent des services fédérés de gestion des identités sont bons pour protéger les mots de passe et autres données personnelles qui leur sont confiés par les clients. Un nouveau fournisseur doté d'une nouvelle application risque de ne pas très bien protéger les informations d'identification que vous fournissez.

Comment SSO fonctionne-t-il ?

le SSO fonctionne en demandant aux utilisateurs de s'authentifier sur un serveur SSO plutôt que sur des applications individuelles. Une fois ce processus d'authentification terminé, le serveur SSO fournit des certificats aux applications auxquelles une personne authentifiée souhaite accéder. Les certificats servent à vérifier l'identité de l'utilisateur.

Les certificats ne sont généralement valables que pendant une certaine période et sont généralement liés au système à partir duquel les utilisateurs individuels se sont authentifiés. Pour participer, les applications doivent être écrites de manière à leur permettre d'utiliser le service SSO. Dans l'entreprise, les planificateurs informatiques choisissent normalement un modèle SSO, puis exigent que les applications l'utilisent pour vérifier l'identité des employés. Cela peut être un problème pour les anciennes applications monolithiques qui créent leurs propres référentiels d'informations d'identification utilisateur ou qui ne prennent pas en charge les architectures SSO courantes.

Types de configuration SSO courants

Les composants et concepts communs de SSO partagent plusieurs caractéristiques, notamment la gestion centralisée des identités, la normalisation et des mesures de sécurité robustes. L'une des clés est l'interopérabilité : ces systèmes doivent fonctionner ensemble pour s'assurer que le processus d'authentification est convivial et fonctionne correctement sur plusieurs applications. Lorsque cela sera réalisé, les équipes informatiques trouveront qu'elles seront en mesure de mandater des mots de passe plus sécurisés et une authentification à deux facteurs avec un minimum de pushback.

• SAML. Le Security Assertion Markup Language est une spécification technique décrivant la structure d'un document qui servira à authentifier les utilisateurs auprès des applications. Le SAML utilise la norme XML largement acceptée pour spécifier la structure du document que les serveurs d'identité (également appelés fournisseurs d'identités) créent et envoient aux applications. Ces applications sont souvent appelées "fournisseurs de services" dans le langage SSO. Tout fournisseur d'identités utilisant le SAML crée des informations d'identification d'authentification qui peuvent être utilisées par toute application connaissant SAML, ce qui en fait un bon choix pour les applications Internet.

  Le SAML ne fournit pas de mécanisme garantissant que les informations d'authentification reçues par une application ne sont pas modifiées. Cela est géré par d'autres technologies.

• Kerberos. Créé au MIT à la fin de 1980s dans le cadre du projet Athena, Kerberos est une architecture d'authentification et d'autorisation complète. Le projet Athena a cherché à créer un réseau de ressources informatiques universellement accessibles aux étudiants du MIT à travers le campus. Kerberos a utilisé à l'origine la norme de chiffrement DES données (DES) pour chiffrer les messages transmis entre les serveurs d'authentification et les applications. Il a utilisé des clés symétriques 48 bits, ce qui signifie que la même clé est utilisée pour le chiffrement et le déchiffrement des messages. À l'époque, le DES était la forme de cryptage la plus sécurisée disponible en tant que norme conservée par le National Institute of Standards and Technology (NIST).

  Actuellement, Kerberos utilise AES (Advanced Encryption Standard), qui a remplacé DES dans les normes de chiffrement du NIST. AES spécifie des clés plus longues (jusqu'à 256 bits) et permet plusieurs cycles de chiffrement, ce qui rend le système très difficile à pirater.

  Parce que Kerberos utilise le chiffrement de clé symétrique, il nécessite un tiers de confiance pour gérer les clés, ce qui le rend le plus approprié pour les applications d'entreprise où un domaine d'utilisation peut être étroitement établi, généralement limité aux LAN et VPN de l'entreprise. Bien que Kerberos puisse être utilisé sur Internet, où aucun domaine ne sera établi à l'aide d'une norme d'authentification différente (chiffrement par clé publique) pour démarrer le processus, il est rarement utilisé de cette façon. Kerberos peut utiliser son propre format d'informations d'identification ou être configuré pour utiliser SAML. Il reste populaire, y compris avec Microsoft, qui est par défaut Kerberos plutôt que son système d'authentification NTLM moins sécurisé pour les réseaux d'entreprise.

