Projet SSO : les conseils et méthodologie pour la mise en œuvre

Combien de fois, lorsque nous entendons parler de projet SSO, nous constatons qu’il est réduit au simple fait de mettre en place une authentification unique pour se débarrasser des mots de passe et simplifier la vie des utilisateurs ?

En tant que spécialiste de l’IAM, nous ne cessons de le clamer : le SSO ou Single Sign-On est bien plus vaste que cela ! Les projet SSO évoluent aujourd’hui vers davantage de normalisation et de fédération d’identité en s’appuyant sur des standards de type SAML ou OpenId Connect.

Ce billet a pour objectif d’enrichir ce que l’on entend par « projet SSO » et de vous donner quelques clés pour cadrer et mener à bien votre projet en fonction de vos objectifs.

Quelles sont les bonnes pratiques
pour mener à bien un projet SSO ?

Avant tout, prenez le temps de vous poser les bonnes questions : pourquoi je souhaite mettre en place un tel projet ? Quels avantages je vise et pour qui en priorité ? Quels sont les objectifs que je souhaite atteindre ? Sont-ils motivés par un besoin de sécurité, de confort utilisateur ou de conformité réglementaire par exemple ?

Trop d’organisations se lancent aujourd’hui sans avoir cadré leur besoin. C’est en posant les choses que vous serez en mesure de bien définir le périmètre de votre projet.

Vouloir tout faire en une seule fois est utopique ! Concentrez-vous en priorité sur votre principal objectif à atteindre et sur les éléments qui vont être générateurs de ROI. Lotir un projet SSO vous permettra d’avoir un périmètre rapidement atteignable.

Une fois votre besoin cadré, je vous conseille vivement de cartographier les applications à prendre en compte, les types de technologies utilisées (applications web, clients lourds, etc.) et les flux par lesquels les utilisateurs y accèdent.  

Nous travaillons aujourd’hui sur des SI dont la diversité des applications, cas d’usage utilisateurs, méthodes d’authentification, cinématiques d’accès, environnements de travail, etc., sont extrêmement vastes et ouverts. C’est en cela qu’il ne faut surtout pas réduire le SSO à une « technologie d’authentification unique pour se débarrasser des mots de passe » ! C’est bien plus que cela : il faut être capable de combiner les approches technologiques pour s’adapter à l’existant et à un SI hétérogène. Ainsi, on adressera généralement le SSO via différentes approches : Web SSO (ou Web Access Management) et fédération d’identité si on s’inscrit uniquement dans le monde du web, Enterprise SSO (ou eSSO) pour la protection des postes de travail et des applications client lourd, et enfin mobile SSO pour les environnements mobiles.

Plus votre analyse sera fine, plus vous gagnerez en efficacité par la suite. Vous pouvez par exemple enrichir la cartographie de vos applications en déterminant leur niveau de sensibilité, ce qui vous permettra de déterminer si une authentification forte ou adaptative est nécessaire. Cela vous permettra de faire converger sécurité et ergonomie dès le démarrage du projet.

Attention, un conseil : adoptez une approche simple et pragmatique. Plus la mise en œuvre sera complexe et plus le maintien opérationnel dans le temps sera difficile.
Pour le critère de sensibilité de l’application, on peut imaginer par exemple raisonner sur 3 niveaux :

  • Les applications non sensibles pour lesquelles une authentification simple suffira,
  • Les applications sensibles pour lesquelles une authentification forte sera demandée régulièrement,
  • Les applications critiques pour lesquelles une authentification forte multifacteur sera exigée systématiquement.

Chez Ilex, nous travaillons avec de nombreuses organisations dont l’objectif est bien de tendre vers des méthodes d’authentifications adaptatives, alliant à la fois sécurité et confort utilisateur. C’est notamment le cas de Natixis, établissement financier français de dimension internationale, qui est allé au bout du raisonnement en supprimant définitivement l’usage des mots de passe sur les applicatifs de la banque au profit de moyens d’authentification forte adaptés aux usages des collaborateurs. C’est le projet « Kill The Password », un très beau projet dont je vous conseille de lire le témoignage.

Pourquoi les utilisateurs finaux
ont un rôle crucial dans un projet SSO ?

