Le Single Sign-on (SSO) est un service d'authentification de session et d'utilisateur qui permet à un utilisateur d'utiliser un ensemble d'informations d'identification (par exemple, nom et mot de passe) pour accéder à plusieurs applications. SSO peut être utilisé par les entreprises, les petites organisations et les particuliers pour atténuer la gestion de divers noms d'utilisateur et mots de passe.
Webinar Oracle Security Week
Temps de lecture : 5 mn
Dans un service SSO Web de base, un module agent sur le serveur d'application récupère les informations d'authentification spécifiques d'un utilisateur individuel à partir d'un serveur de politiques SSO dédié, tout en authentifiant l'utilisateur par rapport à un référentiel utilisateur tel qu'un répertoire LDAP (Lightweight Directory Access Protocol). Le service authentifie l'utilisateur final pour toutes les applications auxquelles l'utilisateur a reçu des droits et élimine les demandes de mot de passe futures pour des applications individuelles au cours de la même session.
L'authentification unique est un arrangement de gestion d'identité fédérée (FIM) et l'utilisation d'un tel système est parfois appelé fédération d'identité. OAuth, qui se prononce "oh-auth", est le cadre qui permet à l'utilisateur final d'utiliser les informations de son compte par des services tiers, tels que Facebook, sans exposer son mot de passe.
Une visualisation du fonctionnement de l'authentification unique
OAuth agit à titre d'intermédiaire au nom de l'utilisateur final en fournissant au service un jeton d'accès qui autorise le partage de certains renseignements sur le compte. Lorsqu'un utilisateur tente d'accéder à une application du fournisseur de services, ce dernier envoie une demande d'authentification au fournisseur d'identité. Le fournisseur de services vérifiera ensuite l'authentification et connectera l'utilisateur.
Bien que l'ouverture de session unique soit pratique pour les utilisateurs, elle présente des risques pour la sécurité de l'entreprise. Un attaquant qui prend le contrôle des informations d'identification SSO d'un utilisateur se verra accorder l'accès à chaque application sur laquelle l'utilisateur a des droits, augmentant ainsi le montant des dommages potentiels. Afin d'éviter les accès malveillants, il est essentiel que tous les aspects de l'implémentation du SSO soient couplés à la gouvernance de l'identité. Les entreprises peuvent également utiliser l'authentification à deux facteurs (2FA) ou l'authentification multifactorielle (MFA) avec SSO pour améliorer la sécurité.
Google, LinkedIn, Twitter et Facebook offrent tous des services de SSO populaires qui permettent à un utilisateur final de se connecter à une application tierce avec ses identifiants d'authentification des médias sociaux. Bien que le Single Sign-on social soit une commodité pour les utilisateurs, il peut présenter des risques de sécurité car il crée un point d'échec unique qui peut être exploité par les pirates. De nombreux professionnels de la sécurité recommandent aux utilisateurs finaux de s'abstenir complètement d'utiliser les services SSO sociaux, car une fois qu'un attaquant a pris le contrôle des identifiants SSO d'un utilisateur, il pourra accéder à toutes les autres applications qui utilisent les mêmes identifiants.
Il y a quelques années, Apple a dévoilé son propre service d'authentification unique et le positionne comme une alternative plus privée aux options SSO fournies par Google, Facebook, LinkedIn et Twitter. La nouvelle offre, Sign In with Apple, devrait limiter l'accès des services de données tiers aux données. Le Single Sign-on (SSO) d'Apple améliore également la sécurité en exigeant que les utilisateurs utilisent une authentification à deux facteurs sur tous les comptes Apple ID pour prendre en charge l'intégration avec Face ID et Touch ID sur les appareils iOS.
Les produits et services logiciels d'authentification unique d'entreprise (eSSO) sont des gestionnaires de mots de passe avec des composants client et serveur qui connectent l'utilisateur à des applications cibles en rejouant les identifiants utilisateur. Ces identifiants sont presque toujours le nom d'utilisateur et le mot de passe, et les applications cibles n'ont pas besoin d'être modifiées pour fonctionner avec le système eSSO.
Les avantages du SSO incluent :
Les inconvénients du SSO incluent :
Oracle Data Safe : Protéger vos bases de données Oracle
Observatoire de la Tech: Cybersécurité, où en sont les français ?
Adopter Oracle Cloud Infrastructure, conçu selon une architecture “security first”
Cloud de confiance : Sur quels critères objectifs se reposer ?