• OAuth. En tant que structure d'autorisation ouverte qui n'inclut pas de structure d'authentification, OAuth est le système par défaut lorsqu'une application Internet doit accéder aux ressources d'un service protégé pour le compte d'un utilisateur. La plupart des fournisseurs cloud, y compris Oracle avec son Oracle Cloud Infrastructure (OCI), utilisent OAuth pour gérer l'accès à leurs ressources cloud. Oracle propose également des bibliothèques et des services qui permettent aux développeurs de créer facilement leurs propres applications utilisant OAuth.

  Les composants principaux d'un système OAuth sont les suivants :

  • Le système client, généralement une application utilisateur qui peut vouloir accéder aux ressources de divers services disponibles sur Internet.
  • Serveur d'autorisation, qui reçoit les demandes de jetons qui permettront à un client d'accéder aux services protégés. Le serveur d'autorisation recevra des demandes de jetons avec le certificat d'authentification du client. Il émettra des jetons d'accès qui ont été autorisés par le propriétaire de la ressource.
  • Le serveur de ressources, qui contient les informations ou fournit le service que le client cherche à utiliser. Il fournit des données ou des services lorsqu'il reçoit des jetons d'accès valides du client.

  Divers types d'octroi d'accès peuvent être spécifiés par le jeton d'accès. Les différents types sont émis en fonction du niveau de confiance requis et de la nature du périphérique client. Par exemple, un téléviseur intelligent peut recevoir une autorisation d'accès différente d'un ordinateur portable.

• OpenID Connect (OIDC). OpenID Connect est le système de gestion des identités conçu pour être utilisé avec OAuth. Ensemble, OIDC et OAuth fournissent un environnement SSO complet pour les applications Web et les systèmes Internet natifs, tels que les applications mobiles. Plutôt que d'utiliser le SAML comme base pour renvoyer des informations d'identification, OIDC utilise un document JSON appelé jetons Web JSON, décrit ci-dessous, et des protocoles RESTful. Les deux sont natifs d'Internet et simples à utiliser pour les développeurs.

  Au lieu d'utiliser le chiffrement par clé symétrique comme Kerberos, OIDC utilise le chiffrement par clé publique, qui se prête mieux aux réseaux sans domaine comme Internet.

• Authentification de carte à puce. Des systèmes comme OIDC utilisent le chiffrement par clé publique pour s'assurer que seuls les destinataires prévus peuvent voir les données échangées avec un fournisseur de gestion des identités pendant et après l'authentification. Le chiffrement par clé publique est asymétrique et implique une clé publique, qui peut être utilisée pour chiffrer les messages à envoyer à un client ou un serveur, et une clé privée secrète qui doit être utilisée pour déchiffrer les messages.

  Généralement, les clés privées sont stockées sur le périphérique d'un utilisateur. La plupart des ordinateurs portables sont livrés avec une puce inviolable qui utilise la technologie TPM (Trusted Platform Module) pour déchiffrer les messages destinés au système. Les téléphones Apple et Android utilisent des systèmes différents, mais similaires. Apple est appelé Secure Enclave, et Android est appelé Android Knox. Ces technologies permettent à l'appareil de fournir sa clé publique à tout système qui le demande correctement et utilisera sa clé privée qui n'est jamais divulguée pour déchiffrer les messages qu'il reçoit.

  L'avantage pour ces systèmes en ce sens que l'utilisateur de l'appareil n'a pas besoin de savoir comment le chiffrement est géré sur ses systèmes. L'inconvénient est que chaque périphérique dont l'utilisateur est propriétaire aura une paire de clés publique/privée unique, de sorte que les périphériques sont connus individuellement dans le processus de cryptage. Si un ordinateur portable ou un téléphone est perdu ou volé, son système de cryptage n'empêchera pas l'accès si le voleur connaît le mot de passe du propriétaire.

