Single Sign-On (SSO) et contrôle d’accès : une approche nécessairement globale de l’authentification unique

Rappel : définition du SSO et principes de base

Le SSO (ou « Single Sign-On ») est un procédé qui permet de garantir une authentification unique aux utilisateurs du système d’information pour accéder à leurs applications, et ainsi de faire disparaitre les très nombreux couples identifiant/mot de passe qu’ils utilisent au quotidien pour travailler.

Fonctionnellement, le SSO s’appuie d’abord sur une première authentification réalisée par l’utilisateur : par exemple celle servant à se connecter à un poste de travail, ou à un portail d’entreprise. Ensuite, pendant toute la durée de sa session SSO, et pour toutes les applications auxquelles cet utilisateur souhaite accéder, le SSO prend en charge le processus d’authentification à ces applications à la place de l’utilisateur, et ce de manière transparente pour ce dernier. Il remplace ainsi ce qu’aurait fait l’utilisateur sans solution de SSO, à savoir saisir un identifiant et un mot de passe dédié à l’application accédée. Il le fait via différentes méthodes, généralement en fonction de la nature de l’application concernée. Techniquement, une plateforme SSO s’articule en général autour d’un ou plusieurs serveur(s) SSO, qui s’appuie(nt) sur l’(les)annuaire(s) d’entreprise, et des composants spécifiques en fonction de la catégorie mise en œuvre : eSSO, Web SSO, Fédération d’Identité ou mobile SSO. Ces catégories sont détaillées ci-après.

Le SSO a ainsi de nombreuses vertus : pour l’utilisateur, il lui permet par exemple de ne plus avoir à mémoriser des dizaines de mots de passe différents, à utiliser des mots de passe trop triviaux et connus de tous, ou à les noter sur des post-it par exemple. Pour le RSSI, il permet de renforcer les politiques de mots de passe et de faciliter le déploiement de technologies d’authentification multi-facteur et adaptative. Pour le helpdesk, il permet de réduire drastiquement les coûts liés à la perte et au renouvellement des mots de passe des utilisateurs.

Panorama des solutions de SSO

Le marché du Single Sign-On (« SSO » ou authentification unique) est traditionnellement divisé en 4 catégories de solutions.

L’Enterprise SSO ou eSSO

L’Enterprise SSO est généralement mis en œuvre en interne dans l’entreprise à des fins de confort utilisateur. Il nécessite le déploiement d’un (ou plusieurs) composant(s) sur les postes de travail reliés au système d’information et consiste à injecter – à la place des utilisateurs – des accréditations secondaires (couples identifiant/mot de passe des utilisateurs pour les applications visées) dans des fenêtres applicatives qui ont été au préalable enrôlées. L’avantage de cette catégorie de SSO est de pouvoir couvrir facilement tout type d’applications (client lourd, web, virtualisée, mainframe, etc.) ; l’inconvénient est qu’il faut maîtriser tous les postes de travail sur lesquels on veut déployer ce SSO.

Le Web Access Management (ou WAM, ou Web SSO)

Le Web SSO s’inscrit dans des architectures 100% web, de type portails extranet/intranet par exemple. Il ne couvre par conséquent que des applications web, mais permet en général de garantir plus de sécurité que le eSSO, via la mise en place de règles de contrôle d’accès avancées notamment. Il n’est pas intrusif sur les postes de travail. En revanche il peut l’être sur les applications, sauf s’il est déployé dans des composants de type reverse/proxy en frontal des applications web à protéger.

La Fédération d’identité

Dans une approche purement technique, la fédération d’identité peut être considérée comme un moyen d’opérer une action de Web SSO en utilisant les protocoles standards associés du marché : SAMLv2, OAuth2, OpenID Connect, WS-Federation… Dans une logique métier, ou ‘business’, elle permet d’échanger en toute sécurité des informations d’authentification et d’habilitations entre entités juridiques différentes : certaines sont des fournisseurs d’identités (Identity Provider) tandis que d’autres sont des fournisseurs de services (Service Provider). La fédération offre ainsi aux utilisateurs de ces entités une expérience de Single Sign-On sécurisée entre domaines web différents. De plus elle permet bien souvent de s’affranchir de la gestion des identités de ses partenaires.

