Le SSO, Single Sign-On ou authentification unique, est une technologie de sécurité cloud importante qui réduit toutes les connexions d'applications utilisateur à une seule connexion pour plus de sécurité et de commodité.
Cet article s'articule autour des points suivants :
Contenu associé
Contrôle des accès
Qu'est-ce que l'lAM ?
Périmètre défini par logiciel
Contrôle des accès en fonction du rôle (RBAC)
Qu'est-ce qu'un CASB ?
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
L'authentification unique (SSO) est une technologie qui combine plusieurs écrans de connexion d'applications différentes en un seul. Avec le SSO, un utilisateur ne doit saisir ses informations de connexion (nom d'utilisateur, mot de passe, etc.) qu'une seule fois sur une seule page pour accéder à toutes ses applications SaaS.
Le SSO est souvent utilisé dans un contexte professionnel, lorsque les applications des utilisateurs sont attribuées et gérées par une équipe informatique interne. Les travailleurs à distance qui utilisent des applications SaaS bénéficient également de l'utilisation du SSO.
Imaginez que des clients admis dans une boîte de nuit doivent montrer leur carte d'identité pour prouver leur âge chaque fois qu'ils veulent acheter une boisson alcoolisée. Certains clients seraient rapidement frustrés par les contrôles continus et pourraient même essayer de contourner ces mesures en amenant leurs propres boissons.
En fait, la plupart des établissements ne vérifient qu'une seule fois l'âge du client, puis lui servent plusieurs boissons au cours d'une même soirée. C'est un peu comme un système SSO : au lieu d'établir son identité à plusieurs reprises, un utilisateur établit son identité une fois pour toute et peut ensuite accéder à plusieurs services différents.
Le SSO est un aspect important de nombreuses solutions de gestion des identités et des accès (IAM) ou contrôle d'accès. La vérification de l'identité de l'utilisateur est cruciale pour savoir quelles autorisations chaque utilisateur doit avoir. Cloudflare Zero Trust est un exemple de solution de contrôle d'accès qui s'intègre aux solutions SSO pour gérer les identités des utilisateurs.
En plus de sa simplicité et de son côté pratique pour les utilisateurs, le SSO est largement considéré comme plus sécurisé. Cela semble défier le bon sens : comment le fait de se connecter une fois avec un seul mot de passe, au lieu de plusieurs fois avec plusieurs mots de passe, peut-il être plus sûr ? Les partisans du SSO citent les raisons suivantes :
Chaque fois qu'un utilisateur se connecte à un service SSO, le service crée un jeton d'authentification qui mémorise que l'utilisateur a été vérifié. Un jeton d'authentification est une information numérique stockée soit dans le navigateur de l'utilisateur, soit dans les serveurs du service SSO, à la manière d'une carte d'identité temporaire délivrée à l'utilisateur. Toute application à laquelle l'utilisateur accède procèdera à une vérification auprès du service SSO. Le service SSO transmet le jeton d'authentification de l'utilisateur à l'application et l'utilisateur sera autorisé à entrer. Cependant, si l'utilisateur n'est pas encore connecté, il sera invité à le faire via le service SSO.
Un service SSO ne se souvient pas nécessairement de qui est un utilisateur, car il ne stocke pas ses identités. La plupart des services SSO fonctionnent en vérifiant les identifiants des utilisateurs par rapport à un service de gestion des identités distinct.
Vous pouvez vous représenter l'authentification unique comme un intermédiaire qui peut confirmer si les identifiants de connexion d'un utilisateur correspondent à leur identité dans la base de données, sans gérer eux-mêmes la base de données (un peu comme lorsqu'un bibliothécaire recherche un livre pour quelqu'un à partir du titre du livre. Le bibliothécaire ne connaît pas par cœur l'intégralité du catalogue de la bibliothèque, mais peut y accéder facilement.
La capacité de transmettre un jeton d'authentification à des applications et services externes est fondamentale dans le processus SSO. Elle permet à la vérification d'identité d'avoir lieu séparément des autres services cloud, ce qui rend le SSO possible.
Pensez à un événement exclusif dont l'accès serait limité à quelques invités. L'un des moyens utilisé par les agents de sécurité à l'entrée pour indiquer qu'un invité peut accéder à l'événement consiste à lui appliquer un tampon sur le dessu de la main. Le personnel peut vérifier le tampon de chaque invité pour s'assurer qu'il a le droit d'être là. Toutefois, n'importe quel tampon ne fera pas l'affaire : le personnel de l'événement est capable d'identifier la forme et la couleur exactes du tampon utilisé par le service de sécurité à l'entrée.
De la même façon que les tampons doivent se ressembler, les jetons d'authentification ont leurs propres normes de communication pour s'assurer qu'ils sont corrects et légitimes. La principale norme d'authentification via des jetons sécurisés s'appelle SAML (Security Assertion Markup Language). De la même façon que les pages web sont écrites en HTML (Hypertext Markup Language), les jetons d'authentification sont écrits en SAML.
L'authentification unique n'est qu'un aspect de la gestion des accès des utilisateurs. Elle doit être combinée avec le contrôle d'accès, le contrôle des autorisations, les journaux d'activité et d'autres mesures pour suivre et contrôler le comportement des utilisateurs dans les systèmes internes d'une organisation. Cependant, l'authentification unique est un élément crucial de la gestion des accès. Si un système ne sait pas qui est un utilisateur, il n'y a aucun moyen d'autoriser ou de restreindre les actions de cet utilisateur.
Cloudflare Zero Trust contrôle et sécurise l'accès des utilisateurs aux applications et aux sites Web ; il peut remplacer la plupart des VPN. Cloudflare s'intègre aux fournisseurs de SSO afin d'identifier les utilisateurs et de faire respecter les autorisations d'accès qui leur sont attribuées.