  L'utilisation d'une carte à puce avec une puce similaire aux puces intégrées dans les cartes de crédit permet aux utilisateurs d'être authentifiés avec un ensemble de clés, quels que soient les appareils qu'ils utilisent. La puce de la carte est son propre microprocesseur, elle doit donc être insérée dans un lecteur de carte ou activée et alimentée à l'aide d'une technologie RFID, telle que les communications en champ proche. La sécurité des cartes à puce est similaire à celle offerte par les puces TPM.

• SSO d'entreprise. Les grandes entreprises disposant d'infrastructures d'application complexes peuvent créer un système SSO d'entreprise, ou eSSO, qui est limité aux limites de ses réseaux. Les employés apprécieront d'avoir besoin de connaître un ou deux mots de passe et noms d'utilisateur pour accéder aux applications dont leur travail a besoin, et l'entreprise bénéficiera d'une sécurité meilleure et plus gérable pour les systèmes et les données. Ces systèmes eSSO peuvent préférer le chiffrement de clé symétrique en raison de sa capacité à révoquer les clés plus facilement et SAML pour son format bien connu, et ils utilisent souvent divers types d'authentification multifacteur pour une meilleure sécurité des adresses.

  Au fur et à mesure que les applications SaaS deviennent plus courantes, les entreprises ont le choix de passer à un système comme OAuth plus couramment utilisé sur Internet ou exigeant que les applications SaaS s'intègrent dans le cadre eSSO que l'entreprise a choisi. SAML peut être utilisé sur le réseau de l'entreprise et sur Internet. De nombreuses applications SaaS prendront en charge les deux structures pour l'authentification des utilisateurs.

• SSO Web. Les applications Web sont susceptibles de mieux fonctionner avec ou de se limiter à l'utilisation de OAuth pour autoriser l'activité des utilisateurs et d'OpenID Connect pour authentifier les utilisateurs. Parce que l'Internet est supposé être le transport, les composants d'un système Web SSO sont définis comme une norme IETF et ont donc tendance à fonctionner d'une manière que les développeurs Web attendent et apprécient. De plus, l'authentification est étroitement liée à l'autorisation et utilise des méthodes d'accès telles que les protocoles REST et les normes d'information basées sur JSON pour créer un système complet et extensible. Les systèmes Web SSO sont également conçus pour fonctionner à travers les domaines et à grande échelle.

• LDAP. Le protocole Lightweight Directory Access Protocol a d'abord été introduit dans les années 1990 pour permettre aux utilisateurs de trouver les ressources qu'ils pourraient utiliser sur un réseau local, tel que des serveurs ou des imprimantes. Il envisage un serveur faisant autorité qui connaîtra toutes les ressources d'un domaine. En tant que tel, il ne convient pas à l'utilisation d'Internet.

  Comme le LDAP est utilisé pour accorder l'accès aux ressources réseau, il inclut un système d'authentification utilisateur avec les informations d'identification de l'utilisateur stockées sur le serveur LDAP. Ses mécanismes d'authentification des utilisateurs ne sont pas solides ; par exemple, il envoie des mots de passe sur le réseau sous forme de texte clair. Le chiffrement peut être fourni par un autre protocole, tel que SSL/TLS.

  Le LDAP présente l'avantage d'être flexible et extensible, afin que les entreprises puissent l'utiliser pour stocker des informations supplémentaires sur les employés, telles que les rôles organisationnels et les appartenances à des groupes, ainsi que des attributs tels que le lieu de bureau et le numéro de téléphone. Néanmoins, des privilèges d'accès plus granulaires sont souvent requis dans l'entreprise (pensez aux informations sur les personnes qui ont accès à certaines données) et ces droits d'accès ne peuvent pas être facilement gérés par LDAP.

• JWT. Les jetons Web JSON sont des documents compacts utilisés pour transmettre des informations entre les parties de manière structurée et sécurisée. Ils répondent au même besoin que les documents SAML, mais au format plus simple, ce qui les rend adaptés à l'inclusion dans les URL. Les jetons JWT sont signés cryptographiquement à l'aide de techniques de chiffrement par clé publique pour garantir l'authenticité. Dans l'authentification ouverte (Oath), une fois qu'un utilisateur est authentifié, le serveur d'identités renvoie un jeton d'ID JSON.

