SSO et Fédération d’identités

en quelques mots

Définition du SSO

Avec le développement du numérique, l’utilisateur doit mémoriser de nombreux identifiants et  mots de passe. Cette obligation de se rappeler de tous ces éléments, induit chez l’utilisateur des mauvaises pratiques. On trouve par exemple, les mots de passe trop simples (ex “12345”), les mots de passe inscrits dans un carnet. Quand ce n’est pas le post-it collé sur le bord de l’écran… Ces pratiques fragilisent la sécurité des informations que ces mots de passe devaient, de prima bord, protéger. C’est pour résoudre ces problèmes, que sont arrivées les solutions de Single Sign On et de fédération d’identités.

Le Single Sign On (SSO) propose une solution à ce problème de prolifération des mots de passe, avec une authentification unique de l’utilisateur. Cette authentification se propage selon différentes méthodes, aux applications auxquelles l’utilisateur souhaite accéder.

Parmi ces solutions, il y a deux grandes familles le SSO via Agent et la fédération d’identités.

SSO avec agent

Dans cette famille, nous retrouvons pour l’authentification des utilisateurs:

• Le Entreprise Single Sign On (ESSO) sur les clients lourds.
• Le Web Single Sign On (Web SSO) sur les clients web.

Dans les deux cas, la cinématique d’authentification est la même :

• Au préalable, il est nécessaire d’installer un agent sur le poste de l’utilisateur.
• L’utilisateur doit renseigner ses identifiants pour chacune des applications auprès de l’agent.
• Cet agent a pour but de reconnaitre la page d’authentification (que ce soit une fenêtre de client lourd ou une page web).
• Une fois cette page reconnue, l’agent injecte dans les bons champs, l’identifiant et le mot de passe de l’utilisateur.

Les points négatifs de cette méthode sont :

• Une modification de la page d’authentification peut bloquer l’agent. Dans ce cas, celui-ci n’arrive plus à la reconnaitre.
• L’utilisateur doit toujours créer un mot de passe fort pour chaque application.
• Dans un premier temps, l’utilisateur doit renseigner ses identifiants pour chaque application auprès de l’agent.

Idento a aidé à mettre en place du SSO via agent chez :

• Keolis Lyon : ESSO sur plus de 30 applications.
• TF1 : Web SSO sur une dizaine d’applications.
• Air Caraïbes : Web SSO sur une demi-douzaine d’applications.

Fédération d’identités

Le principe de la fédération d’identités consiste à délester l’application de toute authentification à une entité tiers. Celle-ci est appelée Identity Provider (IdP). Ainsi dans la fédération, nous avons 3 entités :

• L’utilisateur : l’individu souhaitant accéder à l’application.
• Le Service Provider (SP) : l’application qui propose le service.
• L’Identity Provider (IdP) : l’entité qui fait l’authentification.

L’application et l’IdP doivent s’accorder sur les informations de l’utilisateur que l’IdP doit renvoyer à l’application après authentification.

En général, la cinématique d’authentification est la suivante :

• L’utilisateur arrive sur l’application.
• Celle-ci voit que l’utilisateur n’est pas authentifié et le renvoie vers l’IdP.
• L’IdP fait ensuite l’authentification (quelque soit la méthode, identifiant mot de passe, biométrique…).
• Enfin, une fois authentifié, l’utilisateur est renvoyé vers l’application avec des informations le concernant permettant à l’application de l’authentifier.

Dans cette famille, nous retrouvons tous les protocoles tels que :

• SAML (Security Assertion Markup Language),
• Web Services Federation (Ws Federation),
• l’OpenId Connect (OIdC)…

Cependant, il est important de noter deux points négatifs :

• Cela ne fonctionne que pour les applications web.
• Lorsque la fédération est KO, l’utilisateur n’a aucun moyen de s’authentifier. Sauf cas particulier où l’application maintient un autre moyen d’authentification.

Idento a aidé à mettre en place de la fédération d’identités tant du côté Service Provider que Identity Provider, chez :

• Digital Recuiters : développement d’un module SP
• Keolis Lyon : mise en place d’un IdP et de module SP pour des applications internes
• Natixis : mise en place d’un IdP et accompagnement au développement de SP
• Air Caraïbes : mise en place d’un IdP
• Etam : mise en place d’une fédération avec Office 365
• Intercountry : aide à la mise en place d’un SP

Est-ce compliqué à mettre en œuvre ?

Il existe aujourd’hui de nombreuses solutions de fédération d’identités performantes. Aussi, il faut prendre du temps pour sélectionner la solution correspondant à ses besoins. Une fois le choix fait, l’intégration de ces solutions nécessite des compétences techniques spécifiques. Mais cela ne représente pas un projet long. Par contre, la complexité réside principalement dans l’interconnexion des applications à ce socle de fédération. Cela dépend complétement de la technologie employée et de la manière dont sont gérées les autorisations dans l’application. Il est donc conseillé de procéder par lot, afin d’éviter un effet tunnel.

Idento, leader du conseil sur la gestion des identités et des accès, a développé des partenariats avec les meilleurs éditeurs de solutions de fédération d’identité. Nous avons une forte expérience dans l’intégration de leurs solutions. Nous pouvons donc vous accompagner dans le choix de celle qui correspond le mieux à vos besoin, pour l’intégration au sein de votre système d’information et pour la maintenance.

Vous souhaitez bénéficier d’un conseil sur la mise en œuvre d’une solution de fédération, contactez-nous ! 

Benoît Ducray
Consultant IAM chez Idento