Qu’est-ce que le Single Sign-On (SSO) ?

Le Single Sign-on (SSO) est un service d'authentification de session et d'utilisateur qui permet à un utilisateur d'utiliser un ensemble d'informations d'identification (par exemple, nom et mot de passe) pour accéder à plusieurs applications. SSO peut être utilisé par les entreprises, les petites organisations et les particuliers pour atténuer la gestion de divers noms d'utilisateur et mots de passe.

Télécharger l’ebook : La Sécurité du Cloud
pour les nuls

Webinar Oracle Security Week

Concrètement, comment fonctionne un SSO ?

Temps de lecture : 5 mn

Dans un service SSO Web de base, un module agent sur le serveur d'application récupère les informations d'authentification spécifiques d'un utilisateur individuel à partir d'un serveur de politiques SSO dédié, tout en authentifiant l'utilisateur par rapport à un référentiel utilisateur tel qu'un répertoire LDAP (Lightweight Directory Access Protocol). Le service authentifie l'utilisateur final pour toutes les applications auxquelles l'utilisateur a reçu des droits et élimine les demandes de mot de passe futures pour des applications individuelles au cours de la même session.


Comment fonctionne l'authentification unique

L'authentification unique est un arrangement de gestion d'identité fédérée (FIM) et l'utilisation d'un tel système est parfois appelé fédération d'identité. OAuth, qui se prononce "oh-auth", est le cadre qui permet à l'utilisateur final d'utiliser les informations de son compte par des services tiers, tels que Facebook, sans exposer son mot de passe.

Le processus SSO

Une visualisation du fonctionnement de l'authentification unique

OAuth agit à titre d'intermédiaire au nom de l'utilisateur final en fournissant au service un jeton d'accès qui autorise le partage de certains renseignements sur le compte. Lorsqu'un utilisateur tente d'accéder à une application du fournisseur de services, ce dernier envoie une demande d'authentification au fournisseur d'identité. Le fournisseur de services vérifiera ensuite l'authentification et connectera l'utilisateur.

Risques de sécurité et SSO

Bien que l'ouverture de session unique soit pratique pour les utilisateurs, elle présente des risques pour la sécurité de l'entreprise. Un attaquant qui prend le contrôle des informations d'identification SSO d'un utilisateur se verra accorder l'accès à chaque application sur laquelle l'utilisateur a des droits, augmentant ainsi le montant des dommages potentiels. Afin d'éviter les accès malveillants, il est essentiel que tous les aspects de l'implémentation du SSO soient couplés à la gouvernance de l'identité. Les entreprises peuvent également utiliser l'authentification à deux facteurs (2FA) ou l'authentification multifactorielle (MFA) avec SSO pour améliorer la sécurité.

Social SSO

Google, LinkedIn, Twitter et Facebook offrent tous des services de SSO populaires qui permettent à un utilisateur final de se connecter à une application tierce avec ses identifiants d'authentification des médias sociaux. Bien que le Single Sign-on social soit une commodité pour les utilisateurs, il peut présenter des risques de sécurité car il crée un point d'échec unique qui peut être exploité par les pirates. De nombreux professionnels de la sécurité recommandent aux utilisateurs finaux de s'abstenir complètement d'utiliser les services SSO sociaux, car une fois qu'un attaquant a pris le contrôle des identifiants SSO d'un utilisateur, il pourra accéder à toutes les autres applications qui utilisent les mêmes identifiants.

Single Sign-on social

Il y a quelques années, Apple a dévoilé son propre service d'authentification unique et le positionne comme une alternative plus privée aux options SSO fournies par Google, Facebook, LinkedIn et Twitter. La nouvelle offre, Sign In with Apple, devrait limiter l'accès des services de données tiers aux données. Le Single Sign-on (SSO) d'Apple améliore également la sécurité en exigeant que les utilisateurs utilisent une authentification à deux facteurs sur tous les comptes Apple ID pour prendre en charge l'intégration avec Face ID et Touch ID sur les appareils iOS. 

SSO d'entreprise

Les produits et services logiciels d'authentification unique d'entreprise (eSSO) sont des gestionnaires de mots de passe avec des composants client et serveur qui connectent l'utilisateur à des applications cibles en rejouant les identifiants utilisateur. Ces identifiants sont presque toujours le nom d'utilisateur et le mot de passe, et les applications cibles n'ont pas besoin d'être modifiées pour fonctionner avec le système eSSO.

Avantages et inconvénients du SSO

Les avantages du SSO incluent :

  • Permet aux utilisateurs de se rappeler et de gérer moins de mots de passe et de noms d'utilisateur pour chaque application.
  • Simplifie le processus d'ouverture de session et d'utilisation des applications - plus besoin de saisir à nouveau les mots de passe.
  • Réduit les risques d'hameçonnage
  • Moins de plaintes ou de problèmes concernant les mots de passe pour les services d'assistance informatique.

Les inconvénients du SSO incluent :

  • Il ne traite pas de certains niveaux de sécurité dont chaque ouverture de session d'application peut avoir besoin.
  • En cas de perte de disponibilité, les utilisateurs sont bloqués sur les multiples systèmes connectés au SSO.
  • Si un utilisateur non autorisé obtient l'accès, alors l'accès pourrait avoir accès à plus d'une application.

Découvrir plus de contenu autour de la Sécurité

  • Replay Webinar Sécurité

    Oracle Data Safe : Protéger vos bases de données Oracle

  • Article Blog

    Observatoire de la Tech: Cybersécurité, où en sont les français ?

  • Infographie Sécurité

    Adopter Oracle Cloud Infrastructure, conçu selon une architecture “security first”

  • Article Blog

    Cloud de confiance : Sur quels critères objectifs se reposer ?