Le Mobile SSO

Le Mobile SSO permet de fournir des fonctionnalités de Single Sign-On (Enterprise SSO, Web SSO, Fédération d’identité) sur les périphériques mobiles (smartphones, tablettes), et ainsi de sécuriser les accès aux applications du système d’information depuis ces périphériques. Ce marché est encore assez récent car il est lié à l’explosion de la mobilité. Pour le moment, il repose majoritairement sur des solutions de type « développements spécifiques », car rares sont les solutions du marché qui couvrent ce domaine.

Toutes ces catégories de solutions sont généralement couplées, plus ou moins finement, à des technologies d’authentification forte et fournissent des fonctionnalités de contrôle d’accès logique. Elles s’appuient sur des référentiels d’identités et assurent l’audit et la traçabilité des authentifications et des habilitations.

Le risque majeur : une solution Single Sign-On par cas d’usage

Forts de ce panorama des différentes solutions de SSO, considérons à présent un système d’information lambda pour lequel on souhaite déployer des fonctions d’authentification forte, de Single Sign-On et d’audit des accès des utilisateurs aux applications de ce SI. Les motivations peuvent être nombreuses et variées : elles découlent notamment des enjeux de confort utilisateur ou de sécurité visés pour le SI.
Dans ce SI, il est très probable que l’on trouve de tout :

  • des applications internes ou externes (en SaaS, Cloud…), maîtrisées ou non, de différentes technologies (web, client lourd, virtualisées, mainframe…) et plus ou moins critiques
  • des utilisateurs internes ou externes, travaillant sur un PC, maîtrisé ou non, ou sur d’autres types de supports (clients légers, périphériques mobiles…), certains ayant besoin d’authentification forte, d’autres non, etc.

Donc à plus ou moins long terme, on aura immanquablement besoin des fonctionnalités de eSSO, de Web Access Management, de Fédération d’identité et de Mobile SSO : soit de toutes les catégories de Single Sign-On décrites précédemment, sur des périmètres plus ou moins différents, mais pour le même système d’information.

Évidemment le déploiement de ces fonctionnalités se fera par étapes et potentiellement sur plusieurs années, selon les priorités de l’entreprise. Mais le fait est que, au bout d’un certain temps, on pourra facilement se retrouver dans la situation suivante – et c’est malheureusement le cas de très nombreuses organisations – avec par exemple :

  • une solution de eSSO déployée en interne sur les postes des utilisateurs du SI, afin de leur apporter le confort d’une authentification unique et de les rendre autonomes sur les opérations de réinitialisation de mots de passe.
  • une solution de Web Access Management protégeant des applications web, déployée dans une logique d’intranet et/ou d’extranet
  • une solution de fédération d’identité dédiée à des échanges B2B avec ses partenaires, ou utilisée pour améliorer l’expérience utilisateur pour les accès aux applications externes, de type O365, GoogleApps, ou SalesForce notamment
  • une solution de Mobile SSO pour sécuriser les accès au SI depuis des périphériques mobiles et maîtriser ainsi les effets du BYOD

Chacune de ces solutions repose peut être sur un progiciel du marché, une brique open source ou une solution maison réalisée en développement spécifique. Mais au final, on risque fort de se retrouver à administrer, maintenir, exploiter, superviser, auditer… 4 solutions différentes, qui adressent pourtant des besoins similaires, bien que pour des usages différents !

Le Global SSO : SSO nouvelle génération

Et pourtant, il est possible d’éviter une telle situation !

Avec une seule et même solution SSO qui adresserait toutes ces fonctions, on n’aurait plus qu’une seule infrastructure commune à exploiter et à superviser, plus qu’une seule interface d’administration pour configurer tous les usages Single Sign-On, plus qu’un seul point d’audit fournissant la traçabilité de tous les accès à toutes les applications pour tous les utilisateurs, et ainsi une approche globale de l’authentification unique pour tous les accès au système d’information…

Cette solution existe, c’est le Global SSO !

Alors avant de se lancer dans un projet de SSO, quel qu’il soit, il faut penser « mutualisation » et « urbanisation du SI ». Une solution de Global SSO peut à la fois couvrir vos besoins à court terme – et vous n’investirez que sur ce dont vous aurez besoin – mais également vous laisser la capacité d’adresser vos autres besoins en matière de Single Sign-On à moyen et long termes, le tout via une démarche évolutive et itérative.