Qu'est-ce que le SSO ? | Fonctionnement du SSO

Le SSO, Single Sign-On ou authentification unique, est une technologie de sécurité cloud importante qui réduit toutes les connexions d'applications utilisateur à une seule connexion pour plus de sécurité et de commodité.

Share facebook icon linkedin icon twitter icon email icon

Qu'est-ce que le SSO ?

Objectifs d’apprentissage

Après avoir lu cet article, vous :

  • Apprendre ce qu'est l'authentification unique (SSO) et comment cela fonctionne
  • Comprendre les avantages liés à l'utilisation du SSO en matière de sécurité
  • Découvrir comment fonctionnent les jetons d'authentification SSO

Qu'est-ce que l'authentification unique (SSO) ?

L'authentification unique (SSO) est une technologie qui combine plusieurs écrans de connexion d'application différents en un seul. Avec l'authentification unique, un utilisateur ne saisit qu'une fois ses identifiants de connexion (nom d'utilisateur, mot de passe, etc.) sur une seule page pour accéder à toutes ses applications SaaS. L'authentification unique est souvent utilisée dans un contexte commercial, lorsque les applications utilisateur sont attribuées et gérées par une équipe informatique interne.

Imaginez que des clients admis dans une boîte de nuit doivent montrer leur carte d'identité pour prouver leur âge chaque fois qu'ils veulent acheter une boisson alcoolisée. Certains clients seraient rapidement frustrés par les contrôles continus et pourraient même essayer de contourner ces mesures en amenant leurs propres boissons.

En fait, la plupart des établissements ne vérifient qu'une seule fois l'âge du client, puis lui servent plusieurs boissons au cours d'une même soirée. C'est un peu comme un système SSO : au lieu d'établir son identité à plusieurs reprises, un utilisateur établit son identité une fois pour toute et peut ensuite accéder à plusieurs services différents.

Le SSO est un aspect important de nombreuses solutions de gestion des identités et des accès (IAM) ou contrôle d'accès. La vérification de l'identité de l'utilisateur est cruciale pour savoir quelles autorisations chaque utilisateur doit avoir. Cloudflare Access est un exemple de solution de contrôle d'accès qui s'intègre aux solutions SSO pour gérer les identités des utilisateurs.

Quels sont les avantages du SSO ?

En plus de sa simplicité et de son côté pratique pour les utilisateurs, le SSO est largement considéré comme plus sécurisé. Cela semble défier le bon sens : comment le fait de se connecter une fois avec un seul mot de passe, au lieu de plusieurs fois avec plusieurs mots de passe, peut-il être plus sûr ? Les partisans du SSO citent les raisons suivantes :

  1. Mots de passe plus forts : comme les utilisateurs ne doivent utiliser qu'un seul mot de passe, le SSO facilite la création, la mémorisation et l'utilisation de mots de passe plus forts.* En pratique, et c'est généralement le cas : la plupart des utilisateurs utilisent des mots de passe plus forts avec le SSO.

    *Qu'est-ce qui rend un mot de passe « fort »? Un mot de passe fort n'est pas facile à deviner. Il est suffisamment aléatoire pour qu'une attaque par force brute ne réussisse pas à le casser. w7: g " 5h $ G @ est un mot de passe relativement fort, mais password123 ne l'est pas.
  2. Pas de mots de passe répétés : lorsque les utilisateurs doivent se souvenir des mots de passe de plusieurs applications et services différents, une condition connue sous le nom de « fatigue des mots de passe » est susceptible de se produire : les utilisateurs réutilisent les mots de passe entre les services. L'utilisation du même mot de passe sur plusieurs services présente un risque de sécurité énorme, car cela signifie que tous les services ne sont pas plus sécurisés que le service bénéficiant de la protection par mot de passe la plus faible : si la base de données de mots de passe de ce service est compromise, les attaquants peuvent utiliser le mot de passe pour pirater également tous les autres services de l'utilisateur. Le SSO élimine ce scénario en réduisant toutes les connexions à une seule connexion.
  3. Application d'une meilleure politique des mots de passe : avec un seul endroit pour la saisie du mot de passe, le SSO permet aux équipes informatiques d'appliquer facilement des règles de sécurité aux mots de passe. Par exemple, certaines entreprises demandent aux utilisateurs de réinitialiser périodiquement leurs mots de passe. Avec le SSO, les réinitialisations de mot de passe sont plus faciles à mettre en œuvre : au lieu de réinitialiser constamment les mots de passe dans un certain nombre d'applications et de services différents, les utilisateurs n'ont qu'un seul mot de passe à réinitialiser (bien que le bien-fondé de la réinitialisation régulière des mots de passe ait été remise en question, certaines équipes informatique considèrent toujours cette mesure comme un point important de leur stratégie de sécurité).
  4. Authentification multifacteur : l'authentification multifacteur, ou MFA, fait référence à l'utilisation de plusieurs facteurs d'identité pour authentifier un utilisateur (voir Qu'est-ce que le MFA ?). Par exemple, en plus de saisir un nom d'utilisateur et un mot de passe, un utilisateur peut devoir connecter à un périphérique USB ou entrer un code qui apparaît sur son smartphone. La possession de cet objet physique est un deuxième « facteur » qui établit que l'utilisateur est celui qu'il dit être. Le MFA est beaucoup plus sûr que de se fier uniquement à un mot de passe. Le SSO permet d'activer le MFA à un seul point au lieu de devoir l'activer pour trois, quatre ou plusieurs dizaines d'applications, ce qui présente un problème de faisabilité.
  5. Point unique pour appliquer la nouvelle saisie du mot de passe : les administrateurs peuvent appliquer la nouvelle saisie des identifiants après un certain temps pour s'assurer que le même utilisateur est toujours actif sur le périphérique connecté. Avec l'authentification unique, ils disposent d'un emplacement central à partir duquel cette opération peut être effectuée pour toutes les applications internes, au lieu de devoir l'appliquer sur plusieurs applications différentes. Il s'agit d'une fonctionnalité que certaines applications peuvent ne pas prendre en charge.
  6. Gestion interne des identifiants au lieu du stockage externe : habituellement, les mots de passe des utilisateurs sont stockés à distance et ne sont pas gérés par les applications et les services qui peuvent ou non suivre les bonnes pratiques de sécurité. Cependant, avec l'authentification unique, ils sont stockés en interne dans un environnement sur lequel une équipe informatique a plus de contrôle.
  7. Moins de temps perdu sur la récupération des mots de passe : en plus des avantages de sécurité ci-dessus, l'authentification unique réduit également le temps perdu pour les équipes internes. Le service informatique doit consacrer moins de temps à aider les utilisateurs à récupérer ou à réinitialiser leurs mots de passe pour des dizaines d'applications, et les utilisateurs passent moins de temps à se connecter à diverses applications pour effectuer leur travail. L'avantage qui en résulte est d'augmenter potentiellement la productivité de l'entreprise.