  Les demandes d'autorisation d'accès aux ressources protégées renverront ensuite un jeton d'accès JSON, qui doit ensuite être inclus à chaque demande adressée au serveur de ressources. Ces transactions transfèrent l'état du client - dans ce cas, authentifié et autorisé - dans le cadre de chaque demande, ce qui en fait des échanges dits RESTful. REST, qui signifie "transfert d'état représentatif", est avantageux car les serveurs de ressources n'ont pas besoin d'établir et de gérer des sessions avec chaque client qui souhaite utiliser les ressources du serveur.

  Les JWT sont des documents en texte clair, ils doivent donc être utilisés sur des connexions chiffrées par HTTPS. Les jetons sont généralement conçus de telle sorte qu'ils ne contiennent pas de données sensibles, telles que des informations personnellement identifiables. Comme chaque jeton est signé conformément à la norme X.509, la norme internationale de formatage des certificats de clés publiques, cette signature sera validée par les serveurs de ressources pour s'assurer que le jeton n'a pas été altéré. Les jetons JWT sont des composants d'un système d'authentification et d'autorisation OAuth/OpenID. Ils sont conçus pour être utilisés par les applications Web, évoluent bien et sont destinés à être utilisés dans tous les domaines.

Avantages du SSO

Les professionnels de l'informatique et de la sécurité ont tendance à être des adeptes du SSO ; ils comprennent que cela signifie la centralisation de l'authentification des utilisateurs, la protection des informations potentiellement sensibles et la gestion de l'intégration avec les systèmes et applications d'entreprise. Ils sont généralement heureux de s'attaquer à la formation requise des utilisateurs et de s'occuper de la surveillance et de la maintenance continues. C'est le résultat direct de plusieurs avantages importants qui viennent avec la technologie.

• Accès centralisé. Les systèmes de SSO simplifient la gestion des comptes utilisateur et l'accès aux nombreuses applications gérées par la plupart des entreprises et des fournisseurs de cloud Internet. L'accès utilisateur à toutes les applications peut être accordé et révoqué au même endroit. Ainsi, si, par exemple, un employé quitte une organisation, les administrateurs n'auront pas besoin de supprimer les identifiants de l'employé pour chaque application individuellement. Les professionnels de la sécurité peuvent également apporter des modifications aux systèmes d'authentification en un seul endroit, plutôt que d'avoir à apporter des modifications à chaque application.
• Sécurité améliorée. Le SSO réduit considérablement le nombre de paires nom d'utilisateur et mot de passe que les employés doivent valider dans la mémoire. Avec cette charge réduite, il est raisonnable, en particulier pour les entreprises, d'améliorer la sécurité des échanges d'authentification avec une authentification multifacteur et des politiques de mots de passe forts.
• Augmentation de la productivité des collaborateurs. Les employés auront moins de mal à se souvenir des noms d'utilisateur et des mots de passe lorsque le SSO sera en place. Une fois authentifiés, les utilisateurs peuvent généralement accéder aux applications sans se réauthentifier. Le SSO devrait donc permettre aux employés d'accéder plus rapidement à leur travail prévu. Selon les détails de l'implémentation, ils peuvent toujours être tenus de s'authentifier auprès des applications qu'ils utilisent, mais au moins ils n'auront qu'à mémoriser leurs informations d'identification SSO.
• Réduction du nombre de mots de passe utilisés. Avouons-le, personne ne veut faire face à des dizaines de noms d'utilisateur et mots de passe. La difficulté de se souvenir de mots de passe complexes, en particulier s'ils doivent être changés fréquemment, peut entraîner de la frustration et amener les gens à utiliser des mots de passe faciles à deviner, à réutiliser le même mot de passe pour plusieurs comptes ou à utiliser la méthode de gestion du post-it pour la gestion de leurs mots de passe. SSO allège ce fardeau.
• Conformité réglementaire. SSO peut faciliter la conformité réglementaire grâce aux avantages de la gestion centralisée des accès qui viennent d'être décrits. L'audit et la correction sont également simplifiés car il n'y a qu'une seule structure SSO à vérifier.
• Intégration simplifiée . Une entreprise classique gère des pétaoctets de données stockés dans de nombreuses instances de base de données. Il n'est pas difficile d'imaginer une base de données pour les données de fabrication, une autre pour les données de la supply chain et d'autres pour les données financières, les données marketing, les données de vente, etc. Il est également facile de comprendre à quel point il serait utile que les commerciaux aient accès aux données de stock, par exemple. Un système CRM peut accéder à ces données, mais chaque commercial doit être connu de la base de données de gestion des stocks ainsi que de son système CRM. SSO peut fournir l'identité vérifiée nécessaire du demandeur, et les jetons d'accès peuvent aider à déterminer les données qu'une personne dans chaque rôle doit être autorisée à voir. Sans SSO, l'intégration entre le CRM et le système d'inventaire serait beaucoup plus difficile à créer et à gérer et impliquerait une autre étape d'authentification pour les utilisateurs ou une sécurité potentiellement plus faible pour les données d'inventaire.
• Expérience utilisateur rationalisée. La réduction de la nécessité de s'authentifier auprès des applications d'entreprise et des applications Web permet généralement une meilleure expérience utilisateur. Et parce que beaucoup de gens sont habitués au SSO via leur présence en ligne personnelle, il y a souvent une formation minimale requise.