S’il y a bien un rôle à ne pas oublier à chaque étape c’est celui de votre utilisateur !
La méthodologie de déploiement du projet SSO prévoit généralement différentes étapes :

  1. Mise en place d’une plateforme de développement et de tests.
  2. Phase de conception permettant de lever toutes les problématiques techniques et notamment l’intégration avec l’environnement technologique en place.
  3. Phase de déploiement d’un pilote ou d’un POC (Proof of Concept) avec des tests d’usages sur des échantillons de populations d’utilisateurs pour intégrer progressivement toutes les applications.
  4. Phase finale de mise en production et de déploiement généralisé.

Associez vos utilisateurs finaux à chaque étape de votre projet SSO.
Cela commence dès le cadrage du projet et la phase de spécifications fonctionnelles. Nous vous conseillons de travailler en ateliers avec les responsables applicatifs qui connaissent les usages métiers, ou si possible d’y convier directement un panel d’utilisateurs finaux afin d’avoir un aperçu de la réalité terrain.

Travailler avec un panel d’utilisateurs vous permettra de tenir compte des cas d’usage et de la manière dont les utilisateurs se connectent (est-ce qu’ils changent de poste dans certaines situations par exemple…). La mise en place du Single Sign-On doit s’insérer parfaitement dans leur quotidien et proposer la meilleure ergonomie pour leur cinématique d’authentification.

Si l’on intègre par exemple de l’authentification multifacteur sur les applications critiques, il faudra anticiper les différents cas d’usages et modes dégradés nécessaires aux utilisateurs au quotidien. Il ne faudrait pas les bloquer et générer davantage de problèmes ou de frustrations que de gains.

En phase de déploiement, un pilote avec des utilisateurs finaux permet de vérifier la pertinence et la fiabilité de ce qui a été mis en place sur un périmètre restreint. Parmi nos clients, Leroy Merlin a par exemple d’abord déployé son projet SSO sur un magasin pilote afin de tester en conditions réelles la nouvelle expérience utilisateur proposée par la solution Sign&go Global SSO. Suite aux retours positifs des utilisateurs, la solution a pu être déployée sur l’ensemble des points de vente de l’enseigne.

Intégrer les utilisateurs finaux au projet SSO permet de mieux anticiper la conduite du changement nécessaire et de gagner plus facilement leur adhésion à la nouvelle solution déployée. En effet, la conduite du changement est un point clé à ne pas négliger : toute nouvelle solution de SSO doit être parfaitement adaptée aux usages variés des utilisateurs, mais également accompagnée d’une campagne de communication et sensibilisation.

Vers quoi évoluent les projets SSO
aujourd’hui ?

L’ouverture du SI, la diversité des applicatifs et des environnements ou encore les forts enjeux de conformité réglementaire bien présents aujourd’hui sont autant de facteurs qui font évoluer les projets SSO vers davantage de normalisation. C’est pourquoi la fédération d’identité s’impose de plus en plus dans la mise en œuvre d’architectures Web SSO qui utilisent des protocoles standards et normalisés tels que SAML, OAuth ou OpenID Connect, notamment pour l’accès aux applications SaaS, Cloud et mobiles.

En lançant un projet de SSO, il est important d’adopter une vision globale et de penser « mutualisation » et « urbanisation du SI ». Une solution de global SSO permet à la fois de couvrir vos besoins à court terme mais également de vous laisser la capacité d’adresser vos autres besoins à moyen et long terme, le tout via une démarche évolutive et itérative.

Ce qu’il faut retenir pour faire de votre projet SSO un succès

  • Bien cadrer son projet : le besoin doit être défini avant le choix de la solution.
  • Choisir une solution de SSO globale (Web SSO, fédération d’identité, Enterprise SSO, mobile SSO) : avoir une vision à « court terme » et à « long terme » afin de ne pas avoir à investir dans une autre solution et cumuler l’administration/exploitation d’outils.
  • Être pragmatique et lotir le projet : commencer par un socle de base cohérent pour l’utilisateur avec un nombre limité d’applications qui y sont raccordées pour démontrer l’intérêt et le ROI du projet.
  • Prévoir tous les modes dégradés possibles : par exemple en cas de perte ou oubli du mot de passe principal, du token d’authentification ou d’indisponibilité du système SSO.
  • Intégrer vos utilisateurs dans la démarche projet.
  • Ne pas négliger la conduite du changement.
  • Penser urbanisation du SI : aller vers des solutions basées sur des standards du marché afin de normaliser votre architecture d’accès.