Qu’est-ce que le Single-Sign-On (SSO) ?

Le Single-Sign-On est un service d’authentification qui peut être utilisé par les petites et grandes entreprises. Il permet aux utilisateurs d’accéder à un ensemble d’applications à l’aide d’un identifiant unique. L’implémentation du SSO peut être réalisée avec les protocoles comme OIDC ou SAML. Le SSO apporte une meilleure expérience aux utilisateurs, mais peut également bloquer le système en cas d’indisponibilité.

Authentification à identifiant unique avec le Single-Sign-On

Le SSO est une technique d’authentification qui permet aux utilisateurs de se connecter en toute sécurité aux différentes applications avec une seule paire d’identifiants. Avec l’authentification SSO, l’utilisateur accède à ses données sans avoir à saisir le mot de passe de chaque application. La solution d’authentification unique fait souvent partie d’une gestion des identités et des accès (Identity Access Management ou IAM) plus globale.

 

Comment fonctionne le Single-Sign-On ?

L’authentification SSO est basée sur le principe de gestion fédérée des identités (FIM). Il s’agit d’une relation de confiance établie entre un fournisseur d’identité ou Idendity Provider (IdP), et une application ou un fournisseur de services. Elle se matérialise sous la forme d’un jeton d’authentification qui contient des informations d’identification de l’utilisateur. Créé et stocké dans le navigateur ou dans le serveur de la solution SSO, il permet de confirmer l’identité de l’utilisateur à chaque connexion à une application ou un site web.

 

Quatre technologies et normes associées au Single-Sign-On

Pour mettre en œuvre le SSO dans votre entreprise, vous avez le choix entre plusieurs services et protocoles d’authentification.

Le protocole d’autorisation OAuth (Open Authorization)

Open Authorization permet à un utilisateur de s’authentifier et d’autoriser une application à accéder à ses données sans partager son mot de passe. Cette authentification unique rationalise les interactions entre applications ayant chacune ses propres identifiants de connexion. Depuis 2012, OAuth est remplacé par OAuth 2.0 qui devient la norme pour l’autorisation en ligne.

Le protocole d’authentification d’identité OIDC

OIDC (OpenID Connect) utilise les mécanismes d’authentification et d’autorisation d’OAuth 2.0 pour vérifier l’identité d’un utilisateur d’un service client. Dans le cadre de l’authentification unique SSO, OIDC utilise le formalisme d’échange JWT (JSON Web Tokens) pour permettre à un site web d’accorder l’accès à un utilisateur en passant par un autre fournisseur de services pour son authentification.

Le standard SAML (Security Markup Language)

SAML prend en charge les communications normalisées entre un fournisseur d’identité et les fournisseurs de services ou Service Provider (SP). Il fait le lien entre l’authentification de l’identité d’un utilisateur et la permission d’utiliser un service ou une application. SAML propose un contrôle de sécurité robuste et devient ainsi le protocole privilégié dans la mise en place de l’authentification SSO entre applications.

Le protocole d’annuaire LDAP

LDAP (Lightweight Directory Access Control) est utilisé dans l’implémentation d’annuaires où sont conservées et mises à jour les données d’identification des utilisateurs. Il optimise les opérations d’authentification en proposant des requêtes de connexion rapides. Pris en charge par la plupart des applications, LDAP est utilisé par de nombreuses entreprises dans la mise en place du SSO.

 

Quels sont les avantages et les inconvénients du Single-Sign-On ?

La solution SSO apporte de nombreux avantages aux entreprises. Il évite aux utilisateurs de se connecter à chaque application plusieurs fois par jour. Cependant, concentrer la connexion aux différents systèmes sur un seul mot de passe présente également des risques.

Amélioration de la sécurité des systèmes et de la productivité avec les solutions SSO

La prolifération des applications et services Cloud augmente considérablement le nombre de mots de passe à gérer par un utilisateur. Or, ces données spécifiques à l’identité d’un utilisateur représentent la principale cible des cybercriminels. Dans ce cadre, le SSO apporte des réponses intéressantes aux entreprises.

Renforcement de la sécurité avec des mots de passe plus robustes

La création et la mise à jour d’un identifiant pour chaque système génèrent un phénomène de lassitude chez les utilisateurs. Ils créent donc des mots de passe souvent peu variés et faciles à déchiffrer par les pirates. En réduisant le nombre d’informations d’identification à gérer, le SSO incite l’utilisateur à mettre en place un identifiant plus long et plus complexe qui peut ralentir les actions des attaquants.

Réduction des demandes d’assistance pour oubli de mot de passe

Plus un utilisateur a d’informations de connexion à gérer, plus le risque d’oubli est grand. Cela se traduit à travers des chiffres publiés par Gartner Group selon lesquels 30 % du temps d’une entreprise est perdu à attendre la réinitialisation du mot de passe par le service informatique. Grâce à l’utilisation du SSO, les employés ont un seul code à mémoriser pour se connecter aux applications dont ils ont besoin. Ce qui réduit considérablement le risque d’oubli.