SSO et sécurité : SSO sécurisé ?

Tout d'abord, il n'y a pas de sécurité, il n'y a que des degrés de sécurité. Cela dit, tout cadre de SSO disponible dans le commerce sera hautement sécurisé, ce qui fait partie du point de la technologie. En général, le système SSO n'est pas une solution de sécurité totale. Il s'agit plutôt d'un élément important d'un environnement sécurisé. Son rôle en tant que système d'authentification des utilisateurs et de fourniture d'informations d'identification d'authentification aux applications et aux autres systèmes fournissant des ressources est un élément essentiel d'une stratégie de sécurité globale.

SSO et confidentialité

SSO se prête à une meilleure confidentialité, mais la confidentialité peut varier selon chaque implémentation. Par exemple, les réponses de SAML et JWT contiennent au minimum une assertion d'authentification. Ils peuvent également contenir des informations, telles que des groupes et des rôles qui s'appliquent à l'utilisateur, ainsi que d'autres données que les responsables de l'implémentation choisissent de fournir.

Dans le commerce de détail en ligne ou les réseaux sociaux, il peut être utile pour l'application de connaître l'âge, l'emplacement et d'autres informations personnelles d'un utilisateur. En général, si vous fournissez de telles informations personnelles à Facebook, ayez en tête que Facebook les fournira à des tiers à moins que la politique de confidentialité ne l'infirme ou que l'application ne vous permette explicitement de dire de ne pas partager certaines informations.

Dans l'entreprise, les systèmes de SSO doivent renvoyer des affirmations d'authentification avec les rôles pertinents dont dispose l'utilisateur dans l'organisation. Il peut également être utile d'offrir le bureau de l'entreprise où l'utilisateur travaille et le numéro de téléphone professionnel. D'autres informations devraient être plus difficiles à obtenir. Ce qui est fourni par défaut est généralement dicté par les politiques RH.

Cas d'utilisation de SSO

Le SSO est conçu pour fournir aux utilisateurs un accès transparent à plusieurs applications et systèmes avec un seul ensemble d'informations d'identification de connexion. Bien que les organisations qui ont des exigences strictes en matière de conformité réglementaire puissent constater qu'elles doivent mettre en œuvre des mesures de sécurité supplémentaires, il existe de nombreux cas d'utilisation pour le SSO. Celles-ci comprennent les éléments suivants :

• Applications d'entreprise. Une entreprise gère généralement des dizaines à des centaines d'applications, chacune nécessitant l'authentification des utilisateurs. La création et la maintenance de systèmes de gestion des identités par application ne sont pas pratiques pour les utilisateurs ou les équipes informatiques. Le SSO offre un moyen d'authentifier les employés une fois, puis de gérer leur autorisation d'utiliser des ressources en fonction de cette authentification unique.

