SSO et Fédérations d’identités

en quelques mots

Définition du SSO

Le développement explosif du marché du “Consumer Electronics” et des réseaux sociaux impose à l’utilisateur de mémoriser un grand nombre d’identifiants et de mots de passe.

 

Cette nécessité de se rappeler de tous ces éléments induit chez l’utilisateur de mauvaises pratiques, comme par exemple l’utilisation de mots de passe de faibles complexité (ex “12345”), écrire ses mots de passe dans un carnet, quand ce n’est pas le post-it collé sur le bord de l’écran…

 

Ces pratiques fragilisent la sécurité des informations que ces mots de passe devaient de prima bord protéger.

 

Le Single Sign On (SSO) propose diverses solutions à ce problème de prolifération des mots de passe dont le principe repose sur une authentification unique de l’utilisateur qui se propagera d’une manière ou d’une autre aux différentes applications auxquelles l’utilisateur souhaite accéder.

 

Parmi ces solutions, il y a deux grandes familles le SSO via Agent et la fédération.

SSO avec agent

Dans cette famille, nous retrouvons :

  • Le Entreprise Single Sign On (ESSO) dont le but principal est d’authentifier les utilisateurs sur les clients lourds.
  • Le Web Single Sign On (Web SSO) dont le but principal est d’authentifier les utilisateurs sur les clients web.

 

La cinématique d’authentification dans les deux cas est la même :

  • Au préalable, un agent doit être installé sur le poste de l’utilisateur.
  • L’utilisateur doit renseigner ses identifiants pour chacune des applications auprès de l’agent.
  • Cet agent a pour but de reconnaitre la page d’authentification (que ce soit une fenêtre de client lourd ou une page web).
  • Une fois cette page reconnue, l’agent injecte dans les bons champs l’identifiant et le mot de passe de l’utilisateur.

 

Les points négatifs de cette méthode sont :

  • Une modification de la page d’authentification peut bloquer l’agent qui n’arrive plus à la reconnaitre.
  • La nécessité pour l’utilisateur de créer un mot de passe fort pour chaque application demeure.
  • Dans un premier temps, l’utilisateur doit renseigner ses identifiants pour chaque application auprès de l’agent.

 

Idento a aidé à mettre en place du SSO via agent chez :

  • Keolis Lyon : Mise en place de ESSO sur plus de 30 applications.
  • TF1 : Mise en place de Web SSO sur une dizaine d’applications.
  • Air Caraïbes : Mise en place de Web SSO sur une demi-douzaine d’applications.

Fédération d’identités

Le principe de la fédération consiste à délester l’application de toute authentification à une entité tiers appelé Identity Provider (IdP). Ainsi dans la fédération, nous avons 3 entités :

  • L’utilisateur : l’individu souhaitant accéder à l’application.
  • Le Service Provider (SP) : l’application qui propose le service.
  • L’Identity Provider (IdP) : l’entité qui fait l’authentification.

 

L’application et l’IdP doivent s’accorder sur les informations concernant l’utilisateur que l’IdP doit renvoyer à l’application après authentification.

 

La cinématique d’authentification est, généralement, comme suite :

  • L’utilisateur arrive sur l’application.
  • Celle-ci voit que l’utilisateur n’est pas authentifié et le renvoie vers l’IdP.
  • L’IdP fait l’authentification (quelque soit la méthode, identifiant mot de passe, biométrique…).
  • Une fois l’utilisateur authentifié, il est renvoyé vers l’application avec des informations le concernant permettant à l’application de l’authentifier.

 

Dans cette famille, nous retrouvons tous les protocoles tels que :

  • SAML (Security Assertion Markup Language),
  • Web Services Federation (Ws Federation),
  • l’OpenId Connect (OIdC)…

 

Deux points négatifs sont à noter :

  • Cela ne fonctionne que pour les applications web.
  • Lorsque la fédération est KO l’utilisateur n’a aucun moyen de s’authentifier (sauf cas particulier où l’application maintien un autre moyen d’authentification).

 

Idento a aidé à mettre en place de la fédération d’identités tant du côté Service Provider que Identity Provider, chez :

Est-ce compliqué à mettre en œuvre ?

Il existe aujourd’hui de nombreuses solutions de fédérations d’identités performantes. Il faut prendre du temps pour sélectionner la solution correspondant à ses besoins. Une fois le choix fait, intégrer ces solutions nécessite des compétences techniques spécifiques mais ne représente pas un projet long. Par contre, la complexité réside principalement dans l’interconnexion des applications à ce socle de fédération. Cela dépend complétement de la technologie employée et de la manière dont sont gérées les autorisations dans l’application. Il est donc conseillé de procéder par lot, afin d’éviter un effet tunnel.

 

Idento, leader du conseil sur la gestion des identités et des accès, a développé des partenariats avec les meilleurs éditeurs de solutions de fédérations et une forte expérience dans l’intégration de leurs solutions. Nous pouvons vous accompagner dans le choix et l’intégration.

 

Vous souhaitez bénéficier d’un conseil sur la mise en œuvre d’une solution de fédération, contactez-nous !