Réduction des risques de piratage avec un nombre plus restreint d’identifiants

Une violation de données coûte en moyenne 4,45 millions de dollars à l’entreprise. Ce chiffre démontre la nécessité de mettre en place des mesures pour renforcer la sécurité d’accès aux données sensibles. L’implémentation du SSO en fait partie. Il permet de réduire le nombre d’informations d’identification à gérer et de limiter ainsi le champ d’action des cyberattaquants.

Meilleure gestion des créations et suppressions des droits d’accès aux applications

Comme vu précédemment, l’authentification SSO permet aux utilisateurs d’accéder aux différents systèmes avec un seul identifiant. En cas de départ d’un utilisateur de l’entreprise ou de perte du terminal professionnel, le service informatique peut rapidement désactiver ses informations d’identification. Il limite ainsi les risques de sécurité et offre une meilleure protection de l’ensemble du système d’information.

Mesures à mettre en place pour relever les défis du SSO

L’authentification SSO est une solution pratique pour les entreprises. Elle améliore l’expérience utilisateur et optimise la productivité des services. Elle peut cependant présenter des risques pour la sécurité informatique si la solution n’est pas correctement déployée ou si sa gestion est mal cadrée. Ils vont de l’exposition d’informations d’identification au piratage des données sensibles stockées sur le Cloud, dans les applications ou systèmes de l’organisation.

Identifiant unique, un avantage qui peut devenir un inconvénient

En cas de récupération des identifiants SSO d’un utilisateur, les pirates peuvent se connecter à l’ensemble des applications, sites web ou ressources du réseau impliqués dans la relation de confiance. Il est difficile dans ce cas de limiter la perte de données. Selon les experts en sécurité, la combinaison du SSO avec l’authentification à multifacteurs contribue à éviter ces dégâts. Ce processus de connexion demande aux utilisateurs de renseigner des informations supplémentaires au simple mot de passe.

Compatibilité des applications avec le protocole SSO

Un autre défi que doit relever le SSO réside dans la compatibilité des applications avec ce protocole. En effet, pour les systèmes de type client lourd, les employés doivent continuer à saisir leur code utilisateur et mot de passe. Pour limiter cet inconvénient, les entreprises doivent, dans la mesure du possible, choisir des applications compatibles avec le SSO.

Blocage possible de l’ensemble du système d’information en cas de dysfonctionnement du SSO

Le SSO permet d’accéder aux différents logiciels à l’aide d’une seule paire : code utilisateur et mot de passe. Lorsque ce protocole d’authentification est indisponible, les connexions à ces services sont bloquées. Pour éviter ce scénario, l’équipe de sécurité du système doit prévoir un processus de désactivation du SSO. L’authentification se fera alors par application. L’utilisateur doit saisir les données liées à son identité pour accéder aux informations dont il a besoin.

Trois exemples concrets d’implémentation du Single-Sign-On

Le SSO est un standard largement utilisé par les fournisseurs de services et les fournisseurs d’identités pour la gestion des authentifications. De nombreux exemples peuvent illustrer cette pratique.

• Le SSO de Google permet aux utilisateurs d’accéder aux services comme Gmail et YouTube avec un seul ensemble d’informations sur son identité.
• Grâce au SSO de Microsoft, les utilisateurs peuvent se connecter aux solutions comme Microsoft Edge, Microsoft Teams, mais aussi à Google Chrome.
• France Connect, le SSO des services publics en ligne français, permet aux usagers d’accéder au site web des impôts ou de la sécurité sociale.

 

Quelles sont les tendances actuelles et futures du Single-Sign-On ?

L’arrivée de l’intelligence artificielle et du Big Data démultiplie les risques de piratage. Pour conserver son rôle majeur dans la gestion des identités et des accès (IAM) de l’entreprise, le SSO doit faire face à plusieurs enjeux :

• simplification des outils SSO ;
• large adhésion des éditeurs d’applications au protocole SSO ;
• standardisation de la communication d’informations entre un fournisseur d’identité et des applications compatibles.

 

En matière de cybersécurité, le Single-Sign-On fait partie des protocoles indispensables à la mise en œuvre d’une approche de confiance zéro. Combiné avec l’authentification à multifacteurs, le SSO simplifie la gestion des sessions pour les employés et permet au service informatique de gagner en productivité.

Vous êtes intéressé par les métiers en lien avec la cybersécurité. Cyber Management School propose un cursus Grande École qui se déroule sur cinq ans. Il vous permet de maîtriser les bases de la programmation et des systèmes d’information. À l’issue de la formation, vous pouvez occuper des fonctions de manager ou chef de projet dans les domaines du développement Full-Stack ou d’audit Cybersécurité. Pour toute information concernant nos cursus, contactez sans attendre notre école.