  Les assertions d'authentification ne sont généralement valides que pendant une certaine période et sur un seul système. Des détails plus précis sur les rôles de chaque employé au sein de l'entreprise peuvent être conservés par le système de SSO et utilisés par les applications ou les systèmes d'autorisation pour fournir un accès limité aux applications, aux données et aux autres ressources.

• Applications cloud. Pour les entreprises et les consommateurs, les systèmes basés sur le cloud ont des besoins d'identification et d'autorisation différents de ceux des systèmes SSO destinés à l'entreprise. Pour les consommateurs, la commodité voudrait qu'une fois les utilisateurs authentifiés, ces derniers peuvent utiliser le service indéfiniment à partir de cet appareil. Une fois connecté à Gmail, par exemple, vous pouvez l'utiliser et utiliser d'autres applications Google, telles que Docs ou Sheets, sans devoir vous réauthentifier. En entreprise, les fournisseurs de services cloud qui offrent des applications ou des plateformes SaaS et une infrastructure en tant que service permettront également un large accès à leurs services une fois l'identité de l'utilisateur confirmée. L'authentification est la première étape d'un modèle d'autorisation de service plus large qui permet aux utilisateurs de se connecter une seule fois et d'utiliser un large éventail de services. L'accès au service dépend du rôle de chaque utilisateur pour chaque application. Il peut s'agir d'un administrateur sur une application, d'un développeur sur une seconde et d'un utilisateur final sur une troisième. L'accès dépendra également de ce que l'organisation a payé.

Implémentation de SSO

Ne laissez pas un manque d'expertise en sécurité interne vous dissuader de l'adoption d'un SSO. Les fournisseurs de services de sécurité gérés ainsi que les équipes d'implémentation des fournisseurs de SSO sont là pour vous aider. De nombreuses entreprises choisissent d'utiliser les services de SSO offerts par des fournisseurs tiers. L'entreprise bénéficie de l'expertise, des fonctionnalités de sécurité avancées et de l'évolutivité, et les équipes informatiques peuvent se concentrer sur la croissance de l'entreprise tout en laissant la gestion du SSO aux experts.

À un niveau élevé, la mise en œuvre nécessite trois éléments majeurs.

1. Choisir et distribuer des systèmes d'authentification client qui collecteront en toute sécurité les informations de l'utilisateur final, telles que le nom utilisateur et le mot de passe. Même dans l'entreprise, ces systèmes sont souvent fournis en tant que pages Web, il est donc facile de garder les processus d'authentification uniformes sur tous les appareils. En général, dans l'entreprise, l'utilisateur doit être soit sur le réseau de l'entreprise ou y accéder via un VPN. Cette exigence permet à l'organisation de créer un système unique de gestion des ID faisant autorité.
2. Configurer un gestionnaire d'ID qui authentifie les utilisateurs et émet des certificats pour le compte de l'organisation. Dans la plupart des magasins, le gestionnaire d'ID fait partie d'un système qui fournit également des jetons d'autorisation utilisateur qui permettent aux applications de savoir ce qu'une personne est autorisée à faire dans l'application ou étroitement liés au serveur d'autorisation.
3. Configurez ou modifiez des applications pour utiliser les certificats et les jetons des systèmes d'authentification unique et d'autorisation plutôt que de conserver leur propre système d'ID utilisateur.