Comment fonctionne une connexion SSO ?

Chaque fois qu'un utilisateur se connecte à un service SSO, le service crée un jeton d'authentification qui mémorise que l'utilisateur a été vérifié. Un jeton d'authentification est une information numérique stockée soit dans le navigateur de l'utilisateur, soit dans les serveurs du service SSO, à la manière d'une carte d'identité temporaire délivrée à l'utilisateur. Toute application à laquelle l'utilisateur accède procèdera à une vérification auprès du service SSO. Le service SSO transmet le jeton d'authentification de l'utilisateur à l'application et l'utilisateur sera autorisé à entrer. Cependant, si l'utilisateur n'est pas encore connecté, il sera invité à le faire via le service SSO

Un service SSO ne se souvient pas nécessairement de qui est un utilisateur, car il ne stocke pas ses identités. La plupart des services SSO fonctionnent en vérifiant les identifiants des utilisateurs par rapport à un service de gestion des identités distinct.

Vous pouvez vous représenter l'authentification unique comme un intermédiaire qui peut confirmer si les identifiants de connexion d'un utilisateur correspondent à leur identité dans la base de données, sans gérer eux-mêmes la base de données (un peu comme lorsqu'un bibliothécaire recherche un livre pour quelqu'un à partir du titre du livre. Le bibliothécaire ne connaît pas par cœur l'intégralité du catalogue de la bibliothèque, mais peut y accéder facilement.

Comment fonctionnent les jetons d'authentification SSO ?

La capacité de transmettre un jeton d'authentification à des applications et services externes est fondamentale dans le processus SSO. Elle permet à la vérification d'identité d'avoir lieu séparément des autres services cloud, ce qui rend le SSO possible.

Pensez à un événement exclusif dont l'accès serait limité à quelques invités. L'un des moyens utilisé par les agents de sécurité à l'entrée pour indiquer qu'un invité peut accéder à l'événement consiste à lui appliquer un tampon sur le dessu de la main. Le personnel peut vérifier le tampon de chaque invité pour s'assurer qu'il a le droit d'être là. Toutefois, n'importe quel tampon ne fera pas l'affaire : le personnel de l'événement est capable d'identifier la forme et la couleur exactes du tampon utilisé par le service de sécurité à l'entrée.

De la même façon que les tampons doivent se ressembler, les jetons d'authentification ont leurs propres normes de communication pour s'assurer qu'ils sont corrects et légitimes. La principale norme d'authentification via des jetons sécurisés s'appelle SAML (Security Assertion Markup Language). De la même façon que les pages web sont écrites en HTML (Hypertext Markup Language), les jetons d'authentification sont écrits en SAML.

Comment l'authentification unique s'intègre-t-elle dans une stratégie de gestion des accès ?

L'authentification unique n'est qu'un aspect de la gestion des accès des utilisateurs. Elle doit être combinée avec le contrôle d'accès, le contrôle des autorisations, les journaux d'activité et d'autres mesures pour suivre et contrôler le comportement des utilisateurs dans les systèmes internes d'une organisation. Cependant, l'authentification unique est un élément crucial de la gestion des accès. Si un système ne sait pas qui est un utilisateur, il n'y a aucun moyen d'autoriser ou de restreindre les actions de cet utilisateur.

Cloudflare s'intègre-t-il aux solutions SSO ?

Cloudflare Access contrôle et sécurise l'accès des utilisateurs aux applications et aux sites web. Il peut remplacer la plupart des VPN. Cloudflare Access s'intègre aux fournisseurs de SSO afin d'identifier les utilisateurs et appliquer les autorisations d'accès qui leur sont attribuées. Cloudflare Access fait partie de la suite de produits Cloudflare for Teams.