Meilleures pratiques de SSO

Que vous le mettiez en œuvre en interne, avec l'aide d'un tiers ou que vous utilisiez un modèle en tant que service, il y a des clés pour réussir. Celles-ci comprennent les éléments suivants :

1. Mandat d'authentification multifacteur (MFA). Tout comme le SSO permet aux entreprises d'appliquer des stratégies de mots de passe à partir d'une structure unique, il peut également permettre aux entreprises d'implémenter une technologie d'identification plus forte, connue collectivement sous le nom d'authentification multifacteur. Ces facteurs peuvent inclure les cartes à puce, les applications exécutées sur les smartphones, diverses formes d'authentification biométrique, etc.
2. Utilisez le contrôle d'accès basé sur les rôle (RBAC). L'authentification des utilisateurs ne résout qu'une partie du problème lié à la gestion de l'accès aux ressources d'entreprise. L'autre défi consiste à limiter l'accès des utilisateurs aux ressources qu'ils sont autorisés à utiliser. En établissant des groupes, tels que les équipes marketing, finance, production et ventes, et en établissant des rôles au sein de chaque groupe pour ses membres, le contrôle d'accès peut être affiné et conservé dans un emplacement centralisé et gérable.
3. Auditer et mettre à jour les normes. L'authentification centrée sur un cadre unique de mécanismes simplifie considérablement l'audit et le processus de mise à jour pour répondre aux nouvelles normes à mesure qu'elles émergent.
4. Implémenter la gestion des rôles et des autorisations. Le SSO se prête à une philosophie de confiance zéro. Les utilisateurs peuvent accéder uniquement aux ressources explicitement requises pour leurs rôles et voir uniquement les données pour lesquelles disposent d'un droit d'accès explicite.
5. Respecter les lois en matière d'accès aux données. L'utilisation d'une structure SSO ne garantit pas la conformité aux lois sur la confidentialité des données, mais elle peut rendre cette conformité beaucoup plus facile à atteindre et à démontrer.

Contrôlez facilement et en toute sécurité vos accès avec Oracle

Vous avez besoin de gérer les identités et l'accès des utilisateurs pour Oracle Cloud Infrastructure (OCI) et entre les applications cloud et sur site ? Pour les entreprises qui appliquent une stratégie de sécurité sans confiance, Oracle Cloud Infrastructure Identity and Access Management (IAM) fournit les outils de gestion et d'intégration dont vous avez besoin.

Vous souhaitez déployer un authentificateur universel avec la prise en charge de l'authentification multifacteur ? Oracle Access Management offre un système flexible qui peut s'exécuter sur site ou dans le cloud. Les organisations peuvent permettre à ces stratégies de suivre l'utilisateur, quels que soient le périphérique et l'emplacement, afin d'assurer la sécurité de l'accès aux données en tout endroit, à tout moment, et à partir de n'importe quel terminal. En plus de l'authentification à plusieurs facteurs, le portefeuille IAM d'Oracle prend en charge l'authentification unique sur appareil et l'authentification unique sur application fiables, le tout nécessaire pour atteindre les principes et les mandats de l'architecture sans confiance.

Alors que les entreprises s'appuient sur un plus grand nombre d'applications et que les applications s'appuient sur un plus grand nombre de services et de sources de données pour faire leur travail, l'authentification et l'autorisation des utilisateurs deviennent plus difficiles à gérer. Les structures de SSO simplifient la vie des utilisateurs finaux et des architectes d'application en simplifiant le processus d'authentification et d'autorisation.

FAQ sur le SSO

Que signifie SSO ?

SSO signifie SSO (accès avec connexion unique).

Qu'est-ce que mon compte SSO ?

Votre compte SSO est un service d'authentification centralisé qui vous permet d'utiliser un ensemble d'informations d'identification de connexion pour accéder à plusieurs applications et systèmes. Cela signifie que vous devez mémoriser un seul nom d'utilisateur et mot de passe pour accéder à tous les services et ressources fournis par votre organisation. Les comptes SSO rationalisent le processus de connexion, améliorent la sécurité et facilitent l'accès des utilisateurs aux informations et aux outils dont ils ont besoin pour effectuer leur travail.

Qu'est-ce qu'un exemple de SSO ?

Dans l'espace grand public, les grands fournisseurs tels qu'Amazon, Google, Meta et Microsoft peuvent servir de source d'informations d'identification utilisateur pour d'autres applications. Si une boîte de dialogue qui vous permet de saisir vos informations d'identification ou de vous connecter à l'aide de l'un des services ci-dessus s'affiche, vous utilisez le SSO.